2.3. Time Synchronization (時刻同期)
2.3. Time Synchronization (時刻同期)
SNMP エンジン間の時刻同期は, リプレイ保護メカニズムが効果的に機能するために不可欠です。ユーザーベースセキュリティモデルは, 非権威ある SNMP エンジンが権威ある SNMP エンジンから現在の時刻値を学習できるようにする時刻同期プロトコルを使用します。
Time Synchronization Process (時刻同期プロセス)
-
Initial State (初期状態): 非権威ある SNMP エンジンが初めて権威ある SNMP エンジンと通信するとき, 権威あるエンジンの現在の時刻値を知りません。
-
Discovery (ディスカバリー): 非権威あるエンジンは権威あるエンジンにメッセージを送信します。このメッセージは以下のいずれかです:
- 長さゼロの msgUserName を持つ未認証メッセージ (securityLevel = noAuthNoPriv), または
- 権威あるエンジンに未知の userName を持つ認証済みメッセージ
-
Response (応答): 権威あるエンジンは以下を含むレポートメッセージで応答します:
- msgAuthoritativeEngineID
- msgAuthoritativeEngineBoots
- msgAuthoritativeEngineTime
-
Synchronization (同期): 非権威あるエンジンはこれらの値を保存し, その権威あるエンジンとの後続の認証済みメッセージ交換に使用します。
Time Updates (時刻更新)
非権威ある SNMP エンジンは, そのエンジンから認証済みメッセージを受信するたびに, 権威あるエンジンの時刻についての概念を更新します。更新プロセスは次のとおりです:
- 受信した msgAuthoritativeEngineTime とローカルに保存された時刻との間の時刻差を計算します。
- 差が許容範囲内 (< 150 秒) である場合, 権威あるエンジンの時刻のローカル概念を更新します。
- 差が大きすぎる場合, メッセージは時間ウィンドウの外にあると見なされ, 破棄されます。
Time Window Considerations (時間ウィンドウの考慮事項)
150 秒の時間ウィンドウは以下のために選択されました:
- SNMP エンジン間の合理的なクロックスキューを許容する
- メッセージリプレイ攻撃の機会ウィンドウを制限する
- 典型的なネットワーク遅延と処理時間に対応する
この時間ウィンドウは, 認証済みメッセージが生成されてから 150 秒以内に到着した場合にのみ有効と見なされることを意味します。