パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SNMPのコミュニティ名」記事へのコメント

  • by Stealth (5277) on 2001年11月08日 17時07分 (#36646)

    そもそもパケットフィルタとかで 161/162/1993 辺りなんて落としませんか。

    よくあるダイヤルアップルータとか、ブロードバンドルータなんて呼ばれている製品は、そんな当たり前のことも行われていない状態で出荷されているのでしょうか。だとしたら寒すぎ。

    グローバル側からのリクエストなんて標準で全部叩き落とす設定でもいいでしょうに。

    • by brake-handle (5065) on 2001年11月08日 19時31分 (#36690)

      SNMPはモニタリングを行うのに非常に便利なため、自前でSNMP requestに答えることができるdaemonが存在します(有名どころではsquid)。この場合、port numberは本来のsnmp用である161などではなく、全く別のものを使います(squidの場合は3401)。

      というわけで、SNMPがしゃべれるdaemonなどが走っている場合は、その設定も確認しておきましょう。

      親コメント
    • by twin's (6620) on 2001年11月08日 17時13分 (#36650)
      えぇぇ、もちろんそういうルーターでフィルタリング
      の設定なんてしてるわけないじゃないですか。
      親コメント
      • by yuki (76) on 2001年11月08日 18時35分 (#36683)
        なんか偏見を感じますね。

        その手の低価格ルータはデフォルトでNATなので
        フィルタリングなんかしなくても外からはアクセスできないでしょう。
        そもそもSNMPなんて載ってない製品のほうが多いでしょうし。
        なまじ高級なルータをよく知らずに使うほうが危ないと思いますけど。

        バグがあったらどうだか知りませんが、それは何を使ってても同じこと。
        親コメント
        • by twin's (6620) on 2001年11月08日 21時25分 (#36721)
          うーん、確かに偏見はあるかも。 「なまじ高級な」ってのも当たってると思うな。 例えSTM-1で繋いでようとも管理は外に丸投げで、 丸投げされてるところも、やっぱどうしようもない ところ、ってのも実際あるしなぁ。 access-list が一行もないGSRってのも見たこと あるし...もちろん外に繋がってるやつで。
          親コメント
        • by yoshitake (5733) on 2001年11月09日 11時41分 (#36872) 日記
          > その手の低価格ルータはデフォルトでNATなので
          > フィルタリングなんかしなくても外からはアクセスできないでしょう。

          そういう問題じゃないでしょう。
          フィルタリングされていなかったらルータにアクセスされてしまい、いたずらされて上流へアクセスできなくなったり、内部へtelnetかます事も可能でしょう。
          ルータからDOS攻撃かますとか。。。
          ルータといっても独自OSってだけで、中身はPCと同じようなもんです。
          #中にはBSD系のOSってのもよくある話だし。

          > そもそもSNMPなんて載ってない製品のほうが多いでしょうし。
          > なまじ高級なルータをよく知らずに使うほうが危ないと思いますけど。

          これには同意。
          SNMP対応品欲しくても、安いのはあんまりなくって・・・
          親コメント
          • by yuki (76) on 2001年11月10日 2時05分 (#37096)
            もちろんその手のルータはルータ自身にも外からはアクセスできませんよ。
            用途からいって、内(LAN側)と外(WAN側)がはっきり分かれているので、
            外からいじれるような仕様には普通なっていません。
            それに、port forwardのことを考えると、
            ルータ自身が外にHTTPやTELNETの口を開けていてもあまり意味がありません。

            フィルタリングはIP spoofing対策くらいはしたほうがいいですが、
            ルータの特定のポートをふさぐようなことは必要ありません。
            一般ユーザーが対象だけあって、結構セキュリティには気を配ってあります。

            # まあ、中にはタコな製品もあるかも知れませんが
            親コメント
            • by yoshitake (5733) on 2001年11月11日 10時15分 (#37325) 日記
              > # まあ、中にはタコな製品もあるかも知れませんが

              の話をしていたのではないんですか?

              > 一般ユーザーが対象だけあって、結構セキュリティには気を配ってあります。

              これが出来ていないから、(別スレですが)

              > その中で「最低限これだけは」なんて書く位なら、工場出荷時に設定しておけばいい

              という話が出てくるのかと。

              だから、メーカーさんちゃんとしてねって事以外言えないんですけどね(^^;
              親コメント
    • by hanabi (989) on 2001年11月08日 18時41分 (#36685) ホームページ
      よくあるルータってのは低価格ルータの事だと思いますが、 この辺りこそ原則禁止にしてもらいたいんですよねぇ。 最低限Webのみ抜けるようにしておいて貰えれば問題ないと 私は思いますが... 大体それぞれのサイトで「常時接続時のセキュリティ」などを 公表するのはいいんだけど、その中で「最低限これだけは」 なんて書く位なら、工場出荷時に設定しておけばいいと思うのは 私だけ?? 穿った見方をすれば原則禁止だとか、設定をしないのは その他のセキュリティ商品の売れ行きに影響がでるからとか?^^;
      親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...