TOPに戻る
▼Network
SNMPのセキュリティホール
┣ サービス拒否攻撃と
┃ バッファオーバーラン
┣ SNMPの必要性
┣ GetRequest/GetNext
┃ Request/SetRequest
┃ /Trap
┗ ASN.1/BERと
セキュリティホール
Copyright(C) 2001-2002.ugpop. All rights reserved.
■ GetRequest/GetNextRequest/SetRequest/Trap ■
前回はSNMP(Simple Network Management Protocol)について、
その必要性を簡単に説明しました。
SNMPというのは、簡単にネットワークを管理する為に必要なプ
ロトコルなのでした。
今回はもう少しだけSNMPについて詳しく解説を行ないます。
SNMPとはどんな事を行なうプロトコルかと言うと、ネットワー
クを管理するコンピュータを1台決めておいて、そのコンピュ
ータから周辺のコンピュータに対してネットワーク管理の為の
さまざまなコマンドを入力できるようにする為のプロトコルで
す。
例えばビルの1階においてあるサーバーを「管理するコンピュ
ータ」と決めます。そして、2階、3階にあるコンピュータを
「管理されるコンピュータ」と決めたとします。
以下に、1階のコンピュータから3階のコンピュータに対して
質問を出している図を示します。
管理されるコンピュータ
┌─────┐
3階 │サーバー3│←─┐
└─────┘ │
│
管理されるコンピュータ│
┌─────┐ │
2階 │サーバー2│ │ネットワークにエラー
└─────┘ │どれ位発生してる?
│GetRequest
管理するコンピュータ │GetNextRequest
┌─────┐ │
1階 │サーバー1├──┘
└─────┘
管理するコンピュータが管理されるコンピュータに対してネッ
トワークを通じて質問を出しています。
これを「GetRequest」「GetNextRequest」といいます。
応答は以下の様に返ります。
管理されるコンピュータ
┌─────┐
3階 │サーバー3├──┐
└─────┘ │
│
管理されるコンピュータ│
┌─────┐ │
2階 │サーバー2│ │エラーはこの位発生してます。
└─────┘ │GetResponse
│
管理するコンピュータ │
┌─────┐ │
1階 │サーバー1│←─┘
└─────┘
この応答の事を「GetResponse」といいます。
この様に、ネットワークを通じてネットワークの調査が行なえ
ます。
これによりネットワーク管理者がいちいち現場まで赴く必要は
なくなるのです。
また、管理されるコンピュータに設定を行っておくと、自動的
に通知してきたりする事も出来ます。
以下に自動的に通知してもらうように設定している図を示しま
す。
管理されるコンピュータ
┌─────┐
│サーバー3│←─┐
└─────┘ │
│
管理されるコンピュータ│
┌─────┐ │
│サーバー2│ │エラーの数が多くなってきたら
└─────┘ │教えてね。
│SetRequest
管理するコンピュータ │
┌─────┐ │
│サーバー1├──┘
└─────┘
これは質問をしているのではなく、設定を行っているだけなの
で「SetRequest」といいます。
これにより、設定された要求に従い、自動的に通知が行なわれ
るようになります。
以下に、ネットワークのエラー数が多くなってきて自動的に通
知が行なわれている図を示します。
管理されるコンピュータ
┌─────┐
│サーバー3├──┐
└─────┘ │
│
管理されるコンピュータ│
┌─────┐ │
│サーバー2│ │ネットワークのエラーが
└─────┘ │多くなってきましたよ。
│Trap
管理するコンピュータ │
┌─────┐ │
│サーバー1│←─┘
└─────┘
このように自動的に通知が行なわれる事を「Trap」といいます。
人が移動しなくてもネットワークの管理が行えるうえに、ネッ
トワークに異常が発生しそうになると事前に知らせてくれたり
するので非常に便利です。
この時、「管理するコンピュータ」の事をSNMPの世界では「マ
ネージャ」と呼び、「管理されるコンピュータ」の事を「エー
ジェント」と呼びます。
芸能人のマネージャはスケジュールを管理したりしますよね?
そんな感じでSNMPでもマネージャがネットワークの管理を行っ
ているのです。
また、SNMPで質問が来た時にその質問に回答する為にはさまざ
まなデータを常に収集しておかなければなりません。
(上の例では、ネットワークのエラー数を常に数えておかなけ
ればなりません。)
この常に収集しているデータの事をMIB(Management Informat-
ion Base)といいます。(ミブと読みます。)
先ほどの例では「ネットワークのエラーどれ位発生してる?」
という質問を出しましたが、質問の種類はこれだけではなく、
非常にたくさんあります。
また、質問を出す時には「ネットワークのエラーどれ位発生し
てる?」等と日本語の文字列が送られるわけではありません。
実際には数字が送信されます。
そしてこの数字は抽象構文記法(ASN.1:Abstract Syntax Nota-
tion One)という表現方法が用いられます。
ASN.1(アセン・ワンと言ったりエーエスエヌ・ワンと言った
りします。)とは何かと言うと、さまざまな「情報の構造」を
出来るだけ効率よく表現する為に規定された「表現方法の決ま
り」の事です。
これはSNMPの為だけにあるわけではなく、国際標準化機構
(ISO:International Organization for Standardization)と
国際電気通信連合ITU-T(International Telecommunication
Union Telecommunication sector)という所で決められた規定
です。
例えば、「ネットワークのエラーどれ位発生してる?」という
質問をASN.1で表すと「1.3.6.1.2.1.2.2.1.14.1」となります。
なんだか難しい表現ですが効率よく表現するにはこういう方法
が良い、と頭の良い人たちが考えた結果ですので文句は言わな
いようにしましょう。(^^;
その他にも「あなたのMACアドレス教えて。」とか、「忙しく
て処理出来なかったデータの数教えて。」とか、(これにより
サーバーにどの位負荷がかかっているか知る事が出来る。)
ASN.1で表現出来る種類は大量にあります。
そして実はSNMPのセキュリティホールというのは、主にこのA
SN.1(Abstract Syntax Notation One)の処理に不具合がある事
に原因があります。
次回はASN.1についてもっと詳しく解説します。
←前へ戻る ▲このページの上へ 続きを読む→