米NSAとCISAが選ぶ、ネットワーク誤設定トップ10 12
ストーリー by nagazou
誤設定 部門より
誤設定 部門より
headless 曰く、
米国家安全保障局 (NSA) とサイバーセキュリティ・インフラストラクチャーセキュリティ庁 (CISA) が 5 日、よくあるネットワークの誤設定トップ 10 を取り上げたアドバイザリーを公開した (CISA のブログ記事、 The Register の記事、 アドバイザリー: PDF)。
誤設定トップ 10 は以下の通り。
- ソフトウェアとアプリケーションをデフォルト構成で使用
- ユーザー/管理者権限の不適切な分離
- 不十分な内部ネットワーク監視
- ネットワークセグメンテーションの欠如
- 不十分なパッチ管理
- システムアクセス制御のバイパスが可能
- 弱い・正しく設定されていないMFA
- ネットワーク共有とサービスに対する不十分なアクセス制御リスト
- 不十分な認証情報の安全性
- 無制限なコード実行
1 位のデフォルト構成としては、デフォルトの認証情報やサービスのパーミッション設定などが挙げられている。6 位は代替の認証方法を悪用したシステムへのアクセスが可能な状態、7 位は多要素認証 (MFA) 移行後もそのまま残されるパスワードハッシュやフィッシングに弱い MFA、9 位は容易にクラック可能なパスワードや平文で保存されるパスワード、といったものだ。
スラドの皆さんはついやってしまうネットワークのバッドプラクティスがあるだろうか。
ソフトウェアとアプリケーションをデフォルト構成で使用 (スコア:0)
> ソフトウェアとアプリケーションをデフォルト構成で使用
それは誤設定ではなく提供側の問題では。デフォルトでは何もできないけど、問題も起こらない設定で出荷すれば初期設定は最低限やるだろう。まあ、なんかつながらんから全部オープンみたいなことも発生しそうだけど。
Re: (スコア:0)
デフォルトでは全くつながらない無線LANルーターを発売したらサポート大変なことになるだろ。
一般人でも容易に使用できることが求められる製品もあるから難しい。
Re: (スコア:0)
バッファローのAirStationPro、デフォルトでは無線LAN無効になってる(リセットボタン押して確認)。
まあご家庭向けとは違うってことで。
IoT機器が困る (スコア:0)
自宅だとIoT機器が面倒の種なんですよね。
・不十分な内部ネットワーク監視
チェック頻度は正直低い。
DNSとかパケット流量のサマリ監視位。
・ネットワークセグメンテーションの欠如
・不十分なパッチ管理
別LANやセグメント分割するとIoT機器が動かなくなるパターンが有るので困る。
DTCP-IPみたいなのとか、宅外から操作扱いで機能制限が掛かるとか。
パッチなんてちゃんと提供されてるか怪しい物も結構ある。
リストに無いけど、IoT機器って、無線LAN対応規格が古いのも困る。
未だに2.4GHz帯のb/g/nのWPA2-PSK(CCMP)止まりでWPA3に移行出来ないとか。
そろそろWi-Fi6(ax)のMU-MIMOやOFDMA対応で貴重な2.4GHz帯の電波効率良くして、WPA3-SAEにも対応してほしい。
独断と偏見による実情と対策 (スコア:0)
○ソフトウェアとアプリケーションをデフォルト構成で使用
→多くの場合、「推奨している状態にするまでの設定項目&手順」の提供不足が原因。
「○○の設定については△△マニュアルを参照→××の設定項目の詳細については
□□マニュアルを参照」とか言うようにたらい回しする上に、たらい回し先でそれ
以前の手順で設定が必要な内容を後出し指定してくるようなのが多い。
○ユーザー/管理者権限の不適切な分離
○システムアクセス制御のバイパスが可能
○ネットワーク共有とサービスに対する不十分なアクセス制御リスト
→ユーザー=管理者な環境の多さ
システム管理者の上司以上の人の理解不足。
システム管理者のIDを管理することの重要性と、管理方法の理解の欠如。
○不十分な内部ネットワーク監視
○ネットワークセグメンテーションの欠如
○不十分なパッチ管理
→「十分な○○」とはなにか、の定義の欠如
後出しで「○○が足りなかった」とか言われてるだけ
○弱い・正しく設定されていないMFA(多要素認証)
○不十分な認証情報の安全性
→入社・退職・出向・異動を常態として作られていない、社会の現実を知らない人が
作った管理システムのせい。
○無制限なコード実行
→「システム管理者に問い合わせろ」とかいうクッソ使えないエラーコードを出す
ことを許容しているのが原因。そもそも作業してるのはそのシステム管理者な場
合が多い。
一般人は大変です (スコア:0)
IX2215NのGE2ポートを全部VLANで分離動作にしたら、
DHCPが動かなくて、苦戦中。
識者の方、おられましたら、知恵をお恵み下さいねませ〜
#かれこれ、3週間苦戦中で、トホホ〜
Re: (スコア:0)
よくあるのがクライアントがブロードキャストで叫ぶDHCP DiscoverのパケットがVLANで遮断されているケースですかね。
VLANの設定いじくってDHCP Discover通せそうなら通す、で試してみるとよいかも。
このあたりはDHCP Discoverから始まってOfferが返って……という一覧の流れを見るのが一番です。
パケットキャプチャなどしつつ、確認してみてくださいな。
#ここで技術Q&Aすると怒られそうなのでACで……。
Re: (スコア:0)
ありがとうございます。
ご意見を解析して調査したいと思います。
GE2.0にDHCPをバインディングしてるのがマズいのかな?
とりあえず、KaliLinuxを準備しますね
Re: (スコア:0)
ポートベースかタグか知らんけど、ポートなら
interface GigaEthernet2:0.0
interface GigaEthernet2:1.0
とかVLANのインタフェースそれぞれに
ip dhcp binding DHCPのプロファイル名
すれば解決しそうだね。
#4544388とは別ACなのでAC
Re: (スコア:0)
お知恵を頂き、ありがとうございます。感涙です。
ポートベースVLANにて、自宅メールサーバ構築を目指して悪戦苦闘中です。
今宵、早速、試してみたいと思います。
ルーターのセキュリティ設定がこんなにも難しいとは予想外です。
Re: (スコア:0)
サーバー構築技術の習得はわかるけど、メールサーバーの自営は作った後の運用が大変ですよ。
実際に利用する段になると、SPFやDMARCだけじゃなくて、流れる中身のチェックも必要です。
個人契約できるsecure mail gatewayサービスって、あるのかな。
Re: (スコア:0)
ご説明ありがとうございます。
なかなか、記載の用語を調査しましたところ、難しい理由が判ってきました。
PGPメールと事前登録以外のメールは捨てる様な運用を考えているのですが、さらに検討を進めたいと思います。大変参考になり、
ありがとうございました。