HOME»情報処理安全確保支援士掲示板»平成29年度春期 午後Ⅰ 問1 設問1(2)
投稿する

[0471] 平成29年度春期 午後Ⅰ 問1 設問1(2)

 IPさん(No.1) 
タイトルの問題について、 恥ずかしながらそもそものところがわかっていないため、ご教示いただけませんでしょうか。

①管理用PCのIPアドレスを総当りで推測、とのことですが、ARPテーブルを書き換えられるくらいならIPアドレスも分からないものですかね?もちろんできないということなんでしょうが、仕組みがわかっていないため、腹落ちできておりません。
②総当りとはインターネットから想定されるIPアドレス宛に通信を送りまくる、みたいなイメージしましたが、PCセグメントからサーバセグメントへの通信を遮断することによって防いでいますよね。ここも仕組みがわかっておらず。

大変恐れ入りますが、何卒よろしくお願い致します。
2020.03.22 14:02
わっつさん(No.2) 
> ①管理用PCのIPアドレスを総当りで推測、とのことですが、ARPテーブルを書き換えられるくらいならIPアドレスも分からないものですかね?

仮にネットワーク内に接続されている不特定の端末のIPアドレスがわかったとしても,それが目的の端末(LDAPサーバ,CRMサーバ,管理者PC)かどうか判別できません。
具体的な端末の役割り(サービス内容)を知るには端末がやりとりしているパケットの内容で判断する必要があります。
そこで,特定の端末のARPテーブルを書き換えることで通信内容をAさんの端末で盗聴可能とする"ARPポイズニング(ARPスプーフィング)"を利用しています。
※"ARPスプーフィング"の仕組みについてはネットで検索すると図解入りのわかりやすいページがあるので,そちらを参照してみてください。


> ②総当りとはインターネットから想定されるIPアドレス宛に通信を送りまくる、みたいなイメージしました
「総当たり」はイメージされているもので合っています。
何をターゲットにするかで"ポートスキャン"や"IPアドレススキャン"などと表現される場合もあります。

> PCセグメントからサーバセグメントへの通信を遮断すること
FWにより各セグメント間での不要な通信を制限しています。
(攻撃者観点になりますが)総当たり攻撃のデメリットは「痕跡が残るリスクが高い」ことが挙げられます。
問題文にもあるように総当たり攻撃をすることにより,FWのルール(表1)で拒否されることでログが残り,攻撃が露呈してしまうリスクがあります。
対して,攻撃者が採用したARPスプーフィングはフィルタリングルールに記録されるようなパケットが送信されることはないため,攻撃が露呈する可能性が低くなります。
2020.03.24 16:39

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop