【資格】ネットワークスペシャリスト 平成26年秋期 午後Ⅰ 問3
概要
ネットワークスペシャリスト 平成26年度午後Ⅰ問3の復習。ネットワークセキュリティがテーマの問題。
設問1
穴埋め。正答数を稼ぎやすいので全問正解したいところだが、5問中2問間違った。
ひとつはDDoSについて。Distributed Denial of Serviceの略だが、この問題では「XXX型DoS攻撃」のXXX、すなわちDistributedを日本語で何と訳すかという問題だった。いやらしい、いやらしすぎる。答えは「分散型」だった。かなり悔しい思いをしたので忘れないだろう。
もうひとつはDNSの攻撃手法(DNSXXX攻撃)。攻撃対象のホストのIPアドレスを偽装して脆弱性をほったらかしにしているオープンリゾルバにクエリを送り、攻撃対象のホストに対して大量のDNSレスポンスを食らわせるDDoSの一種は「DNSアンプ」と回答したのだが、RFC5358とやらの記述を引用し、今は「DNSリフレクター」というらしい。
技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について
JPRSでは公式文書における本攻撃手法の名称として「DNS Amp攻撃」を使用してきましたが、今後はRFC 5358[BCP140]における記述に従い「DNS Reflector Attacks(DNSリフレクター攻撃)」を使用します。
設問2
(1)
「踏み台」が正答のようだが、これはあくまで俗語であって問題の正答とすべきではないのでは……(IPAの公式解答も見たけど同じく「踏み台」になっていた)。個人的には(NW機器間の配線を指す)「わたり」と同一線上に存在する表現なんだけど。
(2)
FWが大量かつ大きいサイズのICMPを利用したDDoS攻撃に対応するために必要な機能は?という問題。
「echoデータ」フィールドには、ICMPエコー・メッセージを利用するアプリケーションが何らかの値をセットしておく(データの内容は何でもよい)。一般的には、バイナリ・データ(0x00~0xffまでを順番に1ずつ変更したもの)が使われることが多い。
ICMPはメッセージ部が可変長になっており、内容は送信者の任意である。受信者はリプライの際に全く同じメッセージをリプライするようで、メッセージ部のサイズが大きいと往路と復路の両方で帯域や機器に負荷がかかる。これらを踏まえて「一定以上のサイズのICMPエコーを破棄する機能」でも大丈夫そうだが、IPAの回答例を見ると「断片化されたICMPエコーを許可しない機能」となっている。でかい=(FWに到着する頃には)断片化されている、ということだろうか?
ちなみにICMPフラッドについてググっている時に「smurf攻撃」がひっかかったのでメモしておく。
攻撃の経路としてはDNSリフレクタと同様か。
設問3
(1)
問題中では「DMZのDNSサーバのキャッシュ機能を無効にする」設計になっており、これをしないことによるセキュリティリスクを答える問題。DNSキャッシュポイズニング絡みだろうと思ったが、うまく文に出来なかった。
正答は「DNSキャッシュが改ざんされる」とある。
ここで、フルリゾルバのキャッシュに何らかの偽情報を注入することができると、エンドユーザーのクエリに対して偽情報を答えさせることができ、エンドユーザーを偽のWebサイトに誘導したり、エンドユーザーのメールなどを盗んだりすることができる。この行為を「DNSキャッシュポイズニング(キャッシュ汚染)攻撃」と呼ぶ。一度キャッシュへの注入が成功するとキャッシュでの生存期間、誘導が成功する。生存期間の長い情報を注入することで、汚染を長く継続することができる。
キャッシュ機能を無効にしておけば、悪意のあるDNSレスポンスがキャッシュされることはない。
(2)
DNSサーバの設計に携わったことがないので未知の世界だった。与えられた条件は以下の通り。
- DNSサーバが管理するドメインをDMZと内部セグメントに分けて、それぞれでゾーン転送を行う。
- DMZのDNSサーバはキャッシュ機能を向こうにしたセカンダリ(DNSサーバ)の冗長構成として、DMZに存在するグローバルIPアドレスを割り当てられたWebサーバの名前解決に使用する。
- 内部セグメントのプライマリDNSサーバは、DNSの問い合わせを受けずにセカンダリDNSサーバにだけゾーン転送する。
- 内部セグメントのセカンダリDNSサーバは、内部セグメントに設置されたデータベースサーバの名前解決に使用する。
ゾーン転送のおさらいをしておく。更新したゾーン情報をセカンダリに同期するための機能。
TSIG(Transaction Signature)は、なりすましセカンダリに対してゾーン転送することを防ぐための機能。
(3)
内部から外部への不正な通信を発見、防止するためのFWでの対策を2つ挙げろ、という問題。これ、ネスペの不文律なのか知らないが、「XXまたは◯◯」かつ「2つ挙げよ」の場合、XXでひとつ、◯◯でひとつ回答するということらしく、それに則ると発見と防止それぞれのために必要な対策を答えることになる。
「通信の宛先が海外など不審なものでないかを確認する」「ペイロードが機密情報かどうかを確認する」と回答したのだが、前述の不文律もあるので「うーんそういうんじゃないんだよね」とバツ食らう気がする。正答は「内部から外部への通信に対する遮断ルールを設定する」(防止)「FWで遮断した通信の結果ログを監視する」(発見)ということらしい。一般的にはホワイトリストを用いると思うのだが、前者はあらかじめ某国宛の通信を遮断しておくとかそういうことだろうか……。あまり納得がいかない問題。
設問4
(2)
(インシデント)対処結果の報告の後、将来発生するインシデントへの対応として、セキュリティ担当者が実施すべき事項を述べよ、という問題。「恒久的な防止のための対策を検討する」と回答したのだが、どうやら「将来発生するインシデント」という文言があることによって「再度発生すること」を前提としているようで、次回同じことが起きた時により迅速に対応できるよう「対処結果の評価を行いインシデントの対処方法を見直す」が正答となっていた。
所感
セスペはネスペの部分集合のような気がしてきた。セキュリティ分野の問題でもあまり点を取れていないので、セスペの参考書を見直すのもいいかもしれない。通勤バッグが重たくなる……。