NAPTとDHCPのログ解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問3】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問3

問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200417031927p:plain

(略)

【無線LANセグメントの調査】

 10.100.130.1は、ルータとして動作しているAPに割り当てたIPアドレスであることが分かった。APではNAPTでIPアドレスの変換をしてPCと接続していることから、APに接続しているPCがワームVに感染している可能性があると判断した。これらのPCのIPアドレスはAPのDHCP機能で設定していることから、APの通信ログ及びDHCPサーバ機能のログ(以下、DHCPサーバログという)を調査することにした。

 DHCPサーバ機能では、IPアドレスのリース期間を1時間にしており、プールしているIPアドレス範囲から適宜リースする。APでの通信ログのうち宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのものを表1に示す。表2に10月28日のAPのDHCPサーバログを示す。M君は、表1と表2を基に、445/TCPのポートをスキャンしているPCを特定した。

f:id:aolaniengineer:20200419042121p:plain

f:id:aolaniengineer:20200419042148p:plain

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】

APの通信ログとDHCPサーバログを調査して、ワームVに感染したと判断すべきPCを全て答えよ。:PC101,PC133,PC277,PC301,PC321,PC340

表1(APの通信ログ)から分かることを整理しましょう。

 NAPT変換前IPアドレスに登場するのは4個で、それぞれ宛先IPアドレスを変えて445/TCPのポートスキャンを行った時間帯は以下の通りです。

  • 192.168.0.8:10/28 14:26:45 – 17:31:25
  • 192.168.0.12:10/28 16:51:50 – 17:31:25
  • 192.168.0.32:10/28 14:25:02 – 17:31:23
  • 192.168.0.44:10/28 14:27:18 – 17:31:22

注意が必要なのは、表1の省略されている時間帯では、上記の通信が複数発生している可能性があるということです。

そして、この時間帯にNAPT変換前IPアドレスを使用していたPCを表2(APのDHCPサーバログ)から探します。

 ここで、「DHCPサーバ機能では、IPアドレスのリース期間を1時間に設定」とありますが、PCが接続状態の時はリース期間の1時間を経過してもそのままIPアドレスを継続利用できることに留意します。

したがって、ポートスキャンが開始された時間帯より遡って、リースされたPCが対象になります。

  • 192.168.0.8:PC101,PC301
  • 192.168.0.12:PC101
  • 192.168.0.32:PC321,PC340
  • 192.168.0.44:PC277,PC133

ここで、PC101は2回登場しますが、これは最初に192.168.0.8でポートスキャンを行った後、割り当てられたIPアドレスを一度リリースして、改めて192.168.0.12でリースされ、再度ポートスキャンを行ったと考えられます。

感染したPCによる通信を調べてみると、DHCPによってIPアドレスが変わったので、感染した複数のPCが同じ送信元IPアドレスを使っている場合がある。感染した複数のPCによって使われた送信元IPアドレスを解答群から全て選べ。:192.168.0.8,192.168.0.32,192.168.0.44

上記の通り、複数のPCによって使われたIPアドレス3個を回答すれば良さそうです。