 |
|
|
|
|
|
|
|
|
|
|
|
近年、インターネットなどのWAN環境だけでなく、LAN環境における不正アクセス対策も重要な課題になりつつあります。サーバーやPCの対策は、セキュリティー対策ソフト等での強化が常識となっていますが、スイッチ等のネットワーク機器を狙った不正アクセスによっても場合によっては企業活動に重大な影響を及ぼします。
ここでは、LAN環境での不正アクセスの実例とアライドテレシスのスイッチ製品のセキュリティー機能で実現する対策について解説します。 |
|
 |
|
 |
MAC flooding attacksとは? |
|
|
スイッチのFDB(Forwarding Database)を枯渇させることによりフレームをフラッディングさせて盗聴を行う攻撃手法です。通常、スイッチはMAC Addressを学習して該当ポートのみフレームを転送する仕組みのため盗聴することはできません。
ただし、FDBが枯渇するとMACアドレスの学習ができなくなるため、枯渇後の未学習フレームは全てのポートにフラッディングされます。 |
|
|
|
 |
|
|
MAC flooding attacksへの対策 |
|
|
|
 |
ポートセキュリティー機能を適用 |
|
|
| ・ |
クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 受信フレームの破棄&SNMP-Trapの送出&ポートをDisable |
|
|
|
|
適用箇所 |
|
|
| ・ |
クライアントPCの接続ポートで設定するのが効果的 |
|
|
|
| ・ |
上限値はセキュリティー面と利便性/拡張性を考慮して決定 |
|
|
|
|
その他 |
|
|
|
 |
|
 |
|
|
DHCP starvation attacksとは? |
|
|
送信元MACアドレスを変更しながらDHCPサーバーへIPアドレス割り当てを要求してIPアドレスプールを枯渇させる攻撃手法です。 |
|
|
DHCP rogue server attacksとは? |
|
|
不正なDHCPサーバーを構築して不正なGateway IPアドレスやDNSサーバーの情報をクライアントに割り当て、盗聴などを行う攻撃手法。攻撃を成立させやすくするため、DHCP starvation attacksなども併用されます。 |
|
|
|
 |
|
|
DHCP starvation attacksへの対策 |
|
|
|
|
ポートセキュリティー機能を適用 |
|
|
| ・ |
クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける。 |
|
|
|
|
- DHCPサーバーのIPアドレスプールを枯渇させない。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 受信フレームの破棄&SNMP-Trapの送出&ポートをDisable |
|
|
|
|
DHCPスヌーピング機能を適用 |
|
|
| ・ |
DHCPクライアント数を制限することで、IPアドレスプールを枯渇させる不正なDHCPパケットを放棄することが可能 |
|
|
|
|
適用箇所 |
|
|
| ・ |
クライアントPCの接続ポートで設定するのが効果的 |
|
|
|
| ・ |
上限値はDHCPサーバーのIPアドレスプール数を考慮して決定 |
|
|
|
|
- IPアドレスプールに余裕が少ない場合は、上限値を低くする。 |
|
|
|
|
その他 |
|
|
|
|
|
DHCP rogue server attacksへの対策 |
|
|
|
|
パケットフィルター機能を適用 |
|
|
| ・ |
68/udpをフィルタリングして不正DHCPサーバーを排除 |
|
|
|
|
|
|
|
- その他IPアドレスからの68/udpは全て破棄 |
|
|
|
|
DHCPスヌーピング機能を適用 |
|
|
| ・ |
Untrustedポート(クライアントポート)からの68/udp(宛先ポート)が破棄されるため、不正なDHCPサーバーを排除することが可能 |
|
|
|
|
適用箇所 |
|
|
|
|
|
|
- クライアントを収容するスイッチで適用すると最も被害範囲が少なくなる。 |
|
|
|
|
- 通常のL2スイッチでL4レベル(tcp/udp)のフィルタリングは困難 |
|
|
