よくあるお問い合わせ

質問
SNMPリフレクション攻撃の対策について
お問い合わせ分類
設定・マニュアル・トラブル
対象のサービス
ZOOT NEXT for フレッツ光
ZOOT NEXT for フレッツADSL
ZOOT for フレッツ光
ZOOT for フレッツADSL

答え

下記の「SNMPリフレクション攻撃の踏み台とならないために推奨する対策」が講じられているかご確認お願いします。

また、UnixサーバーやCiscoCatalyst2900シリーズにおいて、SNMPエージェントのsnmpd.confの設定値が初期値のまま、または推測されやすい文字列が使用されていないかご確認ください。
詳しくは、下記の「UnixサーバーやCiscoCatalyst2900シリーズにおいて」をご確認ください。

SNMPリフレクション攻撃の踏み台とならないために推奨する対策

管理するネットワーク機器が、SNMPリフレクション攻撃の踏み台として悪用されないために、次の対策をすることを推奨します。

(1)外部からのSNMP通信(宛先ポート161/UDPのアクセス)をファイアーウォールにより遮断する。

(2)不要なSNMPエージェントは停止する。

(3)SNMPv3に対応した機器を使用して、認証・暗号の設定を行う。

(4)SNMPコミュニティ名には、初期値の「Public」等、推測可能なものの使用は避ける。


UnixサーバーやCiscoCatalyst2900シリーズのSNMPエージェント設定

(1)Unixサーバー

参考)ITmediaエンタープライズ第3回SNMPによるモニタリングセキュリティの実態 http://www.itmedia.co.jp/enterprise/articles/0705/16/news011.html
■チェック事項
snmpd.confのcommunityの初期値は「COMMUNITY」ですが、次のような「Private」や「Public」等、推測可能な文字列が使用されている場合は、変更してください。

####サンプル書式
##sec.namesourcecommunity
com2seclocallocalhostPrivate
com2secmynetworkNETWORK/24Public

(2)ネットワーク機器

(参考)CiscoCatalyst2960SNMPエージェント機能の説明
http://www.cisco.com/cisco/web/support/JP/docs/SW/LANSWT-Access/CAT2960SWT/CG/005/swsnmp.html?bid=0900e4b1825295c6#88674

■チェック事項
CiscoCatalyst2900シリーズにおいてコミュニティ名が「Public」等、推測可能な文字列が使用されている場合は、変更してください。

#snmp-servercommunityPublicRO #snmp-serverhost192.168.0.1version2cPublic


診断ツールでチェック

対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールでチェックを行ってください。

>>DNS/NTP/SNMP/UPnPリフレクション診断ツール

 

この回答は役に立ちましたか?評価をお願いします。

メンバーIDまたはメールアドレス:
パスワード: