平成19年春 テクニカルエンジニア(情報セキュリティ)試験(SV) 午後Ⅰ 問2 解説
問2
問題:2007h19h_sv_pm1_qs.pdf (ipa.go.jp)
回答:2007h19h_sv_pm1_ans.pdf (ipa.go.jp)
設問1
(1)
a 任意 または 社内LAN
b 任意
Windowsで利用されるポート番号の135,137~139,445は、原則双方向禁止にすることを検討する。
Windowsのセキュリティホールを悪用したウイルスなどによって狙われやすいポートだからである。
(2) c 拒否
各アクセスは必要最小限にしておき、その他すべての通信を禁止とするのが原則。
設問2
(1) d SSH
代表的なプロトコルとポート番号
TCP 22:SSH
TCP 23:Telnet
TCP 25:SMTP
UDP 53:DNS
TCP 80:HTTP
TCP 443:HTTPS
(2) パスワードが平文で送信されるから(16/20文字)
telnet:通信内容が暗号化されない。
SSH:通信内容が暗号化される。
→telnetは安全ではないため、SSHを使用するのが望ましい。
(3) DMZ上のサーバを踏み台にして、社内LANにアクセスする攻撃(30/40文字)
ルール8「DMZ→社内LAN/任意ポート番号/許可」
⑧インターネットから社内LANに不正にアクセスされるおそれ
について、どのような攻撃を想定しているかを解答する。
DMZ→社内LANへのアクセスを許可しているので、
インターネットからDMZを踏み台にし、外部から社内ネットワークに侵入する攻撃が想定される。
設問3
(1) e 統計
不正アクセスを検知する仕組み
- シグネチャ型
不正アクセスの攻撃パターンをデータベース化しておき、登録されたアクセスパターンと比較して正常なアクセスかを判断する。
既知の不正アクセスに強いが、未登録の不正アクセスパターンは検知できない。 - アノマリ型
正常アクセスのパターンを登録しておき、正常動作から離れた動きをするものを異常として検知する。分析によって統計的に異常パターンを検知する。
未知の異常にも対応できるが、検知の仕方によっては誤検知が多くなる。
(2)
⑤ 正常なものまでも攻撃として検知してしまうエラー(23/30文字)
⑥ 検知すべき攻撃を検知できないエラー(17/30文字)
(3)
・パケットのヘッダ情報だけで攻撃か否かを判断しているから(27/30文字)
・ペイロードの内容を見ていないから(16/30文字)
③FWのフィルタリングルールの設定だけでは、Webサーバに対するバッファオーバーフロー攻撃などを防御できません。
この理由を答える。
パケットフィルタリング型は、通信パケットのヘッダを確認してフィルタリングする。
ヘッダ情報は、送信先IPアドレス・ポート番号、送信元IPアドレス・ポート番号、プロトコルなどで構成されている。
バッファオーバーフロー攻撃やウイルス付きEメールは、パケットのデータ部に特徴があるため、ヘッダ情報だけでは判別できない。
※ステートフルインスペクション機能であれば、パケットのヘッダ情報とデータ部を検査するため、上記攻撃を検知することができる。
(4) 攻撃を発見してから防御手段が有効となるまでの間に通過したパケットによる攻撃が、成功する場合があるから(50/60文字)
採点講評
設問3(4)では、IDSがFWと連携する機能として、TCPのリセットパケットの送出やFWのフィルタリングルールの動的な追加などに気付いてほしかった。FWとの連携における問題点ではなく、IDSやFW単独の問題点を指摘した誤った解答も見受けられた。
また、単に”タイムラグがある”というだけではなく、タイムラグがあることによってどのようなリスクが発生するのか、まで解答に含めてほしかった。
IDS(侵入検知システム)は検知するだけ。
検知すると、ログに記録したり管理者にメールを発信したりする。
「IDSとFWの連携」とは、「IDSが検知した後にFWと連携し、後続のパケットを遮断する」などの方法があるが、検知した時点のパケットは通過してしまっているので、そこで被害が発生している可能性はある。