ICTSC Tech Blog

問題解説 SNMP 実技

ICTSC2018 問題解説

解説

問4

SNMP Agentのeth1のIPアドレスとサブネットマスクを回答してください。ただし、SNMP Agentにはログイン出来ません。

VNCサーバへの接続情報はpstateを参照してください。

・SNMP ManagerのSSH用 ID/パスワード: admin / KQ4iximz

・ヒント:SNMPv2cが稼働中 「コミュニティ名:ictsc2018-pre2」

・【回答のフォーマット(右記を参照)】 192.168.0.254/24

◆問4. 解説◆

【正答:192.168.12.26/29】

Agentには直接ログイン出来ませんが、SNMPが稼働しているためManagerからIF設定状態を問い合わせることが可能になっています。
以下のコマンドなどでIF設定情報収集することが出来ます。

  • snmpwalk -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.4.20.1.1
  • snmpwalk -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.4.20.1.3
admin@manager-server:~$ snmpwalk -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.4.20.1.1
iso.3.6.1.2.1.4.20.1.1.127.0.0.1 = IpAddress: 127.0.0.1
iso.3.6.1.2.1.4.20.1.1.192.168.0.1 = IpAddress: 192.168.0.1
iso.3.6.1.2.1.4.20.1.1.192.168.12.26 = IpAddress: 192.168.12.26
admin@manager-server:~$
admin@manager-server:~$ snmpwalk -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.4.20.1.3
iso.3.6.1.2.1.4.20.1.3.127.0.0.1 = IpAddress: 255.0.0.0
iso.3.6.1.2.1.4.20.1.3.192.168.0.1 = IpAddress: 255.255.255.0
iso.3.6.1.2.1.4.20.1.3.192.168.12.26 = IpAddress: 255.255.255.248
admin@manager-server:~$

※指定した回答フォーマットと異なる形式で回答した場合には減点としました

問5

SNMP Agentから5分に1回の頻度で通知(trap)される情報を基にトラブルを解消してください。ただし、SNMP Agentにはログイン出来ません。
回答にはトラブルを解消する際に投入するべき「コマンド1つのみ」を記載してください。
VNCサーバへの接続情報はpstateを参照してください。

・SNMP ManagerのSSH用 ID/パスワード: admin / KQ4iximz

・ヒント1:SNMPv2cが稼働中 「コミュニティ名:ictsc2018-pre2」

・ヒント2:SNMP Managerで受信したtrap通知のログファイル「/var/log/snmpd/snmptrap.log」

・ヒント3:トラブルを解消してもAgentからのtrap通知は停止されません

・【回答のフォーマット(右記を参照)】 tcpdump -i eth0 port 80

◆問5. 解説◆

【正答:snmpset -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.1.5.0 s agent-server】

Managerにて5分毎に受信するTrapログは以下の通りでした。

Dec 15 18:05:01 manager-server snmptrapd[668]: 2018-12-15 18:05:01  [UDP: [192.168.0.1]:60304->[192.168.0.100]:162]:#012iso.3.6.1.2.1.1.3.0 = Timeticks: (16605010) 1 day, 22:07:30.10#011iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.2.1.1.5.0

下記のような記事を参照すると問題でのTrapは【OID: iso.3.6.1.2.1.1.5.0】をTrap通知していることがわかります。

https://ecl.ntt.com/documents/tutorials/rsts/Firewall/fwoperation/snmp.html
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG6CAK

続いてAgentが通知してきている【OID: iso.3.6.1.2.1.1.5.0】について調査します。

admin@manager-server:~$ snmpwalk -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.1.5.0
iso.3.6.1.2.1.1.5.0 = STRING: "test01-server"
admin@manager-server:~$

【.1.3.6.1.2.1.1.5.0】は「ホスト名」を示すOIDです。
問2でもOIDに関して出題しましたが「iso」の部分は「.1」と変換出来ます。

https://www.alvestrand.no/objectid/1.3.6.1.2.1.1.5.0.html

snmpwalkコマンド結果よりAgentから取得したMIB上のホスト名が「test01-server」になっています。
問題文にもある通り、本来は「agent-server」が設定されていなければなりませんが情報が書き変わってしまっています。
このトラブルを解消するためには下記のコマンドを用いると設定情報の差異を解消することが出来ます。

snmpset -v 2c -c ictsc2018-pre2 192.168.0.1 .1.3.6.1.2.1.1.5.0 s agent-server

この問題ではAgentの「snmpd.conf」に下記の設定をすることでMIB情報への書き込みを許可するようにしてありました。

rwcommunity ictsc2018-pre2 default

全体講評

特に問3と問5の正答率が低かったです。
問3については「(b) 標準機能でRSAなどの暗号化技術に対応したバージョンが存在するSNMPの方がセキュリティが高い」も選択するチームが多かったです。
SNMPv3の登場によってセキュリティが向上したという認識は持っていますが、どのような暗号技術を使用することが出来るかまでは把握していないというチームが多かったのだと思います。

問5については監視ツール(Zabbixなど)との連携が完了して運用フェーズになると直接SNMPログに触れる機会が少なくなってしまうのであえて直接ログを読み解く問題としました。
あまり詳細な情報を与えなかったので戸惑ったチームも多かったかと思いますが、不慣れなログについても対処を求められる場面は多くあります。
「ログフォーマットを調べる」「収集できる情報はとりあえず収集してみる」「事前情報との差分はないか?」という判断が出来たチームは回答出来たと思います。