【ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2 No.3】
ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】
[SYNフラッド攻撃手法と対策技術]
Jさんが、SYNフラッド攻撃手法と対策技術について調査した内容を次に示す。
SYNフラッド攻撃は、SYNパケットを受信したサーバが、TCPコネクション確立のために数十バイトのメモリを確保しなければならない仕様を悪用し、攻撃者が大量のSYNパケットを標的のサーバに送りつけてサーバをダウンさせる攻撃である。
例えば、インターネットから図1中のメール中継サーバ宛てに送信される、TCP/25のSYNパケットは、表1中の項番(c)のルールによってメール中継サーバに転送される。SYNパケットを受信したメール中継サーバは、コネクション確立のためにメモリを確保し、ACKパケットの返送がなくても、確保したメモリを一定時間開放しない。また、ACKパケットが返送されて不正なコネクションが確立された場合は、更に長い時間メモリが開放されない。そのため、メール中継サーバが大量のSYNパケットを受信すると、大量のメモリを消費して正常に稼働できなくなるおそれがある。
SYNフラッド攻撃の防御技術には、ディレイドバインディングとSYNクッキーがある。ディレイドバインディング技術を図2に示す。
図2の方式によって、サーバでの不要なメモリ確保を抑止できる。しかし、図2の方式には、装置のメモリ容量によって同時接続数が制限される弱点がある。一方、SYNクッキーでは、この弱点が改善されている。SYNクッキー技術を図3に示す。
図3の方式は、パケット中の該当するコネクションに関連する情報などに、特別な演算によって計算した変換値をクッキーとして、TCPヘッダ中のシーケンス番号に埋め込んで、通信の状態を監視するものである。
Jさんは、二つの防御技術を比較した結果、③SYNクッキーの方式では同時接続数の制限が緩和されることが分かったので、SYNクッキー技術をもつIPS(Intrusion Prevention System)の導入をN主任に提案した。その時の2人の会話を次に示す。
Jさん:SYNフラッド攻撃への対策が必要です。SYNクッキー技術をもつIPSの導入を提案します。
N主任:分かった。IPSを導入すれば、SYNフラッド攻撃だけでなく様々な不正な通信も遮断できるので、導入を検討しよう。そのほかに、DMZのサーバが送信元偽装の目的で踏み台にされる可能性について、考えを聞かせてくれないか。
Jさん:④FPサーバについては、FWの設定で防止できています。⑤メール中継サーバについては、サーバ自体の転送設定で防止しています。外部DNSサーバについても大丈夫だと思います。
N主任:外部DNSサーバは、DNSリフレクタ攻撃の踏み台にされる可能性がありそうだ。安全面を考慮すれば、構成変更が必要になるかもしれない。対応策を考えてくれないか。
Jさんは、外部DNSサーバの構成上の問題点について考えた。外部DNSサーバは、ゾーン情報管理サーバ(以下、コンテンツサーバという)の機能と、フルリゾルバの機能をもつので、表1中の項番1と項番6の通信が許可されている。フルリゾルバによるインターネット上のホストの名前解決は、(d)と(e)からの要求に対応できればよいが、コンテンツサーバは、インターネット上の不特定のホストからの名前解決要求に応答する必要がある。そこで、外部DNSサーバを、コンテンツサーバとして機能するDNSサーバ1と、フルリゾルバサーバとして機能するDNSサーバ2に分離すれば、踏み台にされる可能性は低くなると考えた。その場合、表1中の項番6のルールの変更が必要になる。DNSサーバ1にα.β.γ.1、DNSサーバ2にα.β.γ.6を割り当てたときの、表1の変更内容を表2に示す。
Jさんは、検討結果をN主任に説明した。Jさんの説明を受けたN主任は、外部DNSサーバの構成変更後の、DNSサーバへの攻撃についての調査を指示した。
c:3
表1(通信を許可するFWのルール)から、アクセス経路が「インターネット→DMZ」で、宛先IPアドレスがメール中継サーバの「α.β.γ.2」、プロトコル/ポート番号が「TCP/25」であるものを探すと、項番3が該当します。
イ:シーケンス
「②SYNパケットの情報などを基に計算した値を、TCPヘッダ中の(イ)番号にセットして、SYN/ACKパケットを送信する」
TCPの通信において、まず送信側でSYNパケットを送信する際に、送信側が管理するシーケンス番号をTCPヘッダにセットします。
受信側では、同じく受信側が管理するシーケンス番号をTCPヘッダにセットし、さらに、受信したシーケンス番号に「1」を加えた値を確認応答番号にセットします。
SYNクッキー機能をもつ装置がSYN/ACKを送信する際に、「SYNパケットの情報などを基に計算した値」とは、送信側が管理するシーケンス番号か、受信したシーケンス番号に「1」を加えた確認応答番号のどちらか迷うところです。
もう少し問題文を見ると、「図3の方式は、パケット中の該当するコネクションに関連する情報などに、特別な演算によって計算した変換値をクッキーとして、TCPヘッダ中のシーケンス番号に埋め込んで、通信の状態を監視するものである。」とあるように、ここではシーケンス番号が適切だと考えることができます。
ウ:確認応答、エ:1
「③受信したACKパケットの情報などを基に計算し、TCPヘッダ中の(ウ)番号の値が計算値に(エ)を加えた値と一致するかどうかをチェックする。」
SYNクッキー機能をもつ装置において、送信側の処理が正しく行われたものかを確認する処理になるので、②の計算値=シーケンス番号を基に、送信側で受信したシーケンス番号+1=確認応答番号と整合が取れるかをチェックすることになります。
