狠狠撸

狠狠撸Share a Scribd company logo

厂狈惭笔セキュリティ超入门

?Download as PPTX, PDF?
?
M
mkoda

ニフクラ エンジニア ミートアップの登壇資料です。 https://fujitsufjct.connpass.com/event/301514/

1 of 15
Downloaded 12 times
SNMP セキュリティ超入門 2023/11/29 masashi.kouda 第66回 ニフクラ エンジニア ミートアップ
Copyright ?? m.kouda 2023 幸田将司: セキュリティのフリーランス: - SecuriST(R) 認定診断士 試験委員会 - 株式会社Levii - 株式会社バラエナテック 代表 SNS: - @halkichisec Who am I?
Copyright ?? m.kouda 2023 1. SNMPとはなんぞや 2. SNMPのセキュリティ 3. 推奨設定 Contents
Copyright ?? m.kouda 2023 SNMPとはなんぞや
Copyright ?? m.kouda 2023 SNMPとはなんぞや ?SNMP(Simple Network Management Protocol) ?ネットワーク監視/管理を行うためのプロトコル ? UDPで動作 ?監視対象はWebサーバやルータ、スイッチ等 ?2つの要素が必要 ? マネージャ(管理する側) ? エージェント(管理される側) ?利用するメリット ? 対応機器が多い ? 様々なデバイスが混在するネットワークで使用できる
Copyright ?? m.kouda 2023 SNMPとはなんぞや ?コミュニティ名をあいことばとしてお互いを認証 ?バージョンが存在する ?SNMPv1 ?SNMPv2c ? コミュニティ名 + OIDの情報を送信 ? 平文で送信される ?SNMPv3 ? セキュリティがちょっと向上 ? ユーザの認証有 ? 暗号化有
Copyright ?? m.kouda 2023 SNMPとはなんぞや ?SNMPはどのように使う? 1. マネージャ → エージェントへのSNMPポーリング 2. マネージャ ← エージェントへのSNMPトラップ CPUの使用率教えて なんかリンクダウンしたっぽい
Copyright ?? m.kouda 2023 気にするべきセキュリティ
Copyright ?? m.kouda 2023 SNMPのセキュリティ ?SNMPはどんな情報が取得できる? ?MIBというデータ群がある ?OIDを指定してデータを取得できる(以下はほんの一例) MIB OID 説明 sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a) sysContact 1.3.6.1.2.1.1.4.0 管理者の情報 sysName 1.3.6.1.2.1.1.5.0 機器のホスト名 sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置 ....etc ベンダ毎の拡張MIBも有 NIFCLOUD クラウドユーザーガイド https://docs.nifcloud.com/watch/guide/snmp_info.htm ニフクラのユーザガイドも 参考になる
Copyright ?? m.kouda 2023 SNMPのセキュリティ ?ユーザ認証の仕組みがない ?(SNMPv2c) コミュニティ名が一致すれば情報が取得可能 ↓ ?(SNMPv3) ユーザ認証が可能 ?そもそも平文で送信される ?(SNMPv2c) ネットワーク上の中間者攻撃に弱い ↓ ?(SNMPv3) 暗号化が可能 セキュリティ上の 弱点が解消され た...ってコト!?
Copyright ?? m.kouda 2023 SNMPv3の弱点 ?UDPで動作するが、ユーザ認証 + 暗号化がある ?システムのリソースに影響がある(許容範囲...?) ?ユーザの存在が調査できる (+ユーザ名は平文) $snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Unknown user name ← ユーザ名が違う $snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Authentication failure (incorrect password, community or key) ←PWが違う
Copyright ?? m.kouda 2023 推奨設定
Copyright ?? m.kouda 2023 推奨設定 ?デフォルトのコミュニティ名を使わない ?public, private ?IPアドレスによる制限 ?SNMPマネージャのIPだけに応答する ?VPN等の仕組みでトンネル化(WANの場合) ?SNMPの存在自体を隠蔽する ?SHODAN等にスキャンされたくない
Copyright ?? m.kouda 2023 クラウドの場合 ?クラウドサービスの基本監視に任せてもいいんじゃな い...? NIFCLOUD –特徴 https://pfs.nifcloud.com/feature/ マネージャの管理コストが減りそう
Copyright ?? m.kouda 2023 おわり ?ご清聴ありがとうございました。

