Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
『シスコワイヤレスLANコントローラ設定のベストプラクティスガイド』に記載されているように、SNMP設定は環境要件に応じて変更するか無効にする必要があります。デフォルトのコミュニティとユーザ名が変更されていないか無効になっている場合、システムはSNMPを介した読み取りおよび書き込みアクセスに対してオープンになっています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wlc
脆弱性のある製品
脆弱性を含んでいないことが確認された製品
回避策
次の回避策が利用できます。
- 管理者はデフォルトのSNMPv3ユーザを削除する必要があります。
- 管理者は、デフォルトのパブリックおよびプライベートコミュニティストリングを削除する必要があります。
修正済みソフトウェア
推奨事項
Cisco Wireless LAN Controllerのベストプラクティス:SNMPv3デフォルトユーザの変更
SNMPv3のデフォルトユーザを確認します。デフォルトでは、コントローラは無効または変更する必要があるユーザ名で設定されています。
次の例は、SNMPv3ユーザの設定を確認する方法を示しています。
(Cisco Controller) >show snmpv3user
SNMP v3 User Name AccessMode Authentication Encryption
-------------------- ----------- -------------- ----------
default Read/Write HMAC-SHA CFB-AES
The following examples shows how to delete the default SNMPv3 user and create a new user:
(Cisco Controller) >config snmp v3user delete default
(Cisco Controller) >config snmp v3user create nondefault rw hmacsha des authkey
<encrypkey12characters>
シスコワイヤレスLANコントローラのベストプラクティス:SNMPv2デフォルトコミュニティの削除
SNMPv2のデフォルトコミュニティをチェックします。デフォルトでは、コントローラには削除する必要があるデフォルトのコミュニティストリングが設定されています。
次の例は、SNMPv2コミュニティの設定を確認する方法を示しています。
> show snmpcommunity SNMP Community Name Client IP Address Client IP Mask Access Mode Status ---------------- ----------- -------------- ---------- public 0.0.0.0 0.0.0.0 Read Only Enable ********** 0.0.0.0 0.0.0.0 Read/Write Enable
次の例は、アクティブなSNMPコミュニティを削除する方法を示しています。
> config> snmp community delete private
> show snmpcommunity
SNMP Community Name Client IP Address Client IP Mask Access Mode Status
---------------- ----------- -------------- ----------
public 0.0.0.0 0.0.0.0 Read Only Enable
次の例は、SNMPコミュニティを設定する方法を示しています。
> config> snmp community create SNMP_Community
>show snmpcommunity
SNMP Community Name Client IP Address Client IP Mask Access Mode Status
---------------- ----------- -------------- ----------
SNMP_Community 0.0.0.0 0.0.0.0 Read Only Enable
注:コントローラとワイヤレスコントロールの間でSNMP設定が一致していることを確認してください
System(WCS)/Network Control System(NCS)/Prime Infrastructure(PI)。さらに、セキュリティポリシーに一致する暗号化キーとハッシュキーを使用します。『Cisco Wireless LAN Controller Configuration Best Practices Guide』は、次のURLで入手できます。https://www.cisco.com/c/en/us/td/docs/wireless/technology/wlc/8-5/82463-wlc-config-best-practice.html#pgfId-379998
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている問題のエクスプロイト事例とその公表は確認しておりません。
出典
この問題を報告していただいたInsight社のシニアセキュリティアーキテクト、Jim Thomas氏に感謝いたします。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | 「推奨事項」セクションを、「show snmpcommunity」コマンドの出力例を含めて更新。SNMPコミュニティを作成、削除、および確認する設定例が追加されました。「Summary」セクションが更新され、「default usernames」と「default communities」に関する情報が追加されました。 | 概要、推奨事項 | Final | 2018 年 4 月 23 日 |
| 1.0 | 初回公開リリース | — | Final | 2018 年 4 月 18 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。