• ベストアンサー

snmp-setのコミュニティ名

ルータや最近ではWindows2000等でもデフォルトでsnmpを使用できるようになってきております。snmpの仕様として通常読み出しにはコミュニティ名が必要でデフォルトではpublicを用います。同様に書きをする場合にもコミュニティ名が設定できるのですがこれが他人に知れわたってしまった場合のセキュリティ的なインパクトとしてどのようなことが考えられるのでしょうか。具体的には読み込み用のコミュニティ名がばれてしまった場合詳細な機器構成がばれてしまう事が考えられますが書きみ込み用コミュニティ名がばれた場合機器の設定情報を書き換えられるようなことはあるのでしょうか。

質問者が選んだベストアンサー

  • ベストアンサー
  • a-kuma
  • ベストアンサー率50% (1122/2211)
回答No.2

> MIBのどの値が書き換えられてしまうため... に対する直接の回答ではないのですが、前回の回答は、 クラッカーから見ての相手(つまり、こちら側)が何であるか を知られることから、クラックが始まるので、読込用の コミュニティ名は重要だ、と書いたつもりだったのです。 例えば、WEBサーバのOSがSolarisである、と知られれば Solaris で使われているアプリケーションの既知の障害を しらみつぶしに当たって行き、ひとつでも「穴」を空けて 管理者権限が手に入れば、あとはなんでもありですから。 書き込みによる被害を考えるのであれば、ネットワークの 構成機器とその拡張MIB次第。 「名前」のようなやつは実害はあまり無いかもしれないけど IPアドレスやルーティング情報も書き換えられるはずですよね。 悪用はできなくても、クラックの対象にはなりますね。 とりあえず、MIB-(2)のRFCを参考URLに載せておきます。

参考URL:
http://www.rfc-editor.org/rfc/rfc1213.txt
nights03
質問者

お礼

IPアドレスやルーティングまで書き換えられるのでしょうか。各機器の拡張MIBまで調べるとなるととても膨大になりそうですね日本語訳を提供しているサイトなんかがあるとべんりなのですが今現在なさそうです。気長にMIBをみることにします。

その他の回答 (1)

  • a-kuma
  • ベストアンサー率50% (1122/2211)
回答No.1

SNMPにおける「コミュニティ名」はアクセス制御に使われるもの ですから、悪意がある利用者に知られた場合には、当然 > 機器の設定情報を書き換えられるようなことはある ということになります。また、読込用のコミュニティ名について > 詳細な機器構成がばれてしまう 程度だと軽視されているようですが、クラックの第一歩は 相手が何かを知ることです。 外の世界につなぐようなことがあるのでしたら、コミュニティ名は きちんと考えてつけて、管理をきちんとしましょう。

nights03
質問者

お礼

回答をいただきありがとうございました。ご指摘の通りSNMPのコミュニティー名はセキュリティインパクトが大変大きいものとなります。そのためFWを設置しコミュニティ名も容易に想像できない複雑なものへ変更しております。また、SNMPにはSET用コミュニティ名も存在しておりそちらの管理も徹底していきたいと考えております。しかしながら管理するにあたって具体的にコミュニティ名がばれてしまった場合に被害として考えられることを提示したいのですが具体的な事例が思い浮かびません。なにかご存知でしたらどのMIBのどの値が書き換えられてしまうためどのようなことが起こるのかがわかればと思っております。

関連するQ&A

  • SNMPのコミュニティ名について

    こんにちは。 SNMPについて、教えて下さい。 OpenViewなど監視マネージャからネットワーク機器を監視する場合に、 SNMPのコミュニティ名を決める必要があるそうです。 1台の監視マネージャから、100台の機器を監視したい場合、 50台の監視を「Coma」、もう50台を「Comb」という感じで コミュニティ名を使い分けることは可能なのでしょうか?。 よろしくお願いします。

  • シンプルなSNMP Managerを探しています

    SNMP初学者です。 身近なSNMP Agentから発信されるSNMP Trapを確認したいのですが、 Windowsで動くフリーのSNMP Managerを探しています。 SNMP機器側の設定(SNMPマネージャのIPアドレスと、コミュニティー名、Trap発信の条件) が終わったら、そこから実際にどういうTrapが発信されたかをLAN経由で確認したいだけですので、高機能は必要ありません。 TWSNMPというのが有名らしいですが、私にはそれでも難解で、またそこまで複雑な機能も必要としていないのです。

  • snmpの設定について

    snmp(snmpd.conf)のコミュニティの設定についてです。 セクション名に「com2sec」というものがよく(?)使われますが この「com2sec」とは何の略でしょうか? またコミュニティ名は「com2sec」じゃなくて まったく違った任意のものでもいいのでしょうか? (例えば「hoge」とか)

  • windowsサーバでのsnmp設定方法

    windowsサーバのsnmp設定方法について windowsサーバでsnmpの設定を行いたいの URLにて色々と確認し設定致しました。 (1)windowsサーバ側での設定があっているか不明な為、教えて頂けますでしょうか? (2)また、windowsサーバでも下記手順以外に リナックスの様にsnmp.confの記載等必要でしょうか? 参考URL http://satospo.sakura.ne.jp/blog_archives/tech/windows/winsv2003_sn... http://support.microsoft.com/kb/324263/ja ■windowsに設定した方法 (1)WindowsServerのコントロールパネルからサービスを選択。 サービス一覧画面。ここでSNMPサービスを選択し、プロパティをクリック。 (2)SNMP設定のエージェントタブを選択。サービスの部分で全てにチェック。 (3)SNMP設定のセキュリティタブを選択。コミュニティ名とアクセス制限を設定。 コミュニティ名とcactiのグラフを見るサーバのIPを記述。 (4)全て設定後に「適用」をクリックするしsnmp再起動。 上記にて設定を行いました。 上記お手数をお掛け致しますがご確認お願い致します。 以上、宜しくお願い致します。

