簡易ネットワーク管理プロトコルのSNMP

最近では、ほとんどのネットワークデバイスは、リモート監視および構成のためのSNMPを使用します。 SNMPは、単純なプロトコルで、通常は、ネットワークトラフィック、CPU負荷、ディスクの負荷などの情報を取得することができますソフトウェアは、監視、および作成するには、ワイヤレス機器など、ブロードバンドルーターなどのデバイスの設定を変更するために使用され
ネットワークデバイスのこれらの種類のほとんどのSNMP実装バージョン1または2で、これは非常に脆弱な認証方法が使用されます。 SNMPバージョン1と処理され、多くの方法で悪用される可能デコード、サービス拒否攻撃から設定を書き換えをするための方法、SNMPトラップのバグを設定し、要求メッセージが含まれます。
SNMPバージョン1および認証のために2を使用するコミュニティ文字列。

これらのUDPポート161を暗号化されずに送信されますので、非常に人のために途中でコミュニティ文字列を吸うのは簡単です。いつのデバイス（Linux boxを含む）上のSNMPを設定すると、2つのコミュニティ文字列を設定する必要があります：1つは読み取り専用のアクセスと既定値は"public"と、もう1つは、読み取りとされているデフォルトのアクセスを書く"プライベート"。場合、SNMPにコミュニティを変更しないでデバイスを有効にすると、非常にファイアウォールのない状態でその構成を表示するためには簡単ですし、それを変更します。
これは非常にデバイスとは、ネットワークには危険ですので、ここで何をしようとすべきです：

• いない場合には、SNMPを使用しないようにしてください。
• 可能な限り、どのモードとユーザーモードの認証して暗号化を行うことができますを使用するSNMPバージョン3。
• どの場合でも、SNMPを、デフォルトのコミュニティを変更します。
• 目の前では、唯一の信頼されたホストにSNMPを使用して接続できるように、デバイスまたはデバイス上で、適切なファイアウォールを作成します。

例えば、Ciscoルータのコミュニティ文字列をユーザー名やパスワードなどの秘密とパスワードを有効にするなど、その全体の実行コンフィギュレーションを、明らかに"public"SNMPを実行している。場合は、ルータへの書き込みアクセスのためのSNMPコミュニティを"プライベート"がある場合、設定で確実にすべてを変更することができます。以上は、ほとんどのCiscoルータのSNMPのデフォルトコミュニティとせずにフィルタをデフォルトで有効になっている。

オープンのSecure Sockets Layer（OpenSSLの）

OpenSSLライブラリは、ネットワーク通信の暗号化サポートを必要とするアプリケーションのための最も一般的な選択肢です。このようなアプリケーション（ApacheのセキュアなHTTP接続の場合）は、Sendmail、OpenLDAPのは、OpenSSH、等が
脆弱性は、OpenSSLライブラリを1つのバージョンのすべてのアプリケーションは、それらを使用し、これらを介して悪用されることに影響します。関数は、アプリケーションで使用するに応じては、OpenSSLの脆弱性は、アプリケーションを介してサーバー上で、または任意のコードを実行するためにも、root権限を取得するために悪用されることができます。
OpenSSLは、サーバーアプリケーションのOpenSSLサポートを使用してコンパイル、実行している損傷の多くでしたが過去にいくつかの脆弱性が、特には、Apache、SendmailとのOpenSSH。 Sendmailの場合には、攻撃者は、root権限セキュリティ関連のメーリングリストで公開されていた性を悪用。
保護を維持するため、次の検討：

• 各サーバー上でライブラリをインストールしているOpenSSLのバージョンを識別します。場合は、最新のバージョンがある場合は、OpenSSLのバージョンをリモートから悪用可能な脆弱性が確認してください。
• OpenSSLのWebサイトから最新バージョンへのhttp://www.openssl.orgであなたのOpenSSLライブラリをアップグレードします。
• を識別するアプリケーションでは、とには、OpenSSLライブラリを使用する場合は、それらを新しいライブラリを使用して再コンパイルし、アップグレードのために再コンパイルする必要があります。

