Win 2003のSNMPサービスのネットワークセキュリティ

簡易ネットワーク管理プロトコル（SNMP）サービス用にWindows Server 2003のネットワークセキュリティを構成する方法。

SNMPサービスは、SNMP管理ステーションまたはコンソールに報告される可能性がある情報を収集するエージェントとして機能します。 SNMPサービスを使用すると、企業ネットワーク全体でデータを収集し、Windows Server 2003、Microsoft Windows XP、およびMicrosoft Windows 2000ベースのコンピュータを管理できます。

通常、SNMPエージェントとSNMP管理ステーション間の通信を保護する方法は、これらのエージェントと管理ステーションに共有コミュニティ名を割り当てることです。 SNMP管理ステーションがSNMPサービスにクエリを送信すると、要求者のコミュニティ名がエージェントのコミュニティ名と比較されます。一致すれば、SNMP管理ステーションは認証済みです。一致しない場合、SNMPエージェントは要求が「アクセス失敗」の試行であると見なし、SNMPトラップメッセージを送信する可能性があることを示します。

SNMPメッセージは平文で送信されます。これらの平文メッセージは、 "Microsoft Network Monitor"などのネットワーク分析プログラムによって簡単に傍受され、デコードされます。権限のない担当者がコミュニティ名を捉えて、ネットワークリソースに関する重要な情報を入手する可能性があります。

<; IPセキュリティプロトコル"（IP Sec）を使ってSNMP通信を保護することができます。 SNMPトランザクションを保護するために、TCPおよびUDPポート161および162のトラフィックを保護するIP Secポリシーを作成できます。
フィルタリストを作成する

SNMPメッセージを保護するIP Secポリシーを作成するには、まずフィルタリストを作成します。方法は次のとおりです。

[スタート]ボタンをクリックし、[管理ツール]をポイントして、[ローカルセキュリティポリシー]をクリックします。

セキュリティ設定を拡張するには、[ローカルコンピュータのIPセキュリティポリシー]を右クリックし、[IPフィルタ一覧とフィルタ操作の管理]をクリックします。

[IPフィルタリストの管理]タブをクリックして、[追加]をクリックします。

[IPフィルタ一覧]ダイアログボックスで、[名前]ボックスにSNMPメッセージ（161/162）と入力し、[説明]ボックスにTCPおよびUDPポート161のフィルタを入力します。

[追加ウィザードを使用]チェックボックスをオフにして[追加]をクリックします。

[表示されるIPフィルタのプロパティ]ダイアログボックスの[アドレス]タブにある[送信元アドレス]ボックスで、[任意のIPアドレス]をクリックします。 [送信先アドレス]ボックスで、[自分のIPアドレス]をクリックします。 [ミラー]をクリックします。それを選択するために反対の送信元および宛先アドレスチェックボックスとパケットを一致させて下さい。

[プロトコル]タブをクリックします。 [プロトコルの種類の選択]ボックスで、[UDP]を選択します。 [IPプロトコルポートの設定]ボックスで、[このポートから]を選択し、ボックスに「161」と入力します。 [このポートに移動]をクリックして、ボックスに161と入力します。

[OK]をクリックします。

[IPフィルタ一覧]ダイアログで、[追加]を選択します。

[表示されるIPフィルタのプロパティ]ダイアログボックスの[アドレス]タブにある[送信元アドレス]ボックスで、[任意のIPアドレス]をクリックします。 [送信先アドレス]ボックスで、[自分のIPアドレス]をクリックします。 [ミラー、反対の送信元アドレスと宛先アドレスを持つパケットを照合する]チェックボックスをオンにします。

[プロトコル]タブをクリックします。プロトコルの種類の選択ボックスで、TCPをクリックします。 [IPプロトコルの設定]ボックスで、[このポートから]をクリックし、ボックスに161と入力します。 [このポートに移動]をクリックして、ボックスに161と入力します。

