[connect24h:11230] Re: FYI? 自宅のBBルータでsnmpが外部に公開されていた

[Kensuke Nezu <nez@xxxxxxxxxxx>]

根津です。

WATANABE Nao wrote:
> 約２年ほど前に購入し自宅で使用している BBルータ(無線LAN一体型:量
> 販店で普通に売られている普及機) に対して、
> たまたま、 snmp walk をしたところ public で情報が返ってくるのを確
> 認しました。
> また、外部から wan 側に振られた ip でも同じ様に反応します。

Web画面のみでの設定以外にクライアントの設定専用ユーティリティが
あったりする場合に、SNMPが実装されていることがあります。
そこで、考慮が足りないとwan側に反応したり、MIBにルータのパスワードを
平文で入れたりするヤツがいたりしました。

> 当時、量販店で箱売りされている中から一番安いルータを買ったので、
> まさか snmp agent が実装されていたなど、夢にも思ってませんでした。

あんまり値段は関係ないみたいですｗ

> snmp(161/UDP)が開いている＝セキュリティホール とは言いませんが...
> 取説/機能説明等には snmp については触れられていないと思いますし、
> ルータ設定の web 画面にも 直接 snmp agent を停止、フィルタする機
> 能もありません。

同様に、telnet(TCP/21)がLAN側に空いているものを見たことがあります。
もちろん、設定できないし、マニュアルにも非掲載なので、DMZの境界
ルータになんて間違っても使えません。

> snmp では少なくともメーカ,機種名,ファームver等は戻ります。

ファームverが返るのであれば、セキュリティ上問題になるでしょうね。
問題のあるファームウェアが使われているかどうかがすぐにわかるから
です。

> また、private MIB から返って来た情報には、ぱっと見、ルータの設定
> (状態?)に直結する様な情報も含まれているかもしれません。

ルータの管理パスワードが含まれていないかチェックする必要があります。

> とりあえず私は、ルータ設定で、仮想サーバ機能(wan の特定ポートを 
> lan の特定 ip にstatic natする)で、実機がない ip に中継設定するこ
> とで、外部からは反応させなくしました。

それしか方法はないでしょうね。

> これを読んで、もし気になった方がおられましたら、
> 自宅でお使いのルータに snmp 等を投げてみてはいかかでしょうか。
> そんなの既知(常識)である。またとるに足らない情報だ、ということで
> あればご容赦ください。

snmpwalkだけではなく、nmapでTCP/UDP スキャンをかけた方がよいです。
インターネット接続機器は一応すべからくnmapをかけて、空いている
ポートを把握しておいた方がいいと思います。

-- 
------
根津 研介 日本Sambaユーザ会/NTTデータ先端技術（株）
Microsoft MVP for Windows Security(Apr 2005 - Mar 2007)
802.11セキュリティサイト：http://www.famm.jp/wireless
 ※「SELinuxシステム管理―セキュアOSの基礎と運用」
    http://www.oreilly.co.jp/books/4873112257/
 ※「実用SSH第２版−セキュアシェル徹底活用ガイド」
    http://www.oreilly.co.jp/books/4873112877/


--[PR]------------------------------------------------------------------
■・■　　　≫≫　　富士通パソコン直販だからできる！　≪≪　　　■・■
■・■　　　　　　　　　　　　　　　　　　　　　　　　　　　　　■・■
■・■　　ＷＥＢ限定カラーの大人気モバイルＰＣをプレゼント♪　　■・■
■・■　　　　　　　　　　　　　　　　　　　　　　　　　　　　　■・■
　　　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=eBm2j
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp