ソリューション
業種別
用途別
統合化SDNソリューション
SDN/ネットワーク統合管理ソリューション
SDN/アプリケーション連携ソリューション
xシリーズポータル
プライベートクラウドソリューション
ワイヤレスソリューション
脅威可視化統合監視ソリューション
映像監視ソリューション
データセンターソリューション
スイッチ・セキュリティーソリューション
スイッチセキュリティー
Basicセキュリティー
Advancedセキュリティー
LAN環境での不正アクセス対策
VLANソリューション
UTM&VPNルーターポータル
省電力ソリューション
スイッチ・セキュリティーソリューション
LAN環境での不正アクセス対策
MAC flooding attacks
DHCP starvation attacks & Rogue server attacks
IP address spoofing
ARP poisoning attacks
不正アクセスと対策まとめ

近年、インターネットなどのWAN環境だけでなく、LAN環境における不正アクセス対策も重要な課題になりつつあります。サーバーやPCの対策は、セキュリティー対策ソフト等での強化が常識となっていますが、スイッチ等のネットワーク機器を狙った不正アクセスによっても場合によっては企業活動に重大な影響を及ぼします。
ここでは、LAN環境での不正アクセスの実例とアライドテレシスのスイッチ製品のセキュリティー機能で実現する対策について解説します。
MAC flooding attacks
MAC flooding attacksとは?
スイッチのFDB(Forwarding Database)を枯渇させることによりフレームをフラッディングさせて盗聴を行う攻撃手法です。通常、スイッチはMAC Addressを学習して該当ポートのみフレームを転送する仕組みのため盗聴することはできません。
ただし、FDBが枯渇するとMACアドレスの学習ができなくなるため、枯渇後の未学習フレームは全てのポートにフラッディングされます。
MAC flooding attacks
MAC flooding attacksへの対策
ポートセキュリティー機能を適用
クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける。
- FDBを枯渇させない。
- ポート毎に閾値を変更可能
上限値を超えた時の動作は選択可能
- 受信フレームの破棄
- 受信フレームの破棄&SNMP-Trapの送出
- 受信フレームの破棄&SNMP-Trapの送出&ポートをDisable
適用箇所
クライアントPCの接続ポートで設定するのが効果的
上限値はセキュリティー面と利便性/拡張性を考慮して決定
その他
IEEE 802.1X認証(SingleHost構成)も有効
DHCP starvation attacks & Rogue server attacks
DHCP starvation attacksとは?
送信元MACアドレスを変更しながらDHCPサーバーへIPアドレス割り当てを要求してIPアドレスプールを枯渇させる攻撃手法です。
DHCP rogue server attacksとは?
不正なDHCPサーバーを構築して不正なGateway IPアドレスやDNSサーバーの情報をクライアントに割り当て、盗聴などを行う攻撃手法。攻撃を成立させやすくするため、DHCP starvation attacksなども併用されます。
DHCP starvation attacks & Rogue server attacks
DHCP starvation attacksへの対策
ポートセキュリティー機能を適用
クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける。
- DHCPサーバーのIPアドレスプールを枯渇させない。
- ポート毎に閾値を変更可能
上限値を超えた時の動作は選択可能
- 受信フレームの破棄
- 受信フレームの破棄&SNMP-Trapの送出
- 受信フレームの破棄&SNMP-Trapの送出&ポートをDisable
DHCPスヌーピング機能を適用
DHCPクライアント数を制限することで、IPアドレスプールを枯渇させる不正なDHCPパケットを放棄することが可能
適用箇所
クライアントPCの接続ポートで設定するのが効果的
上限値はDHCPサーバーのIPアドレスプール数を考慮して決定
- IPアドレスプールに余裕が少ない場合は、上限値を低くする。
その他
IEEE 802.1X認証(SingleHost構成)なども有効
DHCP rogue server attacksへの対策
パケットフィルター機能を適用
68/udpをフィルタリングして不正DHCPサーバーを排除
- 正規のDHCPサーバーのIPアドレスのみ許可
- その他IPアドレスからの68/udpは全て破棄
DHCPスヌーピング機能を適用
Untrustedポート(クライアントポート)からの68/udp(宛先ポート)が破棄されるため、不正なDHCPサーバーを排除することが可能
適用箇所
L2スイッチでフィルタリングするのが効果的
- クライアントを収容するスイッチで適用すると最も被害範囲が少なくなる。
- 通常のL2スイッチでL4レベル(tcp/udp)のフィルタリングは困難
   L2 Plus製品群ではL4情報のフィルタリングが行えます(HW処理)
   L3製品群もL2モードでL4情報のフィルタリングが行えます(HW処理)
DHCP rogue server attacksへの対策
IP address spoofing
IP address spoofingとは?