  • net-snmpが起動できません

    net-snmpを起動しておき、mrtgを使ってトラフィックなどの情報を見ようとしたのですが、 net-snmpがうまく起動できません。 [root@*******]# /etc/init.d/snmpd start と入力すると [root@*******]# snmpd ư: /usr/sbin/snmpd: symbol lookup error: /usr/sbin/snmpd: undefined symbol: snmp_log_syslogname とエラーを返されてしまい、このエラーの内容もよくわかりません。 OSはFedora Core 3で、 [root@*******]# yum -y install net-snmp としてインストールし、 snmpd.confを次のように設定しています。 ・コミュニティの設定 com2sec local localhost private com2sec mynetwork 192.168.0.0/24 public ・グループの設定 group MyROGroup v1 mynetwork group MyROGroup v2c mynetwork ・ビューの設定 view all included .1 80 ・アクセス権の設定 access MyROGroup "" any noauth exact all none none access MyRWGroup "" any noauth exact all all none ・ディスク使用率の設定 disk / 10000 デフォルトの設定ファイルから変更したのは以上です。 どうしたらうまく起動できるようになるのか、どなたかご教示お願いします。

  • Soralis8のsnmpd.confの書き方

    初心者質問すみません。 Soralis8で、ベンダが少しカスタマイズしてるマシンなんですが、コミュニティ名をデフォルトから変更してマネージャ(HP-UX/OpenView)へトラップ送信したいと思ってます。で、 /etc/snmp/conf/snmpd.confのシンタックスって たとえば read-community public みたいに、「キーワード」「スペース1つ」「設定名」「改行」 でいいんすよね?? 某ベンダの出荷時の設定では 「キーワード」「スペース2~5つ」「設定名」「スペース1つ」「改行」 なーんてしてあって、どっちが正しいんだかわからなくなったす。 つーかベンダの設定じゃsnmpうまくマネージャとお話できんす。 どちらが正しい?orどちらも正しい? 基本的なことなのですが、それだけに意外とWebに情報がなく、こちらへ駆け込みました。 ご回答待ってます!

  • OpenViewでの周辺機器監視

    OpenViewでの周辺機器監視 現在サーバAとサーバBでOpenViewを使用した監視システムがありますが、 サーバAにストレージを追加し、ストレージから出力されるSNMPをサーバBのOpneViewで受け取りたい場合、 ストレージのSNMP送信先をサーバAに設定するのみで受信可能でしょうか? サーバAのSNMPサービスの設定にて、コミュニティ名の権限等を与える必要はありますか? ストレージ--------- |  SNMPトラップ     | --------------     ↓ サーバA------------ | WindowsSNMPTrapService | |   ↓          | | OpenViewAgent     | ---------------- ↓ サーバB---------- |  OpenVieManager   | -------------- よろしくお願いいたします。

  • Netscalerのmibに関して

    最近仕事で、Netscalerを検証することになりました。 せっかくなので、snmpを利用して機器の状態や設定の管理ができないかと試行錯誤をしているのですが、壁にぶち当たりました。 NetScalerのmibはenterprise.5951以下に enterprise.5951.1 enterprise.5951.4 大きく分けて、上記2つの構造になっているようなのですが、 enterprise.5951.1 こちらのmibの値が取得できないで悩んでおります。 $snmpwalk -c コミュニティ名 機器名 enterprise.5951.1 取得方法は上記のようにsnmpwalkを使っているのですが、うまくいきませんでした。 取得するには、機器側に設定など必要なのでしょうか? おてすうですが、ご教授いただければと思います。

  • MRTGについて教えてください。

    cfgmakerで設定ファイルを作ると思うのですが、cfgmaker puclic@IPアドレス で対象のスイッチやPCのwindowsやLinuxにはSNMPをいれないといけないのでしょうか? またコミュニティ名はどこで設定すればよいでしょうか?

  • プリンタの設定(ポートの構成)について

    TCP/IPポートでプリンタの設定をする場合、よく戸惑うんですがポートの構成をうまく設定しないと印刷できない場合があります。 いろいろ調べたり、周りの先輩に聞いたりしたのですが納得できないので質問させていただくことにしました。 先輩には、ポートの構成でプロトコルを「Raw」にしている場合で印刷できない場合は、「LPR」にして、LPRの設定でキュー名に「lp(1バイト以下の名前)」、”LPRバイトカウントを有効にする”にチェックを入れる、”SNMPステータスを有効にする”もチェックを入れると教えてもらいました。 確かに、Rawで印刷できないときは、この設定にすると印刷できるようになるのですが、インターネットでいろいろ調べてみると機種によっても説明がまちまちでどうも納得できませんでした。 ”LPRバイトカウントを有効にする”、”SNMPステータスを有効にする”などの設定の意味もよくわからず、今後、どのように対処していけばいいのか疑問です。 詳しい方、アドバイスをよろしくお願い致します。