SNMPのコミュニティ名 17
ストーリー by wakatono
あなたのルータは大丈夫? 部門より
あなたのルータは大丈夫? 部門より
twin's 曰く,"最近のSOHOな人たちが使っているルーターって、SNMPのコミュニティ名は デフォルトのままだったりするんだよね。しかもパスワード設定してても enable secret してないものだから、適当なenterprise MIBで平文の パスワードが見れてしまったりするし。 あ、でも小さいところに限らず結構大きいところもそうだったりするか。 素人がやってるところはなかなかに恐い。"
それ以前に、SNMPエージェント機能が搭載されてることも知らなかったりして…
Publicと書かないと (スコア:3, おもしろおかしい)
もっとそれ以前に (スコア:2)
「SNMPって何? SMTPの相棒?」って人の方が多いのでは...
うちはSNMPは外からは見えないようにしているし、publicも潰してありますが。中で使っている分にはいろいろやってますけどね。
Re:もっとそれ以前に (スコア:2)
私も初めて知りました、この名前。@ITにもちょっとだけ記事が載ってるみたいです。
ウチもルータ使ってるから、ちょっとこわいかも。
Re:もっとそれ以前に (スコア:1, 参考になる)
だったらポインタくらい書いてくれてもいいじゃん……。
http://www.zdnet.co.jp/help/howto/linux/0007master/06/
linksysのBEFSR81 (スコア:2, 参考になる)
現在はファームがアップグレードされているから問題ないみたい。
ここに、書かれてますね。
----
Ver2.38→Ver2.38.1の変更点
1. 一部のBEFSR81でSNMPのアクセスがLAN/WAN双方のポートから可能な問題を
修正し、LANポートからのアクセスのみ可能としました。
----
SNMPはMRTGでのトラフィックの計測にしか使ってないなあ。
普通 (スコア:1)
そもそもパケットフィルタとかで 161/162/1993 辺りなんて落としませんか。
よくあるダイヤルアップルータとか、ブロードバンドルータなんて呼ばれている製品は、そんな当たり前のことも行われていない状態で出荷されているのでしょうか。だとしたら寒すぎ。
グローバル側からのリクエストなんて標準で全部叩き落とす設定でもいいでしょうに。
port numberは161などだけとは限らない (スコア:3, 参考になる)
SNMPはモニタリングを行うのに非常に便利なため、自前でSNMP requestに答えることができるdaemonが存在します(有名どころではsquid)。この場合、port numberは本来のsnmp用である161などではなく、全く別のものを使います(squidの場合は3401)。
というわけで、SNMPがしゃべれるdaemonなどが走っている場合は、その設定も確認しておきましょう。
Re:普通 (スコア:1)
の設定なんてしてるわけないじゃないですか。
Re:普通 (スコア:1)
その手の低価格ルータはデフォルトでNATなので
フィルタリングなんかしなくても外からはアクセスできないでしょう。
そもそもSNMPなんて載ってない製品のほうが多いでしょうし。
なまじ高級なルータをよく知らずに使うほうが危ないと思いますけど。
バグがあったらどうだか知りませんが、それは何を使ってても同じこと。
Re:普通 (スコア:1)
Re:普通 (スコア:1)
> フィルタリングなんかしなくても外からはアクセスできないでしょう。
そういう問題じゃないでしょう。
フィルタリングされていなかったらルータにアクセスされてしまい、いたずらされて上流へアクセスできなくなったり、内部へtelnetかます事も可能でしょう。
ルータからDOS攻撃かますとか。。。
ルータといっても独自OSってだけで、中身はPCと同じようなもんです。
#中にはBSD系のOSってのもよくある話だし。
> そもそもSNMPなんて載ってない製品のほうが多いでしょうし。
> なまじ高級なルータをよく知らずに使うほうが危ないと思いますけど。
これには同意。
SNMP対応品欲しくても、安いのはあんまりなくって・・・
Re:普通 (スコア:1)
用途からいって、内(LAN側)と外(WAN側)がはっきり分かれているので、
外からいじれるような仕様には普通なっていません。
それに、port forwardのことを考えると、
ルータ自身が外にHTTPやTELNETの口を開けていてもあまり意味がありません。
フィルタリングはIP spoofing対策くらいはしたほうがいいですが、
ルータの特定のポートをふさぐようなことは必要ありません。
一般ユーザーが対象だけあって、結構セキュリティには気を配ってあります。
# まあ、中にはタコな製品もあるかも知れませんが
Re:普通 (スコア:1)
の話をしていたのではないんですか?
> 一般ユーザーが対象だけあって、結構セキュリティには気を配ってあります。
これが出来ていないから、(別スレですが)
> その中で「最低限これだけは」なんて書く位なら、工場出荷時に設定しておけばいい
という話が出てくるのかと。
だから、メーカーさんちゃんとしてねって事以外言えないんですけどね(^^;
Re:普通 (スコア:1)
設定変えれないものもあるのかな (スコア:1)
で、ブラウザからはSNMPの設定ができない機種も有ったりするのでは?
そもそも、チュートリアルに記述がないのでSNMP搭載であることを知らない
人も多いのでしょう。
リファレンスマニュアルに書いてあっても普通リファレンスマニュアルって
読まない人が多いですし。
まあ、telnetで設定してくださいとチュートリアルに書いてあっても
大半の人には理解できないと思いますし、インターネットにアクセス
することが目的の人には酷ですよね。
ということで、SNMPほかもろもろの拡張機能はデフォルトで無効。
使用したい人はtelnet or SSHでの設定のみ。理解できない人は使わないでね。
って方針が正しいような気がする。
でも、製品の見栄えを考えたら機能テンコ盛りでデフォルト有効なんだろうなぁ。
MS製品みたいにね ;-)
Re:設定変えれないものもあるのかな (スコア:2)
で、有効にしようとすると、「この機能を安全に使うにはは、専門的な知識が必要とされます。有効にしますか」といちいちダイアログ立ち上げてユーザの確認を得る。
ってのが私は好き。
OS出荷時は何の警告もないのに、パッチを当てようとすると専門知識が必要ってのはなんとも。
# え、このスレッドMSたたきじゃない?
# MSだけじゃないでしょ。
責任分界点は? (スコア:1)
SNMPの設定うんぬんよりも, ISPの責任分界点ってどこに設定されている場合が多いんでしょう? 例えばルータまでがISP側の管理とかの場合, ISP側でSNMPの管理を行ってbad packetの発生率等をモニタしたりするような使い方も考えられるんですが, こうなるとユーザ側では触れない/触っちゃいけないですよね.