IPアドレスの詐称を行い、アクセスリストなどのセキュリティー機能を回避して不正アクセスを行う攻撃手法
ルーターやL3スイッチでは、宛先IPを参照してルーティング動作を行うため送信元IPアドレスは通常チェックされない
IP OptionのStrict/Loose Source Routeを併用することで、戻りパケットを不正端末に戻すことも可能
IP address spoofing
IP address spoofingへの対策
DHCPスヌーピング機能を適用
DHCPサーバーから正しくIPアドレスを取得した端末からのみ通信が行えるため、IPアドレスを詐称したパケットを破棄することが可能
パケットフィルターによる送信元IPの制限
LAN側=正しい送信元IPアドレスのパケットのみ許可
WAN側=LAN側に存在するIPアドレスが送信元のパケットを破棄
Loose(Strict) Source Routeが指定されたパケットを破棄する。
アライドテレシス製品のルーター、L3製品はデフォルトで破棄する動作
適用箇所
DHCPスヌーピングは、末端のスイッチで設定するのが効果的
フィルターは、全てのルーター、L3スイッチで設定するのが効果的
- 構成によっては、基幹ルーター(L3スイッチ)のみで十分な場合も多い
   適用箇所が多いとネットワーク拡張や構成変更の際に更新するのが大変
   設定を忘れてネットワークを拡張すると障害と間違える場合も・・
   設定の適用効果と運用負荷を考慮して適用箇所を判断する。
ARP poisoning attacks
ARP poisoning attacksとは?
通信している端末のARP情報を更新させることで通信の間に割り込み、盗聴などを行う攻撃手法
ARP応答によるARPテーブルの更新は一般的な実装でバグではない。
盗聴だけでなく中継する際にデータの改ざんを行うことも可能。
鍵交換などに割り込まれると暗号通信が盗聴される可能性もある。
クライアント間の通信に影響はなく検出するのが難しい。
ARP poisoning attacks
ARP poisoning attacksへの対策(1)
ARPテーブルをStaticに登録する
偽造ARP応答によるARPテーブルの更新をStatic登録により防ぎます。
DHCPスヌーピング機能を適用
ARPセキュリティーオプションを利用することで、不正なARPパケットを破棄することが可能
適用箇所
Static登録 =全てのクライアントPC、サーバー、Gatewayなど
DHCP Snooping = 末端のスイッチ
ARP poisoning attacksへの対策(2)
IEEE 802.1X認証+クライアントPC管理
IEEE 802.1X(TLS認証)により不正端末の持ち込みを防止
- パスワード認証(MD-5、PEAP、TTLS)での持ち込みPC制限は困難
   サプリカントソフトによってはパスワードの事前定義が可能なので有効な場合も
クライアントPC管理により攻撃ツールのインストールを防止
- 攻撃用ツールのインストールなしに攻撃を行うことは困難
- グループポリシーの適用やAdmin権限の削除など
適用箇所
全てのクライアントPCの接続ポートでIEEE 802.1X認証を実施
全てのクライアントPC管理
不正アクセスと対策まとめ
不正アクセスと対策まとめ (16KB)


PAGE TOP