下線③の、制限が緩和されるのは、ディレイドバインディング方式よりメモリ消費量が少なくて済むからである。その理由を、35字以内で述べよ。:コネクション確立の準備段階では、メモリの確保が不要だから。
「Jさんは、二つの防御技術を比較した結果、③SYNクッキーの方式では同時接続数の制限が緩和されることが分かったので、SYNクッキー技術をもつIPS(Intrusion Prevention System)の導入をN主任に提案した。」
メモリ消費量に関して、ディレイドバインディング方式では図2(ディレイドバインディング技術)に「SYNパケットを受信すると、TCPコネクション確立のためのメモリを消費する」とあり、その後に「装置のメモリ容量によって同時接続数が制限される弱点がある」とあります。
つまり、同時に受信するSYNパケット(→同時に接続する数)が多いほどメモリ消費量が加算されるため、同時接続数が制限されることになります。
一方、SYNクッキー方式では、図3(SYNクッキー技術)に「SYNパケットを受信する。この段階では、TCPコネクション確立のためのメモリ確保は行わない」とあり、同時に受信するSYNパケット(→同時に接続する数)が多くても、メモリ消費は行われないことが分かります。
下線④について、防止できていると判断した理由を、40字以内で述べよ。:FPサーバには、インターネットからのコネクションが確立できないから。
「DMZのサーバが送信元偽装の目的で踏み台にされる可能性について、考えを聞かせてくれないか。」
「④FPサーバについては、FWの設定で防止できています。」
「DMZのサーバが送信元偽装の目的で踏み台にされる」ということは、攻撃者からの通信をDMZのサーバが終端して、パケットの送信元IPアドレスをDMZのサーバに付け替えて攻撃対象に送信するということです。
あたかもDMZのサーバが攻撃者であるように見せかけ、本当の攻撃者を隠蔽するのが目的です。
FPサーバ(フォワードプロキシサーバ)については、「内部LANの各部署のNPCから、インターネット上のWebサイトへのアクセス、及びDMZと内部LANのサーバから、マルウェア対策ソフトの定義ファイル更新のためのベンダのWebサイトへのアクセスは、FPサーバ経由で行われる。」とあるように、内部LANやDMZからのみ利用されるものです。
したがって、FPサーバに対し、攻撃者がいるインターネットからのアクセスを許可しないようにFWで設定すればいいと判断できます。
表1(通信を許可するFWのルール)のアクセス経路が「インターネット→DMZ」のルールを確認すると、宛先IPアドレスがFPサーバ(α.β.γ.4)であるものはないことが確認でき、これにより送信元偽装で踏み台にされる攻撃については防止できていることになります。
下線⑤について、防止するためにメール中継サーバに設定されている処理方法を、50字以内で述べよ。:インターネットから受信した、W社のメールアドレス宛て以外のメールは中継しない。
「⑤メール中継サーバについては、サーバ自体の転送設定で防止しています。」
前の問題と同様に、送信元偽装による踏み台を防止するための対応方法が問われています。
FPサーバではFWの設定で防止できるのに対し、メール中継サーバではサーバ自体の転送設定で防止するのはなぜでしょうか。
それは、「メール中継サーバは、社外のメールサーバ及び社内メールサーバとの間で、電子メール(以下、メールという)の転送を行う。」とあり、表1(通信を許可するFWのルール)で、アクセス経路が「インターネット→DMZ」に宛先IPアドレスがメール中継サーバ(α.β.γ.2)、プロトコル/ポート番号がTCP/25の通信を許可する必要があるからです。
インターネットから受信するメールは通常であればW社のメールアドレス宛ての通信ですが、メール中継サーバを踏み台にしてインターネットから受信したメールを、再度インターネットの別のメールサーバに転送することも可能になります。
尚、送信元メールアドレスの偽装は簡単にできてしまいます。
対策としては、メール中継サーバの設定で、インターネットから受信したW社宛以外のメールを中継しないようにして、送信元偽装による踏み台を防止します。
d:FPサーバ、e:メール中継サーバ
「フルリゾルバによるインターネット上のホストの名前解決は、(d)と(e)からの要求に対応できればよい」
インターネット上のホストの名前解決を必要とするのは、当然ですがインターネットの機器と通信するシーンですので、問題文から探すと以下の記述があります。
「内部LANの各部署のNPCから、インターネット上のWebサイトへのアクセス、及びDMZと内部LANのサーバから、マルウェア対策ソフトの定義ファイル更新のためのベンダのWebサイトへのアクセスは、FPサーバ経由で行われる。」
「メール中継サーバは、社外のメールサーバ及び社内メールサーバとの間で、電子メール(以下、メールという)の転送を行う。」
これらから、フルリゾルバである外部DNSサーバへの名前解決を要求するのは、FPサーバとメール中継サーバであることが分かります。
オ:α.β.γ.6、カ:any
表1(通信を許可するFWのルール)の項番6は、アクセス経路が「DMZ→インターネット」で、送信元IPアドレスが外部DNSサーバの「α.β.γ.1」、宛先IPアドレスが「any」、プロトコル/ポート番号が「TCP/53、UDP/53」となっています。
これは、外部DNSサーバがフルリゾルバとして、インターネットへの名前解決のための再帰問合せの通信を許可するものです。
外部DNSサーバをコンテンツサーバとして機能するDNSサーバ1(α.β.γ.1)と、フルリゾルバサーバとして機能するDNSサーバ2(α.β.γ.6)に分離した場合、上記のルールとしては、送信元IPアドレスを変更する必要があると分かります。
したがって、項番6は、送信元IPアドレスを「α.β.γ.6」、宛先IPアドレスは「any」のまま変更なしとなります。
