ネットワーク機器トップ > SNMPv1セキュリティ問題について | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SNMPv1セキュリティ問題について (2002/4/17更新版)
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2002年2月 JPCERT/CC より, 「SNMPv1 の実装に含まれる脆弱性に関する注意喚起」が発表されました。 <<< JPCERT/CC Alert 2002-02-14 >>> http://www.jpcert.or.jp/at/2002/at020001.txt ネットワーク機器などの管理に広く利用されているプロトコル SNMP(Simple Network Management Protocol) のバージョン 1 の実装の多くに,SNMP パケットを適切に処理できない場合のあることが発見されました。結果として,サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり,第三者がネットワーク機器の管理者権限を取得する可能性があります。 MUCHOシリーズおよびFITELnetシリーズをはじめとする以下の弊社ネットワーク機器製品では,不正なSNMPパケットを受信することにより異常な動作(エラーリセットがかかる等)が発生する可能性があることを確認しました(2002年2月20日現在)。 ※設定によりSNMP機能を未使用とした場合でも上記現象が発生する可能性があります。
SNMP脆弱性に対応したファームウェアです。
弊社ネットワーク機器製品では,UDPの161番ポートで受信した自局宛のパケットに対してSNMPの処理を行いますので,このポート番号宛のパケットをフィルタリングすることにより,異常動作の発生を回避することが可能となります. 下記の設定を行ってください。
ルータ自身のアドレスが複数(LAN,WAN等)設定されている場合は全てのアドレスをフィルタリングしてください。 snmp 161/udp # Simple Network Management Protocol (SNMP) ただし,このフィルタリングをおこなうと機器のSNMPエージェント機能を使用することができなくなりますのでご注意ください。 (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
conf#iprouting filtering=on conf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 conf#ipfilter -d add dst=192.168.1.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udp conf#ipfilter -d add dst=210.xxx.xxx.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udp (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
「中継するIPパケットの登録を行う」を選び,
「上記登録中から中継したくないIPパケットの登録を行う」を選び,
(INFONET-RXシリーズ、INFONET-AX60)
*** Set basic configuration *** <Basic configuration parameter(s)> IP routing : use IP filtering : use IPX routing : not use AppleTalk routing: not use bridging : not use SNMP : not use Do you change (y/n)? [n]:・「** Set IP packet filtering configuration (forward) ***」および「**Set IP packet filtering configuration (discard) ***」にそれぞれ登録を行ってください(設定画面は例です。運用形態によって異なります)。 *** Set IP packet filtering configuration (forward) *** 1. change 2. delete 3. add 4. display 5. end Select the number. [5]: 3 <Add IP filtering data> protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]: source address [*]: destination address [*]: receive interface (1.LAN 2.HSD) [1,2]: send interface (1.LAN 2.HSD) [1,2]: mode (1:full 2:half) [1]: IP filtering data: no src address src mask A=<s port<=B recv interface protocol dst address dst mask A=<d port<=B send interface mode ---+---------------+---------------+------------+---------------------+-------- 1. * * 0,65535 LAN,HSD * * * 0,65535 LAN,HSD full Add OK (y/n)? [y]: *** Set IP packet filtering configuration (discard) *** 1. change 2. delete 3. add 4. display 5. end Select the number. [5]: 3 <Add IP filtering data> protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]: 2 source address [*]: A=<port<=B A [0]: B [65535]: destination address [*]: 192.168.1.1 mask [255.255.255.255]: A=<port<=B A [0]: 161 B [65535]: 161 receive interface (1.LAN 2.HSD) [1,2]: send interface (1.LAN 2.HSD) [1,2]: mode (1:full 2:half) [1]: IP filtering data: no src address src mask A=<s port<=B recv interface protocol dst address dst mask A=<d port<=B send interface mode ---+---------------+---------------+------------+---------------------+-------- 1. * * 0,65535 LAN,HSD udp 192.168.1.1 255.255.255.255 161, 161 LAN,HSD full Add OK (y/n)? [y]: *** Set IP packet filtering configuration (discard) *** 1. change 2. delete 3. add 4. display 5. end Select the number. [5]: 3 <Add IP filtering data> protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]: 2 source address [*]: A=<port<=B A [0]: B [65535]: destination address [*]: 210.xxx.xxx.1 mask [255.255.255.255]: A=<port<=B A [0]: 161 B [65535]: 161 receive interface (1.LAN 2.HSD) [1,2]: send interface (1.LAN 2.HSD) [1,2]: mode (1:full 2:half) [1]: IP filtering data: no src address src mask A=<s port<=B recv interface protocol dst address dst mask A=<d port<=B send interface mode ---+---------------+---------------+------------+---------------------+-------- 2. * * 0,65535 LAN,HSD udp 210.xxx.xxx.1 255.255.255.255 161, 161 LAN,HSD full Add OK (y/n)? [y]: <<< JPCERT/CC Alert 2002-02-14 >>>
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002 |