[OK]をクリックします。

[IPフィルタ一覧]ダイアログボックスで、[追加]をクリックします。

[表示されるIPフィルタのプロパティ]ダイアログボックスの[アドレス]タブにある[送信元アドレス]ボックスで、[任意のIPアドレス]をクリックします。 [送信先アドレス]ボックスで、[自分のIPアドレス]をクリックします。 「ミラーリング、反対の送信元アドレスと宛先アドレスを持つパケットを一致させる」チェックボックスをクリックして選択します。

[プロトコル]タブをクリックします。 [プロトコルの種類を選択]ボックスで、[UDP]をクリックします。 [IPプロトコルの設定]ボックスで、[このポートから]をクリックし、ボックスに162と入力します。 [このポートに移動]をクリックして、ボックスに162と入力します。

[OK]をクリックし、[IPフィルタ一覧]ダイアログボックスで[追加]をクリックします。

[表示されるIPフィルタのプロパティ]ダイアログボックスの[アドレス]タブにある[送信元アドレス]ボックスで、[任意のIPアドレス]をクリックします。 [送信先アドレス]ボックスで、[自分のIPアドレス]をクリックします。 [ミラー]をクリックします。それを選択するために反対の送信元および宛先アドレスチェックボックスとパケットを一致させて下さい。

[プロトコル]タブをクリックします。プロトコルの種類の選択ボックスで、TCPをクリックします。 [IPプロトコルの設定]ボックスで、[このポートから]をクリックし、ボックスに162と入力します。 [このポートに移動]をクリックして、ボックスに162と入力します。

[OK]をクリックします。
[IPフィルタ一覧]ダイアログボックスで[OK]をクリックし、[IPフィルタ一覧の管理とフィルタ操作]ダイアログボックスで[OK]をクリックします。

IPSecポリシーを作成する

SNMP通信にIPSecを適用するためのIPSecポリシーを作成するには、次の手順を実行します。

左側のウィンドウでローカルコンピュータのIPを右クリックします。 [セキュリティポリシー]をクリックし、[IPセキュリティポリシーの作成]をクリックします。

' IPセキュリティポリシーウィザード< '>を起動します。

[次へ]をクリックします。

[IPセキュリティポリシー名]ページの[名前]ボックスに「Secure SNMP」と入力します。 [説明]ボックスに「SNMP通信のIPSecを強制する」と入力し、[次へ]をクリックします。

[デフォルトのレスポンスルールを有効にする]チェックボックスをオフにして[次へ]をクリックします。

[IPセキュリティポリシーウィザードの完了]ページで、[属性の編集]チェックボックスがオンになっていることを確認して[完了]をクリックします。

[セキュリティ]の[NMPのプロパティ]ダイアログボックスで[追加ウィザードを使用]チェックボックスをオフにし、[追加]をクリックします。

[IPフィルタ一覧]タブをクリックし、[SNMPメッセージ（161/162）]をクリックします。

[フィルタ操作]タブをクリックし、[セキュリティが必要]をクリックします。

[認証方法]タブをクリックします。デフォルトの認証方法はKerberosです。別の認証方法が必要な場合は、[追加]をクリックしてください。 [新しい認証方法のプロパティ]ダイアログボックスで、下の一覧から使用する認証方法を選択し、[OK]をクリックします。

Active Directoryのデフォルト（KerberosV5プロトコル）

この文字を使用する文字列（事前共有キー）

[新しいルールのプロパティ]ダイアログボックスで、[適用]をクリックしてから[OK]をクリックします。

[SNMPのプロパティ]ダイアログボックスで、[SNMP（161/162） - ']チェックボックスがオンになっていることを確認し、[OK]をクリックします。

[ローカルセキュリティ設定]コンソールの右ペインで、セキュリティ保護されたSNMPルールを右クリックし、[割り当て]をクリックします。

SNMPサービスを実行しているすべてのWindowsベースのコンピュータでこの手順を実行します。このIPSecポリシーはSNMP管理ステーションでも設定する必要があります。
zh-CN"],null,[1],zh-TW"]]]