2.2. Replay Protection (リプレイ保護)
2.2. Replay Protection (リプレイ保護)
ユーザーベースセキュリティモデルは, メッセージのリプレイ, メッセージの遅延, およびメッセージのリダイレクションに対する保護を提供します。この保護は以下の使用に基づいています:
- msgAuthoritativeEngineID: このメッセージの交換に関与する権威ある SNMP エンジンの snmpEngineID。
- msgAuthoritativeEngineBoots: 初期設定以降, 権威ある SNMP エンジンが自身を再初期化した回数。
- msgAuthoritativeEngineTime: 権威ある SNMP エンジンが msgAuthoritativeEngineBoots カウンターを最後に増分してからの秒数。
これら 3 つの値を合わせて, メッセージリプレイ攻撃の時間的機会を制限するために使用される緩く同期されたクロックを提供します。
リプレイ保護メカニズムは以下のように機能します:
For Request Messages (要求メッセージの場合)
要求メッセージを生成するとき, 非権威ある SNMP エンジンは権威ある SNMP エンジンから以下の値を含めます:
- 最近受信した msgAuthoritativeEngineID
- 最近受信した msgAuthoritativeEngineBoots
- 最近受信した msgAuthoritativeEngineTime
For Response Messages (応答メッセージの場合)
応答メッセージを生成するとき, 権威ある SNMP エンジンは以下の現在の値を含めます:
- msgAuthoritativeEngineID
- msgAuthoritativeEngineBoots
- msgAuthoritativeEngineTime
Time Window (時間ウィンドウ)
受信 SNMP エンジンは, 以下の場合にメッセージが時間ウィンドウの外にあると見なします:
abs(msgAuthoritativeEngineTime - localEngineTime) > 150 秒
ここで localEngineTime は, msgAuthoritativeEngineID の現在時刻についてのローカル SNMP エンジンの概念です。
時間ウィンドウの外にあるメッセージは破棄され, メッセージ処理サブシステムにエラー表示が返されます。