RTシリーズのSNMPに関するFAQ
新規作成日 | 2002/Feb/14 |
最終変更日 | 2019/Jun/04 |
文書サイズ | 5.9KB |
SNMPv1セキュリティ問題とは?
SNMPv1のセキュリティ問題について、2002年2月に
CERT/CC
がCERT Advisoryを発表しました。
- CERT Advisory CA-2002-03:
- Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP),
http://www.cert.org/advisories/CA-2002-03.html
[ ヤマハRTシリーズにおける脆弱性の検証結果報告 ]
このCERT Advisoryでは多数のSNMPv1対応ネットワーク機器が、
不正なSNMPパケットを受信することにより異常な動作を行うことが
記述されていますが、ヤマハRTシリーズでは
2002年2月14日現在、以下の組合せでは脆弱ではないことを確認しております。
機種 | リビジョン | 脆弱性 |
RT300i |
6.02.16 |
脆弱ではない |
RT105シリーズ |
脆弱ではない |
RT140シリーズ |
脆弱ではない |
4.00.54 |
脆弱ではない |
RT200i |
脆弱ではない |
RT103i |
脆弱ではない |
RT52pro |
4.02.09 |
脆弱ではない |
RT100i |
3.00.46 |
脆弱ではない |
RT102i |
脆弱ではない |
|
機種 | リビジョン | |
RT80i |
- |
SNMP未対応 |
RTW65b |
RTW65i |
RTA54i |
RT60w |
RTA52i |
RTA50i |
|
[ 安全対策ガイド ]
不正なSNMPによる問題が起きる可能性を避けるために、以下のような対策を取ることを
お勧めします。
- SNMPを利用しない場合には、snmp hostコマンドを'none'と設定してすべての
SNMPパケットを受信しないようにする。
'snmp host none'はほとんどの場合、デフォルトの設定になっています。
- SNMPを利用する場合は、snmp hostコマンドでSNMPマネージャのIPアドレスを
指定する。全てのIPアドレスからのSNMPパケットを受け入れる'snmp host any'
設定は利用しない。
- snmp community read-only/read-writeコマンドによって、コミュニティ名を
デフォルト値である'public'、'private'から別のものに変更する。
- インターネットの入口になっているルータやファイアウォールの設定により、
始点IPアドレスがサイト内のIPアドレスになっているような、なりすまし
パケットがサイト内に入ってこれないようにする。
なお、ヤマハRTシリーズはSNMPパケットをUDPポート161番でだけ受信します。
CERT Advisoryに示されているTCPを利用したSNMPや他のポート番号を利用する
SNMP拡張機能には対応していません。
[ 参考リンク ]
[ FAQ for RT-Series
/ FAQ for SNMP
]