ことさら−古都プログラマーの更級日記

京都でお寺を回りながら御朱印集めをしていたり、LoLをしたり試合を見に行ったりしているエンジニアのブログです。技術的なはなしとか日常的なはなし、カメラやLoLや競馬の話も書きます。右メニューに検索やらカテゴリーやらがあるので、見たい記事だけ見てね!

情報安全確保支援士(情報セキュリティスペシャリスト)平成25年度春期 問2 IPアドレスの偽装

もくじ

問題概要

  • A社
    • メール
    • インターネット接続システムX(@本社)
      • サーバーへのサクセスおよびプログラムの動作状況をロギング
    • 本社及び工場はIP-VPNでつながっている
  • インターネット接続サービスB

ネットワーク構成

設問1

(1) a, b

DNSの名前解決通信は主にUDPを行う。UDPはUser Datagram Protocolの略で、3wayハンドシェイクなどは行わない。

User Datagram Protocol - Wikipedia

(1) c

DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。

インターネット10分講座:DNSSEC - JPNIC

(2)

DNSキャッシュポイズニング対策として、DNS問い合わせをする際のポート番号をランダムで変更するというものがある。*1

(3)

通常メールサーバーは外部メールサーバーと内部メールサーバーが存在している。通常外部メールはDMZ(非武装地帯)に設置されており、外部から社内に送られてきたメールは一旦外部メールサーバーを経由する。そこでウィルススキャンやフィルタリングなどを行ったうえでメールの保存は社内メールサーバーに行われる。社内のメールのやりとりは社内メールアドレスで完結するようにする。といった設定が考えられる。

外部メールサーバーは外部からのメールを受け取る。この時、Fromなどに他社のメールサーバーなどのドメインが含まれている。外部メールサーバーからC-DNSに問い合わせが来た場合は当然C-DNSにレコードは存在しないため、再起問い合わせを行う必要がある。

(4)

図を見るとIF1は(d),(e),(f)につながっていないため、(d)(e)(f)のIPアドレスが送信元に指定された通信がIF-1から送信されてきたらIPアドレス詐称である。

今回(e)DMZ2が設定されていなかったため、例えば外部メールサーバのIPを詐称されてC-DNSなどにリクエストが来た場合はFW-Aを通過されてしまう可能性がある。

(5)

図3の(2)より、この攻撃はC-DNSに対するキャッシュポイズニング攻撃で、C-DNSSPFレコード(Sender Policy Framework)が書き換えられてしまう可能性がある。SPFレコードとは、メールが送信されてくるIPアドレスが書かれていたもので、G社のSPFレコードは、G社のメールがどのIPのサーバーから送られてくるのか、という情報が書かれている。これが不正に書き換えられると、攻撃者はG社を謳ったメールを外部メールサーバーに送信することが可能になってしまう。

設問2

(1)

どちらもIF-1を通してFW-Aに届くので、IPアドレスの詐称を見極めるのは困難である。

(2)

支社システムにもDNSを用意するしかない。

*1:「ポート番号」という語を使えという注釈が問題にある