|
|
L2 Plus製品群ではL4情報のフィルタリングが行えます(HW処理) |
|
|
|
|
L3製品群もL2モードでL4情報のフィルタリングが行えます(HW処理) |
|
|
|
|
 |
|
|
 |
|
|
IP address spoofingとは? |
|
|
|
IPアドレスの詐称を行い、アクセスリストなどのセキュリティー機能を回避して不正アクセスを行う攻撃手法 |
|
|
|
ルーターやL3スイッチでは、宛先IPを参照してルーティング動作を行うため送信元IPアドレスは通常チェックされない |
|
|
IP OptionのStrict/Loose Source Routeを併用することで、戻りパケットを不正端末に戻すことも可能 |
|
|
|
 |
|
|
IP address spoofingへの対策 |
|
|
|
|
DHCPスヌーピング機能を適用 |
|
|
| ・ |
DHCPサーバーから正しくIPアドレスを取得した端末からのみ通信が行えるため、IPアドレスを詐称したパケットを破棄することが可能 |
|
|
|
|
パケットフィルターによる送信元IPの制限 |
|
|
| ・ |
LAN側=正しい送信元IPアドレスのパケットのみ許可 |
|
|
|
| ・ |
WAN側=LAN側に存在するIPアドレスが送信元のパケットを破棄 |
|
|
|
|
Loose(Strict) Source Routeが指定されたパケットを破棄する。 |
|
|
| ・ |
アライドテレシス製品のルーター、L3製品はデフォルトで破棄する動作
|
|
|
|
|
適用箇所 |
|
|
| ・ |
DHCPスヌーピングは、末端のスイッチで設定するのが効果的
|
|
|
|
| ・ |
フィルターは、全てのルーター、L3スイッチで設定するのが効果的 |
|
|
|
|
- 構成によっては、基幹ルーター(L3スイッチ)のみで十分な場合も多い |
|
|
|
|
適用箇所が多いとネットワーク拡張や構成変更の際に更新するのが大変 |
|
|
|
|
設定を忘れてネットワークを拡張すると障害と間違える場合も・・ |
|
|
|
|
設定の適用効果と運用負荷を考慮して適用箇所を判断する。 |
|
|
 |
|
|
ARP poisoning attacksとは? |
|
|
|
通信している端末のARP情報を更新させることで通信の間に割り込み、盗聴などを行う攻撃手法 |
|
|
|
ARP応答によるARPテーブルの更新は一般的な実装でバグではない。 |
|
|
盗聴だけでなく中継する際にデータの改ざんを行うことも可能。 |
|
|
鍵交換などに割り込まれると暗号通信が盗聴される可能性もある。 |
|
|
クライアント間の通信に影響はなく検出するのが難しい。 |
|
|
|
 |
|
|
ARP poisoning attacksへの対策(1) |
|
|
|
|
ARPテーブルをStaticに登録する |
|
|
| ・ |
偽造ARP応答によるARPテーブルの更新をStatic登録により防ぎます。 |
|
|
|
|
DHCPスヌーピング機能を適用 |
|
|
| ・ |
ARPセキュリティーオプションを利用することで、不正なARPパケットを破棄することが可能 |
|
|
|
|
適用箇所 |
|
|
| ・ |
Static登録 =全てのクライアントPC、サーバー、Gatewayなど
|
|
|
|
| ・ |
DHCP Snooping = 末端のスイッチ |
|
|
|
ARP poisoning attacksへの対策(2) |
|
|
|
|
IEEE 802.1X認証+クライアントPC管理 |
|
|
| ・ |
IEEE 802.1X(TLS認証)により不正端末の持ち込みを防止
|
|
|
|
|
- パスワード認証(MD-5、PEAP、TTLS)での持ち込みPC制限は困難 |
|
|
|
|
サプリカントソフトによってはパスワードの事前定義が可能なので有効な場合も |
|
|
|
| ・ |
クライアントPC管理により攻撃ツールのインストールを防止 |
|
|
|
|
- 攻撃用ツールのインストールなしに攻撃を行うことは困難 |
|
|
|
|
- グループポリシーの適用やAdmin権限の削除など |
|
|
|
|
適用箇所 |
|
|
| ・ |
全てのクライアントPCの接続ポートでIEEE 802.1X認証を実施 |
|
|
|
|
|
|
 |
|
|
|
|
