8. Security Considerations (セキュリティに関する考察)
8. Security Considerations (セキュリティに関する考察)
この MIB モジュールで定義されている管理オブジェクトの多くは, MAX-ACCESS 句が read-write および/または read-create です。このようなオブジェクトは, 一部のネットワーク環境では機密または脆弱と見なされる可能性があります。適切な保護なしで非セキュアな環境で SET 操作をサポートすると, ネットワーク運用に悪影響を及ぼす可能性があります。これらはテーブルとオブジェクト, およびそれらの機密性/脆弱性です:
ipForwarding と ipv6IpForwarding - これらのオブジェクトにより, マネージャーはエンティティのルーティング機能を有効または無効にできます。ルーティング機能を無効にすることで, 攻撃者はユーザーへのサービスを拒否できる可能性があります。ルーティング機能を有効にすることで, 攻撃者はエリアへの導管を開く可能性があります。これにより, エリアが通過すべきでないパケットのトランジットを提供したり, 攻撃者がセキュリティ保護をバイパスしてエリアにアクセスできるようになる可能性があります。
ipDefaultTTL と ipv6IpDefaultHopLimit - これらのオブジェクトにより, マネージャーはパケットの有効エリアの直径を決定できます。これらのオブジェクトの値を減らすことで, 攻撃者はパケットが宛先に到達する前に破棄されるようにすることができます。
ipv4InterfaceEnableStatus と ipv6InterfaceEnableStatus - これらのオブジェクトにより, マネージャーは特定のインターフェースで IPv4 と IPv6 を有効または無効にできます。インターフェースでプロトコルを有効にすることで, 攻撃者はノードへの (またはルーティングも有効になっている場合はノードを通る) 非セキュアなパスを作成できる可能性があります。インターフェースでプロトコルを無効にすることで, 攻撃者はパケットを他のインターフェースを通じてルーティングさせたり, そのプロトコルを介したネットワークの一部またはすべてへのアクセスを拒否したりできる可能性があります。
ipAddressTable - このテーブルのオブジェクトは, このノードで使用されているアドレスを指定します。この情報を変更することで, 攻撃者はノードに宛てられたメッセージを無視させたり, (少なくとも IP 層で) 通常は無視するメッセージを受け入れさせたりできます。後者の場合, フィルタリングまたはセキュリティアソシエーションの使用により, 潜在的な損害を軽減できる可能性があります。
ipv6RouterAdvertTable - このテーブルのオブジェクトは, ルータがルータ通知メッセージで伝播すべき情報を指定します。この情報を変更することで, 攻撃者はリンク上のすべてのホストの自動設定を妨害できます。このテーブルへのほとんどの変更は, リンク上の一部またはすべてのホストへのサービス拒否につながります。ただし, 2 つのオブジェクト ipv6RouterAdvertManagedFlag と ipv6RouterAdvertOtherConfigFlag は, ホストが他のソースから設定情報を取得する必要があるかどうかを示します。これらを有効にすることで, 攻撃者はホストに侵害されたソースから設定情報を取得させることができる可能性があります。
ipNetToPhysicalPhysAddress と ipNetToPhysicalType - これらのオブジェクトは, ネットワーク (IP) アドレスをメディア依存アドレスに変換するために使用される情報を指定します。これらのオブジェクトを変更することで, 攻撃者はノードとの通信を無効にしたり, メッセージをあるノードから別のノードに転送したりできます。ただし, 攻撃者は, ターゲットノードによって行われた ARP または ND リクエストに単純に応答することで, 同様の攻撃を実行できる可能性があります。
この MIB モジュールの一部の読み取り可能なオブジェクト (つまり, MAX-ACCESS が not-accessible 以外のオブジェクト) は, 一部のネットワーク環境では機密または脆弱と見なされる可能性があります。したがって, これらのオブジェクトへの GET アクセスさえも制御し, SNMP 経由でネットワーク上で送信する際にこれらのオブジェクトの値を暗号化することが重要です。
これらはテーブルとオブジェクト, およびそれらの機密性/脆弱性です:
基本的に, この MIB のすべてのオブジェクトは, システム内の IP モジュールのステータスを報告するため, 機密と見なすことができます。ただし, ipSystemStatsTable, ipIfStatsTable, ipAddressTable は攻撃者にとって最も興味深いものである可能性があります。統計テーブルは, このノードが処理しているトラフィックの量とタイプに関する情報を提供し, 特にトランジットプロバイダーにとっては機密と見なされる可能性があります。アドレステーブルは, このノードで使用されているすべてのアドレスの便利なリストを提供します。各アドレスは単独では特筆すべきものではありませんが, 総リストにより攻撃者は無関係なトラフィックを相関させることができます。たとえば, 攻撃者は RFC 3041 [15] のプライベートアドレスを既知のパブリックアドレスと相関させることができ, RFC 3041 の意図を回避できます。
SNMPv3 より前の SNMP バージョンには, 適切なセキュリティが含まれていませんでした。ネットワーク自体がセキュアであっても (たとえば IPSec を使用している場合), セキュアなネットワーク上の誰がこの MIB モジュールのオブジェクトにアクセスして GET/SET (読み取り/変更/作成/削除) できるかについての制御はありません。
実装者は, SNMPv3 フレームワークによって提供されるセキュリティ機能 ([9], セクション 8 を参照) を考慮することが推奨されます (RECOMMENDED)。これには, SNMPv3 暗号化メカニズム (認証とプライバシー用) の完全なサポートが含まれます。
さらに, SNMPv3 より前の SNMP バージョンの展開は推奨されません (NOT RECOMMENDED)。代わりに, SNMPv3 を展開し, 暗号化セキュリティを有効にすることが推奨されます (RECOMMENDED)。その後, この MIB モジュールのインスタンスへのアクセスを提供する SNMP エンティティが, オブジェクトに対して GET または SET (変更/作成/削除) する正当な権利を持つプリンシパル (ユーザー) にのみアクセスを提供するように適切に設定されていることを確認するのは, 顧客/オペレーターの責任です。