ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】
[FWのフィルタリング内容の調査結果]
Jさんは、表1をN主任に説明した。その時の2人の会話を次に示す。
Jさん:調べたところ、FWで許可している通信は、表1のとおりになっていました。
N主任:現在の設定で、(a)スキャンとポートスキャンには対応できているようだ。DoS攻撃は、送信元IPアドレスを偽装して行われることがある。我が社が利用しているISPでは、①利用者のネットワークとの接続ルータで、uRPF(Unicast Reverse Path Forwarding)と呼ばれるフィルタリングを行っているので、偽装されたパケットが当社に到達することは少なくなっていると考えられる。しかし、DoS攻撃がなくなっているわけではない。DoS攻撃への対策状況について、Jさんの考えを聞かせてくれないか。
Jさん:②DMZの全ての公開サーバを対象とするブロードキャスト宛てのスマーフ(smurf)攻撃のパケットは、FWでブロックされます。クローズのポート宛てにUDPパケットを送ると、RFC 792で規定された(b)パケットが送信元IPアドレス宛てに返送されるのを悪用し、サーバのリソースを消費させるUDPフラッド(UDP flood)攻撃も、FWの設定で防げていると思います。
N主任:そのとおりだ。しかし、SYNフラッド(SYN flood)攻撃については対策が必要だ。どのような対応を必要なのか検討してくれないか。
Jさん:分かりました。SYNフラッド攻撃について調べてみます。
a:ホスト(又は、アドレス)
「現在の設定で、(a)スキャンとポートスキャンには対応できているようだ。」
FWなどセキュリティ面で最初に設定・確認するポイントとしては、攻撃者が不正侵入の手口として最初に行う攻撃対象のIPアドレスと稼働中のサービスを調査する行為に対応できているかどうかです。
IPアドレスを調査する行為はホストスキャン(又はアドレススキャン)といい、特定の範囲全体を対象にpingコマンドによる応答有無によって確認します。
また、サービスを調査する行為はポートスキャンであり、SYNパケットを宛先ポート番号を変えながら送信して、ACK応答があるポート(サービス)を特定します。
表1(通信を許可するFWのルール)では、アクセス経路が「インターネット→DMZ」で、プロトコルが「ping(ICMP)」を許可していないことと、必要なポート(サービス)しか許可していないことが確認できます。
下線①について、フィルタリングの内容を、70字以内で述べよ。:ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを廃棄する。
「DoS攻撃は、送信元IPアドレスを偽装して行われることがある。我が社が利用しているISPでは、①利用者のネットワークとの接続ルータで、uRPF(Unicast Reverse Path Forwarding)と呼ばれるフィルタリングを行っているので、偽装されたパケットが当社に到達することは少なくなっていると考えられる。」
uRPFはあまり知られていないキーワードかと思います。難しいですが前後の説明などからなんとか回答を導くことが必要です。
送信元IPアドレスを偽装したパケットを受信したルータは、通常は宛先IPアドレスを見てルーティングテーブルを検索してネクストホップのルータに転送するため、結果的にDoS攻撃が成立してしまうことになります。
ここで、「Reverse Path Forwarding」とあるように、通常は見ない送信元IPアドレスを見てルーティングします。
送信元IPアドレスが、パケットを受信したインターフェースに存在すべきIPアドレスの範囲にあるかどうかをルーティングテーブルで確認し、存在しない場合にはパケットを廃棄します。
偽装された送信元IPアドレスが正しいIPアドレス範囲内にある場合もあるため、「偽装されたパケットが当社に到達することは少なくなっている」ということだと考えられます。
下線②のIPアドレスを答えよ。:α.β.γ.15
「②DMZの全ての公開サーバを対象とするブロードキャスト宛てのスマーフ(smurf)攻撃のパケットは、FWでブロックされます。」
DMZの公開サーバのIPアドレスについては、図1(W社の本社LANの構成)の注記1に「DMZの公開サーバ用のグルーバルIPアドレスのネットワークアドレスはα.β.γ.0/28である。」とあります。
α.β.γ.0/28のブロードキャストアドレスは、「α.β.γ.15」になります。
なお、smurf攻撃とはDoS攻撃の一種で、送信元IPアドレスを偽装したICMPパケットを大量に送信し、応答パケットを攻撃対象に返信させる攻撃です。
ここで宛先IPアドレスに用いられるブロードキャストアドレスのことを、ディレクテッドブロードキャストアドレスと言います。
b:ICMP(又は、ICMP Unreachable)
「クローズのポート宛てにUDPパケットを送ると、RFC 792で規定された(b)パケットが送信元IPアドレス宛てに返送されるのを悪用し、サーバのリソースを消費させるUDPフラッド(UDP flood)攻撃も、FWの設定で防げていると思います。」
RFC792はICMPに関する仕様です。
サーバで稼働していないサービス(ポート)宛てにUDPパケットを送ると、ICMPパケットが返信されます。(実際の返信パケットは「port unreachable」のようです)
TCPの場合は3ウェイハンドシェイクにより通信が成立しませんが、UDPの場合は受信側がICMPで返信する必要があることから、攻撃対象の高負荷を狙ったUDPフラッド攻撃があります。