パスワードを忘れた? アカウント作成
17408456 story
ネットワーク

米NSAとCISAが選ぶ、ネットワーク誤設定トップ10 12

ストーリー by nagazou
誤設定 部門より
headless 曰く、

米国家安全保障局 (NSA) とサイバーセキュリティ・インフラストラクチャーセキュリティ庁 (CISA) が 5 日、よくあるネットワークの誤設定トップ 10 を取り上げたアドバイザリーを公開した (CISA のブログ記事The Register の記事アドバイザリー: PDF)。

誤設定トップ 10 は以下の通り。

  1. ソフトウェアとアプリケーションをデフォルト構成で使用
  2. ユーザー/管理者権限の不適切な分離
  3. 不十分な内部ネットワーク監視
  4. ネットワークセグメンテーションの欠如
  5. 不十分なパッチ管理
  6. システムアクセス制御のバイパスが可能
  7. 弱い・正しく設定されていないMFA
  8. ネットワーク共有とサービスに対する不十分なアクセス制御リスト
  9. 不十分な認証情報の安全性
  10. 無制限なコード実行

1 位のデフォルト構成としては、デフォルトの認証情報やサービスのパーミッション設定などが挙げられている。6 位は代替の認証方法を悪用したシステムへのアクセスが可能な状態、7 位は多要素認証 (MFA) 移行後もそのまま残されるパスワードハッシュやフィッシングに弱い MFA、9 位は容易にクラック可能なパスワードや平文で保存されるパスワード、といったものだ。

スラドの皆さんはついやってしまうネットワークのバッドプラクティスがあるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • > ソフトウェアとアプリケーションをデフォルト構成で使用

    それは誤設定ではなく提供側の問題では。デフォルトでは何もできないけど、問題も起こらない設定で出荷すれば初期設定は最低限やるだろう。まあ、なんかつながらんから全部オープンみたいなことも発生しそうだけど。

    • by Anonymous Coward

      デフォルトでは全くつながらない無線LANルーターを発売したらサポート大変なことになるだろ。
      一般人でも容易に使用できることが求められる製品もあるから難しい。

      • by Anonymous Coward

        バッファローのAirStationPro、デフォルトでは無線LAN無効になってる(リセットボタン押して確認)。
        まあご家庭向けとは違うってことで。

  • by Anonymous Coward on 2023年10月11日 23時09分 (#4544159)

    自宅だとIoT機器が面倒の種なんですよね。

    ・不十分な内部ネットワーク監視
    チェック頻度は正直低い。
    DNSとかパケット流量のサマリ監視位。

    ・ネットワークセグメンテーションの欠如
    ・不十分なパッチ管理

    別LANやセグメント分割するとIoT機器が動かなくなるパターンが有るので困る。
    DTCP-IPみたいなのとか、宅外から操作扱いで機能制限が掛かるとか。
    パッチなんてちゃんと提供されてるか怪しい物も結構ある。

    リストに無いけど、IoT機器って、無線LAN対応規格が古いのも困る。
    未だに2.4GHz帯のb/g/nのWPA2-PSK(CCMP)止まりでWPA3に移行出来ないとか。
    そろそろWi-Fi6(ax)のMU-MIMOやOFDMA対応で貴重な2.4GHz帯の電波効率良くして、WPA3-SAEにも対応してほしい。

  • by Anonymous Coward on 2023年10月12日 9時21分 (#4544297)

    ○ソフトウェアとアプリケーションをデフォルト構成で使用
    →多くの場合、「推奨している状態にするまでの設定項目&手順」の提供不足が原因。
        「○○の設定については△△マニュアルを参照→××の設定項目の詳細については
        □□マニュアルを参照」とか言うようにたらい回しする上に、たらい回し先でそれ
     以前の手順で設定が必要な内容を後出し指定してくるようなのが多い。

    ○ユーザー/管理者権限の不適切な分離
    ○システムアクセス制御のバイパスが可能
    ○ネットワーク共有とサービスに対する不十分なアクセス制御リスト
    →ユーザー=管理者な環境の多さ
     システム管理者の上司以上の人の理解不足。
     システム管理者のIDを管理することの重要性と、管理方法の理解の欠如。

    ○不十分な内部ネットワーク監視
    ○ネットワークセグメンテーションの欠如
    ○不十分なパッチ管理
    →「十分な○○」とはなにか、の定義の欠如
     後出しで「○○が足りなかった」とか言われてるだけ

    ○弱い・正しく設定されていないMFA(多要素認証)
    ○不十分な認証情報の安全性
    →入社・退職・出向・異動を常態として作られていない、社会の現実を知らない人が
     作った管理システムのせい。

    ○無制限なコード実行
    →「システム管理者に問い合わせろ」とかいうクッソ使えないエラーコードを出す
        ことを許容しているのが原因。そもそも作業してるのはそのシステム管理者な場
        合が多い。

  • by Anonymous Coward on 2023年10月12日 11時21分 (#4544371)

    IX2215NのGE2ポートを全部VLANで分離動作にしたら、
    DHCPが動かなくて、苦戦中。
    識者の方、おられましたら、知恵をお恵み下さいねませ〜
    #かれこれ、3週間苦戦中で、トホホ〜

    • by Anonymous Coward

      よくあるのがクライアントがブロードキャストで叫ぶDHCP DiscoverのパケットがVLANで遮断されているケースですかね。
      VLANの設定いじくってDHCP Discover通せそうなら通す、で試してみるとよいかも。
      このあたりはDHCP Discoverから始まってOfferが返って……という一覧の流れを見るのが一番です。
      パケットキャプチャなどしつつ、確認してみてくださいな。

      #ここで技術Q&Aすると怒られそうなのでACで……。

      • by Anonymous Coward

        ありがとうございます。
        ご意見を解析して調査したいと思います。
        GE2.0にDHCPをバインディングしてるのがマズいのかな?
        とりあえず、KaliLinuxを準備しますね

        • by Anonymous Coward

          ポートベースかタグか知らんけど、ポートなら
          interface GigaEthernet2:0.0
          interface GigaEthernet2:1.0
          とかVLANのインタフェースそれぞれに
          ip dhcp binding DHCPのプロファイル名
          すれば解決しそうだね。

          #4544388とは別ACなのでAC

          • by Anonymous Coward

            お知恵を頂き、ありがとうございます。感涙です。
            ポートベースVLANにて、自宅メールサーバ構築を目指して悪戦苦闘中です。
            今宵、早速、試してみたいと思います。
            ルーターのセキュリティ設定がこんなにも難しいとは予想外です。

            • by Anonymous Coward

              サーバー構築技術の習得はわかるけど、メールサーバーの自営は作った後の運用が大変ですよ。
              実際に利用する段になると、SPFやDMARCだけじゃなくて、流れる中身のチェックも必要です。
              個人契約できるsecure mail gatewayサービスって、あるのかな。

              • by Anonymous Coward

                ご説明ありがとうございます。
                なかなか、記載の用語を調査しましたところ、難しい理由が判ってきました。
                PGPメールと事前登録以外のメールは捨てる様な運用を考えているのですが、さらに検討を進めたいと思います。大変参考になり、
                ありがとうございました。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...