SlideShare une entreprise Scribd logo

SNMPセキュリティ超入門

Télécharger en tant que PPTX, PDF
M
mkoda

ニフクラ エンジニア ミートアップの登壇資料です。 https://fujitsufjct.connpass.com/event/301514/

Technologie
1  sur  15
SNMP セキュリティ超入門 2023/11/29 masashi.kouda 第66回 ニフクラ エンジニア ミートアップ
Copyright ©︎ m.kouda 2023 幸田将司: セキュリティのフリーランス: - SecuriST(R) 認定診断士 試験委員会 - 株式会社Levii - 株式会社バラエナテック 代表 SNS: - @halkichisec Who am I?
Copyright ©︎ m.kouda 2023 1. SNMPとはなんぞや 2. SNMPのセキュリティ 3. 推奨設定 Contents
Copyright ©︎ m.kouda 2023 SNMPとはなんぞや
Copyright ©︎ m.kouda 2023 SNMPとはなんぞや SNMP(Simple Network Management Protocol) ネットワーク監視/管理を行うためのプロトコル • UDPで動作 監視対象はWebサーバやルータ、スイッチ等 2つの要素が必要 • マネージャ(管理する側) • エージェント(管理される側) 利用するメリット • 対応機器が多い • 様々なデバイスが混在するネットワークで使用できる
Copyright ©︎ m.kouda 2023 SNMPとはなんぞや コミュニティ名をあいことばとしてお互いを認証 バージョンが存在する SNMPv1 SNMPv2c • コミュニティ名 + OIDの情報を送信 • 平文で送信される SNMPv3 • セキュリティがちょっと向上 • ユーザの認証有 • 暗号化有
Copyright ©︎ m.kouda 2023 SNMPとはなんぞや SNMPはどのように使う? 1. マネージャ → エージェントへのSNMPポーリング 2. マネージャ ← エージェントへのSNMPトラップ CPUの使用率教えて なんかリンクダウンしたっぽい
Copyright ©︎ m.kouda 2023 気にするべきセキュリティ
Copyright ©︎ m.kouda 2023 SNMPのセキュリティ SNMPはどんな情報が取得できる? MIBというデータ群がある OIDを指定してデータを取得できる(以下はほんの一例) MIB OID 説明 sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a) sysContact 1.3.6.1.2.1.1.4.0 管理者の情報 sysName 1.3.6.1.2.1.1.5.0 機器のホスト名 sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置 ....etc ベンダ毎の拡張MIBも有 NIFCLOUD クラウドユーザーガイド https://docs.nifcloud.com/watch/guide/snmp_info.htm ニフクラのユーザガイドも 参考になる
Copyright ©︎ m.kouda 2023 SNMPのセキュリティ ユーザ認証の仕組みがない (SNMPv2c) コミュニティ名が一致すれば情報が取得可能 ↓ (SNMPv3) ユーザ認証が可能 そもそも平文で送信される (SNMPv2c) ネットワーク上の中間者攻撃に弱い ↓ (SNMPv3) 暗号化が可能 セキュリティ上の 弱点が解消され た...ってコト!?
Copyright ©︎ m.kouda 2023 SNMPv3の弱点 UDPで動作するが、ユーザ認証 + 暗号化がある システムのリソースに影響がある(許容範囲...?) ユーザの存在が調査できる (+ユーザ名は平文) $snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Unknown user name ← ユーザ名が違う $snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Authentication failure (incorrect password, community or key) ←PWが違う
Copyright ©︎ m.kouda 2023 推奨設定
Copyright ©︎ m.kouda 2023 推奨設定 デフォルトのコミュニティ名を使わない public, private IPアドレスによる制限 SNMPマネージャのIPだけに応答する VPN等の仕組みでトンネル化(WANの場合) SNMPの存在自体を隠蔽する SHODAN等にスキャンされたくない
Copyright ©︎ m.kouda 2023 クラウドの場合 クラウドサービスの基本監視に任せてもいいんじゃな い...? NIFCLOUD –特徴 https://pfs.nifcloud.com/feature/ マネージャの管理コストが減りそう
Copyright ©︎ m.kouda 2023 おわり ご清聴ありがとうございました。

Recommandé

Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Application of ElGamal Encryption Scheme to Control System for Security Enhan...Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Kiminao Kogiso
 
