Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX1000シリーズ SNMPv1セキュリティホール(脆弱性)についての御報告
はじめに
2002年2月12日に米国のコンピュータ緊急事態対策チームであるCERT/CCより、ネットワーク管理プロトコルとして広く用いられているSNMPv1の実装機器の多くで、「不正なSNMPパケットによる攻撃」により、サービス運用妨害を受けたり、第三者が機器の管理者権限を取得する恐れがある旨の警告を発表いたしました。
CERT Advisory CA-2002-03:
Multiple Vulnerabilities in Many Implementations of
he Simple Network Management Protocol (SNMP)
(http://www.cert.org/advisories/CA-2002-03.html)
SNMPv1脆弱性問題の予測される影響
IX1000シリーズではSNMPv1エージェント機能を実装しており、この脆弱性問題の影響を受けます。
[検証結果]
SNMPv1 Encodingに関する攻撃を受けた場合、且つ、ソフトウェアのバージョンが以下に該当する場合、装置がリスタートする場合があります。その影響として、再起動までの間の通信が停止します。
機種名 | ソフトウェアバージョン | |
---|---|---|
Ver.1,2 | Ver.3.以降 | |
IX1010 | リスタートする場合有り | リスタートしない |
IX1020 | リスタートする場合有り | リスタートしない |
IX1050 | リスタートする場合有り | リスタートしない |
※以下の処置を施すことにより、このリスクを最小限に抑えることができます。
※IX1011とIX2000/IX3000シリーズは非該当です。
SNMP不正アクセスに対する回避策
IX1000シリーズでは、コンフィグ設定時に以下の処置を施すことにより、この脆弱性問題の影響を最小限に抑えることができます。
1. SNMPエージェントを使用しない。
IX1000シリーズのSNMPエージェント機能は、デフォルト「ディセーブル」であるため、「イネーブル」に設定しない限り、本問題の影響は受けません。
2. リスクを最小限に抑えて、SNMPエージェントを使用する。SNMPエージェント機能を「イネーブル」に設定するときは、以下の処置を行うことにより、リスクの低減を図ることが可能です。
- read-only の設定以外は行わない。[必須]
すなわち、read-write の設定は行わない。
(注)IX1000シリーズでは、Setはサポートされておりません。 - IX1000シリーズは、SNMPに関する設定をデフォルト値で持っていないため、コミュニティ名として、一般的な名称(publicなど)を使用せず、部外者に推測され難い名前を使用する。
- 特定のSNMPマネージャのアクセスのみ受け付ける。[強化策]
アクセスリストの設定により、特定のソースアドレスを持つSNMPパケット以外はMIBアクセスを許可しない設定とする。また、IX1000シリーズをインターネットに接続するときは、特定の宛先/プロトコルのみの受信を許可するフィルタを設定する。 - なりすましを防御する。[強化策]
なりすまし(スプーフ攻撃)に対しては、フィルタ設定により防御する。また、SNMPマネージャとIX1000シリーズ間の通信にIPsecを使用すれば、IPsecが持つ改竄・認証機能により、なりすまし攻撃に対する防御度が高めることが可能です。
3. SNMPトラップパケットのポート番号を変更する。
IX1000シリーズとしてSNMPトラップパケットのポート番号(UDP/162)を変更できるため、ポート番号を変更して使用する。
(注)本処置は、SNMPマネージャ側の脆弱性を保護するための対策です。
脆弱性の恒久処置
プログラム ver.3.0.10より、SNMPv1 Encodingに関する攻撃を受けた場合でも、IX1000シリーズがリスタートしないように恒久処置を施しました。
資料請求・お問い合わせ