ネットワーク機器トップヘッダー
ネットワーク機器トップ > SNMPv1セキュリティ問題について

SNMPv1セキュリティ問題について
(2002/4/17更新版)

SNMPv1セキュリティ問題とは 古河電工製ネットワーク機器製品への影響
対策ファームウェア New! 設定による回避方法
ご参考ページ
SNMPv1セキュリティ問題とはTOPへ

2002年2月 JPCERT/CC より, 「SNMPv1 の実装に含まれる脆弱性に関する注意喚起」が発表されました。

<<< JPCERT/CC Alert 2002-02-14 >>>
http://www.jpcert.or.jp/at/2002/at020001.txt

ネットワーク機器などの管理に広く利用されているプロトコル SNMP(Simple Network Management Protocol) のバージョン 1 の実装の多くに,SNMP パケットを適切に処理できない場合のあることが発見されました。結果として,サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり,第三者がネットワーク機器の管理者権限を取得する可能性があります。

古河電工製ネットワーク機器製品への影響TOPへ

MUCHOシリーズおよびFITELnetシリーズをはじめとする以下の弊社ネットワーク機器製品では,不正なSNMPパケットを受信することにより異常な動作(エラーリセットがかかる等)が発生する可能性があることを確認しました(2002年2月20日現在)。
 ※設定によりSNMP機能を未使用とした場合でも上記現象が発生する可能性があります。

    (アクセスルータ)
    MUCHOシリーズ (全てのバージョン)
    FITELnet-Eシリーズ (全てのバージョン)
    FITELnet-F40 (全てのバージョン)

    (リモートルータ)
    INFONET-RXシリーズ (全てのバージョン)
    INFONET-AX60 (全てのバージョン)

    (VPNセキュリティシリーズ)
    INFONET-VP100 (全てのバージョン)

対策ファームウェアTOPへ

SNMP脆弱性に対応したファームウェアです。

    機種 バージョン データサイズ
    (bytes)
    FITELnet-F40 V02.02以降 1905808
    INFONET-VP100 V03.03以降 2031760
    FITELnet-E20 V01.11以降 1399600
    FITELnet-E30 V02.00以降 1933104
    MUCHO-E V01.28以降 1500304
    MUCHO-EX V30.05以降 1664144
    MUCHO-EV V20.34以降 1681552
    MUCHO-EV/PK V40.07以降 1391760
    MUCHO-TL/TL-DSU V01.22以降 596040
    MUCHO-ST V02.14以降 580680

設定による回避方法TOPへ

弊社ネットワーク機器製品では,UDPの161番ポートで受信した自局宛のパケットに対してSNMPの処理を行いますので,このポート番号宛のパケットをフィルタリングすることにより,異常動作の発生を回避することが可能となります.
下記の設定を行ってください。


    ルータ自身のアドレス宛の,SNMPに関するデータをすべてフィルタリングする。
    ルータ自身のアドレスが複数(LAN,WAN等)設定されている場合は全てのアドレスをフィルタリングしてください。 

        snmp          161/udp     # Simple Network Management Protocol (SNMP)

ただし,このフィルタリングをおこなうと機器のSNMPエージェント機能を使用することができなくなりますのでご注意ください。


コマンドによる設定方法
  (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
    LAN(private) :192.168.1.1,255.255.255.0
    WAN(public,EWAN) :210.xxx.xxx.1,255.255.255.0
・telnetもしくはコンソールでルータにログインし,コンフィグレーションモー ドで下記の設定を行ってください。 
conf#iprouting filtering=on
conf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0
conf#ipfilter -d add dst=192.168.1.1,255.255.255.255
 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udp
conf#ipfilter -d add dst=210.xxx.xxx.1,255.255.255.255
 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udp
WEBブラウザによる設定方法
  (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
    LAN(private) :192.168.1.1,255.255.255.0
    WAN(public,EWAN) :210.xxx.xxx.1,255.255.255.0
・WEB設定画面で下記の設定を行ってください。
    「ルータの便利な設定」の「IPパケットフィルタイリング」で,「IPパケットフィルタリング機能」を「ON」にします。
    「中継するIPパケットの登録を行う」を選び,
    ●「パケット発行元の指定」の 「IPアドレス」 →「0.0.0.0」
    「アドレスマスク」 →「0.0.0.0」
    「ポート番号」 →「0」〜「65535」
    ●「パケット受け取り先の指定」の 「IPアドレス」 →「0.0.0.0」
    「アドレスマスク」 →「0.0.0.0」
    「ポート番号」 →「0」〜「65535」
    ●プロトコルの指定 →「全て」
    ●インタフェースの指定 「受信」 →「全て」
    「送信」 →「全て」
    上記エントリがあらかじめ設定されている場合は以下の設定のみ行ってください。