Introduction to NetOpsCoding#3
Introduction to NetOpsCoding#3Introduction to NetOpsCoding#3
Introduction to NetOpsCoding#3
Taiji Tsuchiya
 
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~ データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
Brocade
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
Juniper Networks (日本)
 
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
Juniper Networks (日本)
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
モノビット エンジン
 

Recommandé

Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Application of ElGamal Encryption Scheme to Control System for Security Enhan...Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Application of ElGamal Encryption Scheme to Control System for Security Enhan...
Kiminao Kogiso
 
Introduction to NetOpsCoding#3
Introduction to NetOpsCoding#3Introduction to NetOpsCoding#3
Introduction to NetOpsCoding#3
Taiji Tsuchiya
 
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~ データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~
Brocade
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
Juniper Networks (日本)
 
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
Juniper Networks (日本)
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
MRU : Monobit Reliable UDP ~5G世代のモバイルゲームに最適な通信プロトコルを目指して~
モノビット エンジン
 
45分で理解する ドッコムマスタートリプルスター受験対策 2012
45分で理解する ドッコムマスタートリプルスター受験対策 201245分で理解する ドッコムマスタートリプルスター受験対策 2012
45分で理解する ドッコムマスタートリプルスター受験対策 2012
Yukio Saito
 
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
Juniper Networks (日本)
 
HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方
Hiroshi Nakamura
 
2016-ShowNetステージ-モニタリング
2016-ShowNetステージ-モニタリング2016-ShowNetステージ-モニタリング
2016-ShowNetステージ-モニタリング
Interop Tokyo ShowNet NOC Team
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
 
Message Analyzer 再入門【1】
Message Analyzer 再入門【1】Message Analyzer 再入門【1】
Message Analyzer 再入門【1】
彰 村地
 
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
Kazuhiko Kato
 
SORACOM UG 東海 #1 | SORACOM 紹介
SORACOM UG 東海 #1 | SORACOM 紹介SORACOM UG 東海 #1 | SORACOM 紹介
SORACOM UG 東海 #1 | SORACOM 紹介
SORACOM,INC
 
Pertino + softlayer
Pertino + softlayerPertino + softlayer
Pertino + softlayer
Takayuki Nakajima
 
IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)
techlog (Internet Initiative Japan Inc.)
 
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale Japan株式会社
 
openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019
Takehiro Kudou
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID Foundation Japan
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
 
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
Hinemos
 
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
Yukio Saito
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
シスコシステムズ合同会社
 
Introduction to NetOpsCoding
Introduction to NetOpsCodingIntroduction to NetOpsCoding
Introduction to NetOpsCoding
Taiji Tsuchiya
 
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
Juniper Networks (日本)
 
Jtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_sJtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_s
Junya Arimura
 
情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイント
onozaty
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
瑛一 西口
 

Contenu connexe

Similaire à SNMPセキュリティ超入門

HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方
Hiroshi Nakamura
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
シスコシステムズ合同会社
 
Jtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_sJtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_s
Junya Arimura
 

Similaire à SNMPセキュリティ超入門 (20)

45分で理解する ドッコムマスタートリプルスター受験対策 2012
45分で理解する ドッコムマスタートリプルスター受験対策 201245分で理解する ドッコムマスタートリプルスター受験対策 2012
45分で理解する ドッコムマスタートリプルスター受験対策 2012
 
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
 
HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方HSM用ミドルウェア Conduit Toolkitの概要と使い方
HSM用ミドルウェア Conduit Toolkitの概要と使い方
 
2016-ShowNetステージ-モニタリング
2016-ShowNetステージ-モニタリング2016-ShowNetステージ-モニタリング
2016-ShowNetステージ-モニタリング
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
 
Message Analyzer 再入門【1】
Message Analyzer 再入門【1】Message Analyzer 再入門【1】
Message Analyzer 再入門【1】
 
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
 
SORACOM UG 東海 #1 | SORACOM 紹介
SORACOM UG 東海 #1 | SORACOM 紹介SORACOM UG 東海 #1 | SORACOM 紹介
SORACOM UG 東海 #1 | SORACOM 紹介
 
Pertino + softlayer
Pertino + softlayerPertino + softlayer
Pertino + softlayer
 
IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)
 
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
 
openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
 
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
 
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
 
Introduction to NetOpsCoding
Introduction to NetOpsCodingIntroduction to NetOpsCoding
Introduction to NetOpsCoding
 
