セキュリティ上の問題を回避するためには,OSやアプリケーションに対して,(1)適当なパッチの適用,(2)不必要な機能の削除,(3)適当なアクセス・コントロールを行うことが不可欠である。ただし,これらはサーバーに対してだけでは不十分である。ルーターやスイッチといった,ネットワークを構成する機器に対しても,これらの対策は不可欠である。サーバー上で動作するOSやアプリケーションに対しては,きちんと対策を施す管理者でも,ネットワーク機器に対しては注意を怠っている場合がある。そこで今回は,ネットワーク機器のセキュリティについて解説する。
まず,犯しがちなミスとしては,設定ミスが考えられる。例としては,(1)機器の管理用パスワードを,デフォルト設定のままにしておく(驚くべきことに,パスワードを設定していない場合もある),(2)リモート管理などのアクセス・コントロールを適切に設定しない,などが挙げられる。
また,設定だけではなく,機器上で動作するソフトウエア(ファームウエア)のバグにも注意を払わなくてはならない。バグなどが報告されたら,バージョン・アップなどをして,適切に対処する必要がある。
セキュリティ関連のメーリング・リストである「Bugtraq」に報告された情報を参考に,ネットワーク機器では,どのようなセキュリティ上の問題が発生しているかを見てみよう。日本国内では提供されていないxDSL機器も含まれているが,参考のために示す(2000年1月~2000年12月まで)。
(1)「Multiple Vendor SNMP World Writeable Community Vulnerability」
既知のデフォルトのSNMPコミュニティに対し,いかなるユーザーでも書き込み,読み出しが可能になる。
(2)「Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility」
特定のポートに,0バイトのパケットを与えると,ルーターが機能停止する。
(3)「Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities」
[1] SYNパケットだけが送られると,Telnetによる管理機能が妨害される。
[2] Telnetが1セッションしか確立できない。
[3] ICMPパケットを多数送られると,DoS(サービス不能)に陥る。
[4] 管理者が意図しないインタフェースへ,RIPを送出可能。
[5] 特定のサイズのパケットが送られると,DoSに陥る。
[6] NAT機能に問題がある。
(4)「Nbase-Xyplex EdgeBlaster DoS Vulnerability」
IDS(侵入検知システム)にスキャンされると,DoS に陥る。
(5)「Cisco IOS HTTP %% Vulnerability」
Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。
(6)「Cisco Router Online Help Vulnerability」
オンライン・ヘルプ内に,漏えいしてはならない情報が開示される。
(7)「Netopia DSL Router Vulnerability」
ルーター内部の,必要以上の資源へ管理者がアクセスできる。
(8)「Cayman 3220-H DSL Router DoS Vulnerability」
Webインタフェースで,認証用のユーザ名やパスワード欄に長い文字列を入力されると,DoSに陥る。
(9)「Cayman 3220H DSL Router "ping of death" Vulnerability」
想定外のサイズのパケットを送信されると,DoSに陥る。
(10)「Cisco IOS Software "?/" HTTP Request DoS Vulnerability」
Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。
(11)「Netopia 650-T ISDN Router Username/Password Disclosure Vulnerability」
ログ採取用の機能が,不用意に重要なコマンドを開示してしまう。
(12)「Cisco 675 Web Administration Denial of Service Vulnerability」
Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。
上記で示した問題の対策は,次のようにまとめられる。
【1】機器のファームウエアをアップデートする
・すべての問題に対して有効
(ただし一時的な対策に過ぎない。問題解決のためには,ファームウエアをアップデートする必要がある)
・問題(5)(6)(8)(10)(12)に対して有効 【3】アクセス・コントロールを適当に行う
・問題(1)に対して有効
セキュアなネットワーク運用のためには,サーバー同様,ネットワーク機器群についても対策が必要である。これは組織の大小や,組織か個人かを問わず,言えることである。現在,国内でもISDNやADSL,ケーブル・テレビ等を使ったインターネットへの専用線接続が続々と提供されている。そのため,以前はネットワーク機器に触ったことがないユーザーも,機器を操作する必要性に迫られる環境になりつつあるからだ。
現在運用中の機器は正しく設定されているだろうか?今一度確認してほしい。
坂井順行 (SAKAI Yoriyuki)
株式会社ラック 不正アクセス対策事業本部
sakai@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。