SNMPセキュリティ超入門

380 Views

February 03, 25

#セキュリティ #ネットワーク #snmp #脆弱性管理 #SNMP #ネットワークセキュリティ #セキュリティ入門 #ネットワーク監視 #SNMPv3

スライド概要

ニフクラ エンジニア ミートアップの登壇資料です。
https://fujitsufjct.connpass.com/event/301514/

(AIによる要約)
このプレゼンテーションでは、SNMP(Simple Network Management Protocol)についての基礎知識と、そのセキュリティ懸念について説明しています。SNMPはネットワーク監視や管理に用いられるプロトコルであり、各種デバイスから情報を取得するための仕組みを持っています。特にSNMPv2cとSNMPv3の違いや、ユーザ認証や暗号化の必要性について触れています。さらに、推奨されるセキュリティ設定やクラウド環境におけるSNMPの適用についても言及しています。

profile-image
スライド一覧

幸田将司 / 株式会社バラエナテック代表取締役 半身をメタル化することでパワーアップした、ガルルモンの最終形態。メタル化をしても持ち前の俊敏さは失っておらず、全身に隠されている無数の武器で敵を粉砕する。 フリーランス7年目 SecuriST / CEH(Certified Ethical Hacker)/ CND(Certified Network Defender)認定インストラクター, 情報安全確保支援士(未登録)

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.04MB)

関連スライド

slide-thumbnail

診断員によるASMのすすめ
セキュリティ 脆弱性管理 saas sbom
user-img はるきち 385
slide-thumbnail

セキュリティチェックを乗り越えるためのSaaSのアプローチ
セキュリティ saas 脆弱性管理 認証規格 コスト削減
user-img はるきち 165
slide-thumbnail

猫でも分かるUnreal Engineの学び方 - 超初心者向け編 - 2023 v1.0
ue4 ue5 ue-beginner
user-img エピック ゲームズ ジャパン 1.4M
slide-thumbnail

Unreal Engine5 Lumenの仕組みと肝心なところ
ue5 ue-rendering ue-lumen
user-img エピック ゲームズ ジャパン 1.2M
slide-thumbnail

最新の6.0で学ぶ!初めてのひとのためのSpring Security
java spring security
user-img tada 1M
slide-thumbnail

猫でも分かる UE5.0, 5.1 におけるアニメーションの新機能について【CEDEC+KYUSHU 2022】
ue5 cedec+kyushu ue-animation ue-optimize ue-bp ue-physics ue-sequencer
user-img エピック ゲームズ ジャパン 874.1K
各ページのテキスト
1.

SNMP セキュリティ超入門 2023/11/29 masashi.kouda 第66回 ニフクラ エンジニア ミートアップ

2.

Who am I? 幸田将司: セキュリティのフリーランス: - SecuriST(R) 認定診断士 試験委員会 - 株式会社Levii - 株式会社バラエナテック 代表 SNS: - @halkichisec Copyright ©︎ m.kouda 2023

3.

Contents 1. SNMPとはなんぞや 2. SNMPのセキュリティ 3. 推奨設定 Copyright ©︎ m.kouda 2023

4.

SNMPとはなんぞや Copyright ©︎ m.kouda 2023

5.

SNMPとはなんぞや ◼SNMP(Simple Network Management Protocol) ➢ネットワーク監視/管理を行うためのプロトコル • UDPで動作 ➢監視対象はWebサーバやルータ、スイッチ等 ➢2つの要素が必要 • マネージャ(管理する側) • エージェント(管理される側) ➢利用するメリット • 対応機器が多い • 様々なデバイスが混在するネットワークで使用できる Copyright ©︎ m.kouda 2023

6.

SNMPとはなんぞや ◼コミュニティ名をあいことばとしてお互いを認証 ◼バージョンが存在する ➢SNMPv1 ➢SNMPv2c • コミュニティ名 + OIDの情報を送信 • 平文で送信される ➢SNMPv3 • セキュリティがちょっと向上 • ユーザの認証有 • 暗号化有 Copyright ©︎ m.kouda 2023

7.

SNMPとはなんぞや ◼SNMPはどのように使う? 1. マネージャ → エージェントへのSNMPポーリング CPUの使用率教えて 2. マネージャ ← エージェントへのSNMPトラップ なんかリンクダウンしたっぽい Copyright ©︎ m.kouda 2023

8.

気にするべきセキュリティ Copyright ©︎ m.kouda 2023

9.

SNMPのセキュリティ ◼SNMPはどんな情報が取得できる? ➢MIBというデータ群がある ➢OIDを指定してデータを取得できる(以下はほんの一例) MIB OID 説明 sysDescr 1.3.6.1.2.1.1.1.0 機器に関する説明(uname -a) sysContact 1.3.6.1.2.1.1.4.0 管理者の情報 sysName 1.3.6.1.2.1.1.5.0 機器のホスト名 sysLocation 1.3.6.1.2.1.1.6.0 ノードの物理的な位置 ....etc ベンダ毎の拡張MIBも有 NIFCLOUD クラウドユーザーガイド https://docs.nifcloud.com/watch/guide/snmp_info.htm ニフクラのユーザガイドも 参考になる Copyright ©︎ m.kouda 2023

10.

SNMPのセキュリティ ◼ユーザ認証の仕組みがない ➢(SNMPv2c) コミュニティ名が一致すれば情報が取得可能 ↓ ➢(SNMPv3) ユーザ認証が可能 ◼そもそも平文で送信される ➢(SNMPv2c) ネットワーク上の中間者攻撃に弱い ↓ ➢(SNMPv3) 暗号化が可能 セキュリティ上の 弱点が解消され た...ってコト!? Copyright ©︎ m.kouda 2023

11.

SNMPv3の弱点 ◼UDPで動作するが、ユーザ認証 + 暗号化がある ➢システムのリソースに影響がある(許容範囲...?) ◼ユーザの存在が調査できる (+ユーザ名は平文) $snmpwalk -v3 -u guest -A 'snmp_password' -x AES -X 'rivpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Unknown user name ← ユーザ名が違う $snmpwalk -v3 -u snmp_user -A 'password' -x AES -X 'privpass' -l authPriv 127.0.0.1 1.3.6.1.2.1.1.1.0 snmpwalk: Authentication failure (incorrect password, community or key) ←PWが違う Copyright ©︎ m.kouda 2023

12.

推奨設定 Copyright ©︎ m.kouda 2023

13.

推奨設定 ◼デフォルトのコミュニティ名を使わない ➢public, private ◼IPアドレスによる制限 ➢SNMPマネージャのIPだけに応答する ◼VPN等の仕組みでトンネル化(WANの場合) ➢SNMPの存在自体を隠蔽する ➢SHODAN等にスキャンされたくない Copyright ©︎ m.kouda 2023

14.

クラウドの場合 ◼クラウドサービスの基本監視に任せてもいいんじゃな い...? マネージャの管理コストが減りそう NIFCLOUD –特徴 https://pfs.nifcloud.com/feature/ Copyright ©︎ m.kouda 2023

15.

おわり ◼ご清聴ありがとうございました。 Copyright ©︎ m.kouda 2023