Contenu connexe
Similaire à SNMPセキュリティ超入門 (20)
SNMPセキュリティ超入門
- 2. Copyright ©︎ m.kouda 2023
幸田将司:
セキュリティのフリーランス:
- SecuriST(R) 認定診断士 試験委員会
- 株式会社Levii
- 株式会社バラエナテック 代表
SNS:
- @halkichisec
Who am I?
- 5. Copyright ©︎ m.kouda 2023
SNMPとはなんぞや
SNMP(Simple Network Management Protocol)
ネットワーク監視/管理を行うためのプロトコル
• UDPで動作
監視対象はWebサーバやルータ、スイッチ等
2つの要素が必要
• マネージャ(管理する側)
• エージェント(管理される側)
利用するメリット
• 対応機器が多い
• 様々なデバイスが混在するネットワークで使用できる
- 6. Copyright ©︎ m.kouda 2023
SNMPとはなんぞや
コミュニティ名をあいことばとしてお互いを認証
バージョンが存在する
SNMPv1
SNMPv2c
• コミュニティ名 + OIDの情報を送信
• 平文で送信される
SNMPv3
• セキュリティがちょっと向上
• ユーザの認証有
• 暗号化有
- 7. Copyright ©︎ m.kouda 2023
SNMPとはなんぞや
SNMPはどのように使う?
1. マネージャ → エージェントへのSNMPポーリング
2. マネージャ ← エージェントへのSNMPトラップ
CPUの使用率教えて
なんかリンクダウンしたっぽい
- 9. Copyright ©︎ m.kouda 2023
SNMPのセキュリティ
SNMPはどんな情報が取得できる?
MIBというデータ群がある
OIDを指定してデータを取得できる(以下はほんの一例)
MIB OID 説明
sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a)
sysContact 1.3.6.1.2.1.1.4.0 管理者の情報
sysName 1.3.6.1.2.1.1.5.0 機器のホスト名
sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置
....etc ベンダ毎の拡張MIBも有
NIFCLOUD クラウドユーザーガイド
https://docs.nifcloud.com/watch/guide/snmp_info.htm
ニフクラのユーザガイドも
参考になる
- 10. Copyright ©︎ m.kouda 2023
SNMPのセキュリティ
ユーザ認証の仕組みがない
(SNMPv2c) コミュニティ名が一致すれば情報が取得可能
↓
(SNMPv3) ユーザ認証が可能
そもそも平文で送信される
(SNMPv2c) ネットワーク上の中間者攻撃に弱い
↓
(SNMPv3) 暗号化が可能
セキュリティ上の
弱点が解消され
た...ってコト!?
- 11. Copyright ©︎ m.kouda 2023
SNMPv3の弱点
UDPで動作するが、ユーザ認証 + 暗号化がある
システムのリソースに影響がある(許容範囲...?)
ユーザの存在が調査できる (+ユーザ名は平文)
$snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l
authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0
snmpwalk: Unknown user name ← ユーザ名が違う
$snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l
authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0
snmpwalk: Authentication failure (incorrect password, community or
key) ←PWが違う
- 13. Copyright ©︎ m.kouda 2023
推奨設定
デフォルトのコミュニティ名を使わない
public, private
IPアドレスによる制限
SNMPマネージャのIPだけに応答する
VPN等の仕組みでトンネル化(WANの場合)
SNMPの存在自体を隠蔽する
SHODAN等にスキャンされたくない
- 14. Copyright ©︎ m.kouda 2023
クラウドの場合
クラウドサービスの基本監視に任せてもいいんじゃな
い...?
NIFCLOUD –特徴
https://pfs.nifcloud.com/feature/
マネージャの管理コストが減りそう