snmp-setのコミュニティ名

ルータや最近ではWindows2000等でもデフォルトでsnmpを使用できるようになってきております。snmpの仕様として通常読み出しにはコミュニティ名が必要でデフォルトではpublicを用います。同様に書きをする場合にもコミュニティ名が設定できるのですがこれが他人に知れわたってしまった場合のセキュリティ的なインパクトとしてどのようなことが考えられるのでしょうか。具体的には読み込み用のコミュニティ名がばれてしまった場合詳細な機器構成がばれてしまう事が考えられますが書きみ込み用コミュニティ名がばれた場合機器の設定情報を書き換えられるようなことはあるのでしょうか。

No.2 ベストアンサー 回答者： a-kuma 回答日時： 2001/04/10 21:29

> MIBのどの値が書き換えられてしまうため...

に対する直接の回答ではないのですが、前回の回答は、
クラッカーから見ての相手（つまり、こちら側）が何であるか
を知られることから、クラックが始まるので、読込用の
コミュニティ名は重要だ、と書いたつもりだったのです。

例えば、WEBサーバのOSがSolarisである、と知られれば
Solaris で使われているアプリケーションの既知の障害を
しらみつぶしに当たって行き、ひとつでも「穴」を空けて
管理者権限が手に入れば、あとはなんでもありですから。


書き込みによる被害を考えるのであれば、ネットワークの
構成機器とその拡張MIB次第。

「名前」のようなやつは実害はあまり無いかもしれないけど
IPアドレスやルーティング情報も書き換えられるはずですよね。

悪用はできなくても、クラックの対象にはなりますね。

とりあえず、MIB-(2)のRFCを参考URLに載せておきます。

参考URL：http://www.rfc-editor.org/rfc/rfc1213.txt

この回答へのお礼

IPアドレスやルーティングまで書き換えられるのでしょうか。各機器の拡張MIBまで調べるとなるととても膨大になりそうですね日本語訳を提供しているサイトなんかがあるとべんりなのですが今現在なさそうです。気長にMIBをみることにします。

お礼日時：2001/04/13 01:38

No.1 回答者： a-kuma 回答日時： 2001/04/09 11:40

SNMPにおける「コミュニティ名」はアクセス制御に使われるもの

ですから、悪意がある利用者に知られた場合には、当然

> 機器の設定情報を書き換えられるようなことはある

ということになります。また、読込用のコミュニティ名について

> 詳細な機器構成がばれてしまう

程度だと軽視されているようですが、クラックの第一歩は
相手が何かを知ることです。

外の世界につなぐようなことがあるのでしたら、コミュニティ名は
きちんと考えてつけて、管理をきちんとしましょう。

この回答へのお礼

回答をいただきありがとうございました。ご指摘の通りSNMPのコミュニティー名はセキュリティインパクトが大変大きいものとなります。そのためFWを設置しコミュニティ名も容易に想像できない複雑なものへ変更しております。また、SNMPにはSET用コミュニティ名も存在しておりそちらの管理も徹底していきたいと考えております。しかしながら管理するにあたって具体的にコミュニティ名がばれてしまった場合に被害として考えられることを提示したいのですが具体的な事例が思い浮かびません。なにかご存知でしたらどのMIBのどの値が書き換えられてしまうためどのようなことが起こるのかがわかればと思っております。

お礼日時：2001/04/10 20:46