セキュリティ上の問題を回避するためには,OSやアプリケーションに対して,(1)適当なパッチの適用,(2)不必要な機能の削除,(3)適当なアクセス・コントロールを行うことが不可欠である。ただし,これらはサーバーに対してだけでは不十分である。ルーターやスイッチといった,ネットワークを構成する機器に対しても,これらの対策は不可欠である。サーバー上で動作するOSやアプリケーションに対しては,きちんと対策を施す管理者でも,ネットワーク機器に対しては注意を怠っている場合がある。そこで今回は,ネットワーク機器のセキュリティについて解説する。

 まず,犯しがちなミスとしては,設定ミスが考えられる。例としては,(1)機器の管理用パスワードを,デフォルト設定のままにしておく(驚くべきことに,パスワードを設定していない場合もある),(2)リモート管理などのアクセス・コントロールを適切に設定しない,などが挙げられる。

 また,設定だけではなく,機器上で動作するソフトウエア(ファームウエア)のバグにも注意を払わなくてはならない。バグなどが報告されたら,バージョン・アップなどをして,適切に対処する必要がある。

 セキュリティ関連のメーリング・リストである「Bugtraq」に報告された情報を参考に,ネットワーク機器では,どのようなセキュリティ上の問題が発生しているかを見てみよう。日本国内では提供されていないxDSL機器も含まれているが,参考のために示す(2000年1月~2000年12月まで)。

(1)「Multiple Vendor SNMP World Writeable Community Vulnerability」
 既知のデフォルトのSNMPコミュニティに対し,いかなるユーザーでも書き込み,読み出しが可能になる。

(2)「Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility」
 特定のポートに,0バイトのパケットを与えると,ルーターが機能停止する。

(3)「Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities」
  [1] SYNパケットだけが送られると,Telnetによる管理機能が妨害される。
  [2] Telnetが1セッションしか確立できない。
  [3] ICMPパケットを多数送られると,DoS(サービス不能)に陥る。
  [4] 管理者が意図しないインタフェースへ,RIPを送出可能。
  [5] 特定のサイズのパケットが送られると,DoSに陥る。
  [6] NAT機能に問題がある。

(4)「Nbase-Xyplex EdgeBlaster DoS Vulnerability」
 IDS(侵入検知システム)にスキャンされると,DoS に陥る。

(5)「Cisco IOS HTTP %% Vulnerability」
 Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。

(6)「Cisco Router Online Help Vulnerability」
 オンライン・ヘルプ内に,漏えいしてはならない情報が開示される。

(7)「Netopia DSL Router Vulnerability」
 ルーター内部の,必要以上の資源へ管理者がアクセスできる。

(8)「Cayman 3220-H DSL Router DoS Vulnerability」
 Webインタフェースで,認証用のユーザ名やパスワード欄に長い文字列を入力されると,DoSに陥る。

(9)「Cayman 3220H DSL Router "ping of death" Vulnerability」
 想定外のサイズのパケットを送信されると,DoSに陥る。

(10)「Cisco IOS Software "?/" HTTP Request DoS Vulnerability」
 Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。

(11)「Netopia 650-T ISDN Router Username/Password Disclosure Vulnerability」
 ログ採取用の機能が,不用意に重要なコマンドを開示してしまう。

(12)「Cisco 675 Web Administration Denial of Service Vulnerability」
 Webインタフェースを利用している場合,通常のURLに特定の文字列を付け加えられると,DoSに陥る。

 上記で示した問題の対策は,次のようにまとめられる。

【1】機器のファームウエアをアップデートする
  ・すべての問題に対して有効

【2】問題が発生する機能は,機器本来の目的ではないので,その機能を停止する
  (ただし一時的な対策に過ぎない。問題解決のためには,ファームウエアをアップデートする必要がある)
  ・問題(5)(6)(8)(10)(12)に対して有効

【3】アクセス・コントロールを適当に行う
  ・問題(1)に対して有効

 セキュアなネットワーク運用のためには,サーバー同様,ネットワーク機器群についても対策が必要である。これは組織の大小や,組織か個人かを問わず,言えることである。現在,国内でもISDNやADSL,ケーブル・テレビ等を使ったインターネットへの専用線接続が続々と提供されている。そのため,以前はネットワーク機器に触ったことがないユーザーも,機器を操作する必要性に迫られる環境になりつつあるからだ。

 現在運用中の機器は正しく設定されているだろうか?今一度確認してほしい。


坂井順行 (SAKAI Yoriyuki)
株式会社ラック 不正アクセス対策事業本部
sakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。