私たちが過去12年間に購入した中で、おそらく最も優れた製品の1つです。すばらしい製品です。
Damon Warren氏、IT担当役員
Burnet Institute
ホーム / サポート / リソース / サポート技術情報 / Articles / K2000-Appliance-Security-Recommended-Practices

K2000アプライアンスのセキュリティに関する推奨事項

K2000は、PXEブートサービスを活用してオペレーティングシステムをコンピュータに導入する、エージェントレス型のシステムデプロイメントアプライアンスです。PXE標準では、データストリームセキュリティが設定されていないプロトコル(TFTPなど)が構築されます。PXEによって指定されるプロトコルの大半は、データストリームセキュリティを備えた代用プロトコルを持っていません。

高いセキュリティ要件が必要とされるサイトでは、物理的セキュリティとネットワークセキュリティを適切に備えた、導入専用のネットワークが検討される場合があります。

K2000を混合ネットワークで使用する際に、特に注意すべき点がいくつかあります。

回復アカウント

KACEサポートによるお客様の支援のみを目的として、回復アカウントがK2000に設定されています。このアカウントのパスワードは、アプライアンスのPHPソースコードを調べることで特定できます。このアカウントは将来のリリースでは削除され、代わりに管理回復パスワードが設定される予定です。この回復パスワードは、定期的に循環されます。また、PHPソースコードでは使用できず、アプライアンス上では暗号化されていない状態で使用することもできません。

潜在的な脆弱性を悪用されないように、物理的セキュリティとネットワークセキュリティを使用してアプライアンスのWeb UIへのアクセスを規制することをお勧めします。

任意のコマンド実行

アプライアンスには、アプライアンス上でrootとして実行されるコマンドをスケジュールしているデータベーステーブルが存在します。このデータベースへの書き込みアクセス権を取得できれば、アプライアンス上でrootとして実行されるコマンドをテーブルに追加できるようになるため、アプライアンスのセキュリティが侵害されるおそれが生じます。アプライアンスの通常の設定では、以下のようになっています。

  • 外部からrootアカウントへのSSHアクセスは、デフォルトでオフになっています
  • オフボードでのデータベースアクセスは、デフォルトでオフになっています

潜在的な脆弱性を悪用されないように、これらの設定はオフのままにしておくことを強くお勧めします。

アカウント情報の漏えい

K2000のデータベースにある各テーブルを調べてみると、ハッシュされたパスワードが格納されていることが分かります。ここで注意すべき点として、以下のような点があります。

  • オフボードでのデータベースアクセスは、デフォルトでオフになっています。
  • アプライアンスデータベース内には、平文で格納されているパスワードはありません。
  • パスワードハッシュは、すべてMD5またはSHA-1のアルゴリズムを使用して作成されます。
  • 管理パスワードが管理者によって割り当てられると、標準的なアルゴリズムを使用して評価が行われます。強力なパスワードが適切に使用されていれば、公開されるハッシュ値はオフラインの辞書攻撃に対して充分な強度があります。
  • LDAP統合が有効になっている場合は、以下のようになっています。
    • ローカルのユーザーアカウント(admin以外)は無効になっており、各アカウントのパスワードも使用不可となっています。
    • LDAPアカウントのパスワードは、ユーザー認証に必要な期間を越えてアプライアンスに格納されることはありません。
    • LDAPアカウントのパスワードは、アプライアンスデータベースに格納されることはありません。

セキュリティ上のベストプラクティスとして、以下のことをお勧めします。

  • オフボードでのデータベースアクセスは、オフの設定のままにする
  • すべてのローカルユーザーにおいて、辞書攻撃に対する充分な強度を持つ複雑なパスワードを使用する

これらを実践することで、アプライアンスデータベース内に格納されているローカルユーザーのハッシュされたパスワードについては、理論上での脆弱性は低減されます。

クロスサイトスクリプト(XSS)の脆弱性

K2000のエンジニアリングチームでは、K2000のユーザーインターフェイスでXSS関連の問題が起こる危険性を抑えるために、さまざまな内部開発を実践してきました。また、一般的なネットワークセキュリティツール(OpenVAS、QualysGuardなど)を使用して、XSSの脆弱性に対するK2000のテストも行っています。こうしたツールを使用しても、脆弱性が発覚することがあります。そのような場合には、できるかぎり早急に修正を行うように最大限努めています。

これまでに報告されているXSSの脆弱性を回避するには、特定のURLにアクセスできる役割で、K2000の管理インターフェイスに対して認証されたアクセスを行う必要があります。

Google Chromeなどのブラウザと、NoScriptなどのブラウザプラグインを使用することをお勧めします。これによって、すべてのWebサイトにおける脆弱性が低減します。

ご質問、ご不明な点がございましたら、Dell KACEサポートまでお問い合わせください