More Related Content

厂狈惭笔セキュリティ超入门

  • 2. Copyright ?? m.kouda 2023 幸田将司: セキュリティのフリーランス: - SecuriST(R) 認定診断士 試験委員会 - 株式会社Levii - 株式会社バラエナテック 代表 SNS: - @halkichisec Who am I?
  • 3. Copyright ?? m.kouda 2023 1. SNMPとはなんぞや 2. SNMPのセキュリティ 3. 推奨設定 Contents
  • 4. Copyright ?? m.kouda 2023 SNMPとはなんぞや
  • 5. Copyright ?? m.kouda 2023 SNMPとはなんぞや ?SNMP(Simple Network Management Protocol) ?ネットワーク監視/管理を行うためのプロトコル ? UDPで動作 ?監視対象はWebサーバやルータ、スイッチ等 ?2つの要素が必要 ? マネージャ(管理する側) ? エージェント(管理される側) ?利用するメリット ? 対応機器が多い ? 様々なデバイスが混在するネットワークで使用できる
  • 6. Copyright ?? m.kouda 2023 SNMPとはなんぞや ?コミュニティ名をあいことばとしてお互いを認証 ?バージョンが存在する ?SNMPv1 ?SNMPv2c ? コミュニティ名 + OIDの情報を送信 ? 平文で送信される ?SNMPv3 ? セキュリティがちょっと向上 ? ユーザの認証有 ? 暗号化有
  • 7. Copyright ?? m.kouda 2023 SNMPとはなんぞや ?SNMPはどのように使う? 1. マネージャ → エージェントへのSNMPポーリング 2. マネージャ ← エージェントへのSNMPトラップ CPUの使用率教えて なんかリンクダウンしたっぽい
  • 8. Copyright ?? m.kouda 2023 気にするべきセキュリティ
  • 9. Copyright ?? m.kouda 2023 SNMPのセキュリティ ?SNMPはどんな情報が取得できる? ?MIBというデータ群がある ?OIDを指定してデータを取得できる(以下はほんの一例) MIB OID 説明 sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a) sysContact 1.3.6.1.2.1.1.4.0 管理者の情報 sysName 1.3.6.1.2.1.1.5.0 機器のホスト名 sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置 ....etc ベンダ毎の拡張MIBも有 NIFCLOUD クラウドユーザーガイド https://docs.nifcloud.com/watch/guide/snmp_info.htm ニフクラのユーザガイドも 参考になる
  • 10. Copyright ?? m.kouda 2023 SNMPのセキュリティ ?ユーザ認証の仕組みがない ?(SNMPv2c) コミュニティ名が一致すれば情報が取得可能 ↓ ?(SNMPv3) ユーザ認証が可能 ?そもそも平文で送信される ?(SNMPv2c) ネットワーク上の中間者攻撃に弱い ↓ ?(SNMPv3) 暗号化が可能 セキュリティ上の 弱点が解消され た...ってコト!?
  • 11. Copyright ?? m.kouda 2023 SNMPv3の弱点 ?UDPで動作するが、ユーザ認証 + 暗号化がある ?システムのリソースに影響がある(許容範囲...?) ?ユーザの存在が調査できる (+ユーザ名は平文) $snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Unknown user name ← ユーザ名が違う $snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Authentication failure (incorrect password, community or key) ←PWが違う
  • 12. Copyright ?? m.kouda 2023 推奨設定
  • 13. Copyright ?? m.kouda 2023 推奨設定 ?デフォルトのコミュニティ名を使わない ?public, private ?IPアドレスによる制限 ?SNMPマネージャのIPだけに応答する ?VPN等の仕組みでトンネル化(WANの場合) ?SNMPの存在自体を隠蔽する ?SHODAN等にスキャンされたくない
  • 14. Copyright ?? m.kouda 2023 クラウドの場合 ?クラウドサービスの基本監視に任せてもいいんじゃな い...? NIFCLOUD –特徴 https://pfs.nifcloud.com/feature/ マネージャの管理コストが減りそう
  • 15. Copyright ?? m.kouda 2023 おわり ?ご清聴ありがとうございました。