- ベストアンサー
snmp-setのコミュニティ名
ルータや最近ではWindows2000等でもデフォルトでsnmpを使用できるようになってきております。snmpの仕様として通常読み出しにはコミュニティ名が必要でデフォルトではpublicを用います。同様に書きをする場合にもコミュニティ名が設定できるのですがこれが他人に知れわたってしまった場合のセキュリティ的なインパクトとしてどのようなことが考えられるのでしょうか。具体的には読み込み用のコミュニティ名がばれてしまった場合詳細な機器構成がばれてしまう事が考えられますが書きみ込み用コミュニティ名がばれた場合機器の設定情報を書き換えられるようなことはあるのでしょうか。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> MIBのどの値が書き換えられてしまうため... に対する直接の回答ではないのですが、前回の回答は、 クラッカーから見ての相手(つまり、こちら側)が何であるか を知られることから、クラックが始まるので、読込用の コミュニティ名は重要だ、と書いたつもりだったのです。 例えば、WEBサーバのOSがSolarisである、と知られれば Solaris で使われているアプリケーションの既知の障害を しらみつぶしに当たって行き、ひとつでも「穴」を空けて 管理者権限が手に入れば、あとはなんでもありですから。 書き込みによる被害を考えるのであれば、ネットワークの 構成機器とその拡張MIB次第。 「名前」のようなやつは実害はあまり無いかもしれないけど IPアドレスやルーティング情報も書き換えられるはずですよね。 悪用はできなくても、クラックの対象にはなりますね。 とりあえず、MIB-(2)のRFCを参考URLに載せておきます。
その他の回答 (1)
- a-kuma
- ベストアンサー率50% (1122/2211)
SNMPにおける「コミュニティ名」はアクセス制御に使われるもの ですから、悪意がある利用者に知られた場合には、当然 > 機器の設定情報を書き換えられるようなことはある ということになります。また、読込用のコミュニティ名について > 詳細な機器構成がばれてしまう 程度だと軽視されているようですが、クラックの第一歩は 相手が何かを知ることです。 外の世界につなぐようなことがあるのでしたら、コミュニティ名は きちんと考えてつけて、管理をきちんとしましょう。
お礼
回答をいただきありがとうございました。ご指摘の通りSNMPのコミュニティー名はセキュリティインパクトが大変大きいものとなります。そのためFWを設置しコミュニティ名も容易に想像できない複雑なものへ変更しております。また、SNMPにはSET用コミュニティ名も存在しておりそちらの管理も徹底していきたいと考えております。しかしながら管理するにあたって具体的にコミュニティ名がばれてしまった場合に被害として考えられることを提示したいのですが具体的な事例が思い浮かびません。なにかご存知でしたらどのMIBのどの値が書き換えられてしまうためどのようなことが起こるのかがわかればと思っております。
お礼
IPアドレスやルーティングまで書き換えられるのでしょうか。各機器の拡張MIBまで調べるとなるととても膨大になりそうですね日本語訳を提供しているサイトなんかがあるとべんりなのですが今現在なさそうです。気長にMIBをみることにします。