    「上記登録中から中継したくないIPパケットの登録を行う」を選び,
    ●「パケット発行元の指定」の 「IPアドレス」 →「0.0.0.0」
    「アドレスマスク」 →「0.0.0.0」
    「ポート番号」 →「0」〜「65535」
    ●「パケット受け取り先の指定」の 「IPアドレス」 →「192.168.1.1」
    「アドレスマスク」 →「255.255.255.255」
    「ポート番号」 →「161」〜「161」
    ●プロトコルの指定 →「udp」
    ●インタフェースの指定 「受信」 →「全て」
    「送信」 →「全て」


    ●「パケット発行元の指定」の 「IPアドレス」 →「0.0.0.0」
    「アドレスマスク」 →「0.0.0.0」
    「ポート番号」 →「0」〜「65535」
    ●「パケット受け取り先の指定」の 「IPアドレス」 →「210.xxx.xxx.1」
    「アドレスマスク」 →「255.255.255.255」
    「ポート番号」 →「161」〜「161」
    ●プロトコルの指定 →「udp」
    ●インタフェースの指定 「受信」 →「全て」
    「送信」 →「全て」

メニューによる設定方法
  (INFONET-RXシリーズ、INFONET-AX60)
    LAN :192.168.1.1,255.255.255.0
    WAN :210.xxx.xxx.1,255.255.255.0
・「2. configuration set (normal)」で「IP filtering」を「use」にしてください。 
*** Set basic configuration ***
<Basic configuration parameter(s)>
    IP routing       : use
    IP filtering     : use
    IPX routing      : not use
    AppleTalk routing: not use
    bridging         : not use
    SNMP             : not use
Do you change (y/n)? [n]:
・「** Set IP packet filtering configuration (forward) ***」および「**Set IP packet filtering configuration (discard) ***」にそれぞれ登録を行ってください(設定画面は例です。運用形態によって異なります)。 
*** Set IP packet filtering configuration (forward) ***
    1. change  2. delete  3. add  4. display  5. end
Select the number. [5]: 3


<Add IP filtering data>
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]:
source address [*]:
destination address [*]:
receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no  src address     src mask        A=<s port<=B recv interface        protocol
    dst address     dst mask        A=<d port<=B send interface        mode
---+---------------+---------------+------------+---------------------+--------
 1. *               *                   0,65535  LAN,HSD               *
    *               *                   0,65535  LAN,HSD               full
Add OK (y/n)? [y]:



*** Set IP packet filtering configuration (discard) ***
    1. change  2. delete  3. add  4. display  5. end
Select the number. [5]: 3


<Add IP filtering data>
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]: 2
source address [*]:
       A=<port<=B A [0]:
                  B [65535]:
destination address [*]: 192.168.1.1
            mask [255.255.255.255]:
            A=<port<=B A [0]: 161
                       B [65535]: 161
receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no  src address     src mask        A=<s port<=B recv interface        protocol
    dst address     dst mask        A=<d port<=B send interface        mode
---+---------------+---------------+------------+---------------------+--------
 1. *               *                   0,65535  LAN,HSD               udp
    192.168.1.1       255.255.255.255   161,  161  LAN,HSD full
Add OK (y/n)? [y]:


*** Set IP packet filtering configuration (discard) ***
    1. change  2. delete  3. add  4. display  5. end
Select the number. [5]: 3


<Add IP filtering data>
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]: 2
source address [*]:
       A=<port<=B A [0]:
                  B [65535]:
destination address [*]: 210.xxx.xxx.1
            mask [255.255.255.255]:
            A=<port<=B A [0]: 161
                       B [65535]: 161
receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no  src address     src mask        A=<s port<=B recv interface        protocol
    dst address     dst mask        A=<d port<=B send interface        mode
---+---------------+---------------+------------+---------------------+--------
 2. *               *                   0,65535  LAN,HSD               udp
    210.xxx.xxx.1     255.255.255.255   161,  161  LAN,HSD      full
Add OK (y/n)? [y]:


ご参考ページTOPへ

<<< JPCERT/CC Alert 2002-02-14 >>>
「SNMPv1 の実装に含まれる脆弱性に関する注意喚起」
http://www.jpcert.or.jp/at/2002/at020001.txt


CERT Advisory CA-2002-03
 Multiple Vulnerabilities in Many Implementations of
              the Simple Network Management Protocol
http://www.cert.org/advisories/CA-2002-03.html
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002