場合、アプリケーションは誰からの接続を必要としないのOpenSSLを使用して、適切なファイアウォールを作成し、信頼済みサイトの接続のみを許可します。

保護を実行するサービスの一般的なディスカッション

ネットワーク管理者の仕事は、ネットワークを実行し、安全を確保することです。そこは彼かに依存しないサービスであり、彼女; Webサーバーウェブマスターによって投与される可能性の例です。手順ここでは、より安全な気分にさせると説明した。私たちは、実際にそうすることより良いアイデアを得るのLinuxボックスで次の手順をテストすることによって、このフォローアップされます。
1。サービスの識別は、すべてのシステム上で実行されます。最も重要なことは、それらをオープン開いているポートやサービスを識別します。
2。すべての実行中のサービスの現在のバージョンを確認します。更新プログラムは、最新のソフトウェアバージョンに。ホームページとその中でのサービスの脆弱性を検索するhttp://nvd.nist.gov/。
3。と構成を確認し、ときに、ソフトウェアを作成することができますベースのアクセスリストのみがサービスを利用するホストを信頼できるようにする。を変更するデフォルトのユーザ名とパスワードをするたびにしてください。場合は、それをchroot jail内でソフトウェアを実行することができます。
4。このサービスは、信頼できるホストのみにアクセスを制限するようにファイアウォールを作成し、どこからのアクセスを必要としません。
5。監査のネットワーク！あなたのネットワークに侵入してください。部外者としては、ネットワークに接続し、すべての既知の攻撃に対してのサービスを実行してテストします。ハッカーツールを検索し、あなた自身のネットワークに対して何が起こるか見るためにそれらを使用します。
6。認証要求のログを作成します。また、Snortのように、ネットワーク侵入検知システムを実行するには、http://www.snort.orgで、これは本当に良いのログファイルを生成利用してください。

ていないすべてのステップは、すべてのサービスのためにあなたのネットワークで実行され、例えば、いくつかのサービスが要請されていただきローカルホストからのみ接続し、それのことができます。
のいずれかのLinuxボックスで私のネットワークで見てみましょう。セキュリティ上の理由から、私は予約済みのIPアドレスを使って現実の世界からのIPアドレスを交換します。

1。まず、サーバー上でオープンされたTCPポートを識別します：

そこで、我々のTCPポート179、2601、と2605年聞いている。私にとっては、これらの非常によく知られポートが、もし私が忘れては、どんなサービスがこれらのポートを開いて参照する必要があります：

シマウマは、BGPは、OSPF、RIPv1など、ルーティングプロトコルおよびRIPv2を知っているLinuxのルーティングソフトウェアです。この例では、BGP接続のシマウマを使用します。 bgpdプロセスのBGP接続を行うためと、シマウマのプロセスのルートは、Linuxカーネル内で近所の人から受け取った追加するための責任です。

• のバージョンを確認しましょう：

シマウマのための最新の脆弱性はバージョン0.93bで行われた。これはknownvulnerabilitiesここに。
3。次の手順で設定するためのソフトウェアです。ゼブラでは、ポート2601は非常には、Ciscoルータに類似して、コマンドラインインターフェイスです。 BGPポート2605のと同じです。

• ルータは、10.10.10.1、10.10.11.13のBGP接続し、10.10.15.1ています。何をやりたいのBGP接続に使用されるTCPポート179にアクセスを拒否する、これらのIPアドレスを除き、誰でもすることです。また、我々は、ソフトウェアで作成された保護シマウマとbgpdアクセスリストベースの2倍にしたいとだけは、ZebraとそのルーティングプロトコルのVTYsへの接続をlocalhostことができます。
• 5。以来、我々は、我々に何ができるソフトウェアの脆弱性で知られていないかをテストして参照している場合は、ファイアウォール機能：

もし他の場所からこの操作を行うことができます参照してください：

良い！我々から接続できない場合はCLIのシマウマとbgpdのでlocalhostの任意の場所を除く。現在、我々は、TCPポート179上の1つは、BGP近隣諸国からの接続を試みる必要があります：

---

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"簡易ネットワーク管理プロトコルSNMPの"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。

---