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
【Interop Tokyo 2015】将来にわたる収益化を支えるデータセンターインフラとは。
 
Jtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_sJtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_s
 

Dernier

研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
atsushi061452
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
ssuserbefd24
 

Dernier (12)

情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイント
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
 
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
 
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
 

SNMPセキュリティ超入門

  • 2. Copyright ©︎ m.kouda 2023 幸田将司: セキュリティのフリーランス: - SecuriST(R) 認定診断士 試験委員会 - 株式会社Levii - 株式会社バラエナテック 代表 SNS: - @halkichisec Who am I?
  • 3. Copyright ©︎ m.kouda 2023 1. SNMPとはなんぞや 2. SNMPのセキュリティ 3. 推奨設定 Contents
  • 4. Copyright ©︎ m.kouda 2023 SNMPとはなんぞや
  • 5. Copyright ©︎ m.kouda 2023 SNMPとはなんぞや SNMP(Simple Network Management Protocol) ネットワーク監視/管理を行うためのプロトコル • UDPで動作 監視対象はWebサーバやルータ、スイッチ等 2つの要素が必要 • マネージャ(管理する側) • エージェント(管理される側) 利用するメリット • 対応機器が多い • 様々なデバイスが混在するネットワークで使用できる
  • 6. Copyright ©︎ m.kouda 2023 SNMPとはなんぞや コミュニティ名をあいことばとしてお互いを認証 バージョンが存在する SNMPv1 SNMPv2c • コミュニティ名 + OIDの情報を送信 • 平文で送信される SNMPv3 • セキュリティがちょっと向上 • ユーザの認証有 • 暗号化有
  • 7. Copyright ©︎ m.kouda 2023 SNMPとはなんぞや SNMPはどのように使う? 1. マネージャ → エージェントへのSNMPポーリング 2. マネージャ ← エージェントへのSNMPトラップ CPUの使用率教えて なんかリンクダウンしたっぽい
  • 8. Copyright ©︎ m.kouda 2023 気にするべきセキュリティ
  • 9. Copyright ©︎ m.kouda 2023 SNMPのセキュリティ SNMPはどんな情報が取得できる? MIBというデータ群がある OIDを指定してデータを取得できる(以下はほんの一例) MIB OID 説明 sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a) sysContact 1.3.6.1.2.1.1.4.0 管理者の情報 sysName 1.3.6.1.2.1.1.5.0 機器のホスト名 sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置 ....etc ベンダ毎の拡張MIBも有 NIFCLOUD クラウドユーザーガイド https://docs.nifcloud.com/watch/guide/snmp_info.htm ニフクラのユーザガイドも 参考になる
  • 10. Copyright ©︎ m.kouda 2023 SNMPのセキュリティ ユーザ認証の仕組みがない (SNMPv2c) コミュニティ名が一致すれば情報が取得可能 ↓ (SNMPv3) ユーザ認証が可能 そもそも平文で送信される (SNMPv2c) ネットワーク上の中間者攻撃に弱い ↓ (SNMPv3) 暗号化が可能 セキュリティ上の 弱点が解消され た...ってコト!?
  • 11. Copyright ©︎ m.kouda 2023 SNMPv3の弱点 UDPで動作するが、ユーザ認証 + 暗号化がある システムのリソースに影響がある(許容範囲...?) ユーザの存在が調査できる (+ユーザ名は平文) $snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Unknown user name ← ユーザ名が違う $snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Authentication failure (incorrect password, community or key) ←PWが違う
  • 12. Copyright ©︎ m.kouda 2023 推奨設定
  • 13. Copyright ©︎ m.kouda 2023 推奨設定 デフォルトのコミュニティ名を使わない public, private IPアドレスによる制限 SNMPマネージャのIPだけに応答する VPN等の仕組みでトンネル化(WANの場合) SNMPの存在自体を隠蔽する SHODAN等にスキャンされたくない
  • 14. Copyright ©︎ m.kouda 2023 クラウドの場合 クラウドサービスの基本監視に任せてもいいんじゃな い...? NIFCLOUD –特徴 https://pfs.nifcloud.com/feature/ マネージャの管理コストが減りそう
  • 15. Copyright ©︎ m.kouda 2023 おわり ご清聴ありがとうございました。