| 米兰ac体育トップ米兰ac体育について | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 米兰ac体育について (2002/4/17更新版)
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
  2002年2月 JPCERT/CC より, 「SNMPv1 の実装に含まれる脆弱性に関する注意喚起」が発表されました。 <<< JPCERT/CC Alert 2002-02-14 >>> http://www.jpcert.or.jp/at/2002/at020001.txt ネットワーク機器などの管理に広く利用されているプロトコル SNMP(Simple Network Management Protocol) の米兰ac体育 1 の実装の多くに,SNMP パケットを適切に処理できない場合のあることが発見されました。結果として,サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり,第三者がネットワーク機器の管理者権限を取得する可能性があります。 
MUCHOシリーズおよびFITELnetシリーズをはじめとする以下の弊社米兰ac体育製品では,不正なSNMPパケットを受信することにより異常な動作(エラーリセットがかかる等)が発生する可能性があることを確認しました(2002年2月20日現在)。 ※米兰ac体育によりSNMP機能を未使用とした場合でも上記現象が発生する可能性があります。
SNMP脆弱性に対応したファームウェアです。
弊社米兰ac体育製品では,UDPの161番ポートで受信した自局宛のパケットに対してSNMPの処理を行いますので,このポート番号宛のパケットをフィルタリングすることにより,異常動作の発生を回避することが可能となります. 下記の米兰ac体育を行ってください。
ルータ自身のアドレスが複数(LAN,WAN等)設定されている場合は米兰ac体育アドレスをフィルタリングしてください。 snmp 161/udp # Simple Network Management Protocol (SNMP) ただし,このフィルタリングをおこなうと機器のSNMPエージェント機能を使用することができなくなりますのでご注意ください。  (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
conf#iprouting filtering=onconf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0conf#ipfilter -d add dst=192.168.1.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udpconf#ipfilter -d add dst=210.xxx.xxx.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=161,161 prot=udp  (MUCHOシリーズ、FITELnet-Eシリーズ、FITELnet-F40、INFONET-VP100)
「中継するIPパケットの登録を行う」を選び,
「上記登録中から中継したくないIPパケットの登録を行う」を選び,
 (INFONET-RXシリーズ、INFONET-AX60)
*** Set basic configuration ***
米兰ac体育;Basic configuration parameter(s)
IP routing : use
IP filtering :useIPX routing : not use
AppleTalk routing: not use
bridging : not use
SNMP : not use
Do you change (y/n)? [n]:・「** Set IP packet filtering configuration (forward) ***」および「**Set IP packet filtering configuration (discard) ***」にそれぞれ登録を行ってください(米兰ac体育画面は例です。運用形態によって異なります)。*** Set IP packet filtering configuration (forward) ***
1. change 2. delete 3. add 4. display 5. end
Select the number. [5]:3米兰ac体育;Add IP filtering data
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]:
source address [*]:
destination address [*]:
receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no src address src mask A=米兰ac体育;s port米兰ac体育;=B recv interface protocol
dst address dst mask A=米兰ac体育;d port米兰ac体育;=B send interface mode
---+---------------+---------------+------------+---------------------+--------
1. * * 0,65535 LAN,HSD *
* * 0,65535 LAN,HSD full
Add OK (y/n)? [y]:
*** Set IP packet filtering configuration (discard) ***
1. change 2. delete 3. add 4. display 5. end
Select the number. [5]:3米兰ac体育;Add IP filtering data
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]:2source address [*]:
A=米兰ac体育;port米兰ac体育;=B A [0]:
B [65535]:
destination address [*]:192.168.1.1mask [255.255.255.255]:
A=米兰ac体育;port米兰ac体育;=B A [0]:161B [65535]:161receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no src address src mask A=米兰ac体育;s port米兰ac体育;=B recv interface protocol
dst address dst mask A=米兰ac体育;d port米兰ac体育;=B send interface mode
---+---------------+---------------+------------+---------------------+--------
1. * * 0,65535 LAN,HSD udp
192.168.1.1 255.255.255.255 161, 161 LAN,HSD full
Add OK (y/n)? [y]:
*** Set IP packet filtering configuration (discard) ***
1. change 2. delete 3. add 4. display 5. end
Select the number. [5]:3米兰ac体育;Add IP filtering data
protocol (1:tcp 2:udp 3:tcp+udp 4:all 5:other) [4]:2source address [*]:
A=米兰ac体育;port米兰ac体育;=B A [0]:
B [65535]:
destination address [*]:210.xxx.xxx.1mask [255.255.255.255]:
A=米兰ac体育;port米兰ac体育;=B A [0]:161B [65535]:161receive interface (1.LAN 2.HSD) [1,2]:
send interface (1.LAN 2.HSD) [1,2]:
mode (1:full 2:half) [1]:
IP filtering data:
no src address src mask A=米兰ac体育;s port米兰ac体育;=B recv interface protocol
dst address dst mask A=米兰ac体育;d port米兰ac体育;=B send interface mode
---+---------------+---------------+------------+---------------------+--------
2. * * 0,65535 LAN,HSD udp
210.xxx.xxx.1 255.255.255.255 161, 161 LAN,HSD full
Add OK (y/n)? [y]:
<<< JPCERT/CC Alert 2002-02-14 >>>
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002 |
