情報処理安全確保支援士掲示板

掲示板検索:

[0527]平成29年春午後2問2

初挑戦さん(No.1)
@設問2の(3)について
IPAの解答だと社内PCでインターネットを利用できなくなると思うのですが、そういう解釈で合ってますでしょうか?それだとウイルス定義ファイルのダウンロードや、通常の業務に支障が出そうな気がするのですが・・・

A設問5について
知識を問われるタイプの問題かと思いますが、それにしてもいきなりホスト型IPSを導入するという解答は脈絡が無さすぎる気がします。この解答に至るために有用な情報があれば、是非、教えていただけると助かります
2020.09.05 12:15
助け人さん(No.2)
@設問2の(3)についてのみお答えします。A設問5については、他のどなたか。

PCからインターネットへの通信は、プロキシサーバ経由です。

PCは、内部DNSサーバに問い合わせてプロキシサーバに接続し、プロキシサーバは、外部DNSサーバに問い合わせてインターネットに接続しますので、内部DNSサーバから外部DNSサーバへ問い合わせできなくても問題ありません。
2020.09.05 21:13
わっつさん(No.3)
> A設問5について
書かれている通りの知識問題です。
セキュリティ関連の用語にマルウェアの対策として"IDS"や"IPS"が出てきます。
この技術は支援士試験シラバス(3-4 セキュリティ監視並びにログの取得及び分析)にも記載があります。
また,一般的にIDS/IPSはサーバ装置に導入されるものです。

設問の下線Cは「業務LANのサーバ間の必要な通信を維持しながら業務LANのサーバ間のマルウェア感染を防止するセキュリティ強化案」とありますのでポイントは以下の2点です。
・業務LANのサーバ間の必要な通信を維持
・業務LANのサーバ間のマルウェア感染を防止

この中で主目的は「マルウェア感染を防止」となるため,IDS(侵入検知システム)では力不足です。
IPS(侵入防止システム)が該当しますが,IPSには"ネットワーク型"と"ホスト型"があり,サーバ本体への対策を期待する場合は"ホスト型IPSの各サーバへの導入"が最適の手段となります。
2020.09.06 10:03
初挑戦さん(No.4)
> 助け人さん
なるほど、説明よくわかりました。
今までは通常のルート(プロキシ経由)でインターネットに繋ぐ分には必要無かった設定が無意味に残ってた状態だったんですね

> わっつさん
情報提供ありがとうございます。
IDSじゃなくてIPSじゃないと駄目な点等、いろいろ参考にはなったのですが、やはりまだどうにも納得できない点が多いです
もちろん、これが有効なマルウェア対策なのは十分に理解できます。しかし、この条件なら他にいくらでも答えが出てきてしまうのではないかという感が強いのです
NISTの「マルウェアによるインシデントの防止と対応のためのガイド(IPAによる翻訳版)」には確かに対策としてホスト型IPSの導入がありますが、「3.5 まとめ」には他にもいろいろ対策が出ています。以下はその一部の抜粋となります
・ホストベース(パーソナル?)ファイアウォールの導入ではだめなのか
・不必要なアプリケーションや機能の設定をオフ、または制限する(そもそも今回の原因は公開webサーバが不用意にメールソフトを入れていたのが原因)

それ以外にも、IPSよりUTMやWAFの方がマルウェア対策としては普及率が高いのではないだろうか(両方ともシラバスにも出てくる単語)等の疑問が挙げられます

せっかくお答えいただいたのに、批判めいた内容ばかりで申し訳ありません
こんなので申し訳ありませんが、設問5に関しては、引き続き、他の意見や今回の意見に対する意見等を募集しています。
わっつさんも、もしよろしければ、この意見に関する意見をお聞かせください

2020.09.06 11:30
わっつさん(No.5)
セキュリティ対策に関するものは方法がいろいろとあるので,どの対策が適しているのか?という点については悩むところです。


> ホストベース(パーソナル?)ファイアウォールの導入ではだめなのか
ファイアウォールは"L3"〜"L4"での防御策が主な機能となるため,マルウェア対策とするのは難しいでしょう。

> IPSよりUTMやWAFの方がマルウェア対策としては普及率が高いのでは
"UTM"は"ネットワークのゲートウェイ(入口)部分に配置してネットワークそのものに侵入されることを防御する"ものです。(統合の中にはIDS/IPSも包含されています)
しかし,今回の設問では「サーバ間のマルウェア感染」となるため,対策としては少し観点がズレるのかなと感じます。
#入口で防げないものがサーバ間で防げるのか?という疑問は禁じえませんが...

"WAF"は"Web Application Firewall"という名前の通り,Webアプリケーションに特化しているため,その他のプロトコルを利用するサーバには,これまた力不足となることが考えられます。
2020.09.06 13:33
初挑戦さん(No.6)
わっつさん、度重なる詳しい解説ありがとうございます
まだ若干、消化不良気味ではありますが、確かに今回のケースでは他より優れた対策だという気がしてきました。
2020.09.08 17:12
初心者さん(No.7)
設問2の(3)  内部DNSサーバの設定変更内容について  
当方も不明な点があります。
社外(B社等)へメールを送付する際のメールアドレスの名前解決ができなくならないのでしょうか?
助け人さんがおっしゃている「プロキシサーバ経由」になるのでしょうか?
2020.09.21 15:06
こりんさん(No.8)
> 社外(B社等)へメールを送付する際のメールアドレスの名前解決ができなくならないのでしょうか?
社外へメール送信の場合は、
PCのメールソフト→内部メールサーバ→外部メールサーバが外部DNSサーバに問合せして宛先メールサーバのアドレス解決→社外(B社等)
です。内部DNSサーバは関与しません。

> 「プロキシサーバ経由」になるのでしょうか?
表2のプロキシサーバの説明には、メール(SMTP)については記載がありません。関与しません。
2020.09.23 11:41
初心者さん(No.9)
この投稿は投稿者により削除されました。(2020.09.23 17:54)
2020.09.23 17:54
初心者さん(No.10)
この投稿は投稿者により削除されました。(2020.09.24 22:23)
2020.09.24 22:23
初心者さん(No.11)
>こりんさん
回答ありがとうござます。

理解乏しくて申し訳ありません。下記についても教示いただけないでしょうか。

その流れだと設問のマルウェアYと同様の感染に対しての対策になっていないと感じてしまいます。
マルウェアからのメール送信と通常のメール送信の違いがわかっていないのでなぜIPAの回答のような対策をとることでマルウェアからのメール送信を防げ、通常の社外へのメール送信に影響がないのかを教示ください。
2020.09.24 22:25
こりんさん(No.12)
★先ず、非メール通信についてです。このシステムでは、
PCからインターネットへの正規の通信は、
プロキシサーバ経由でプロキシサーバが外部DNSサーバにアドレス解決を問い合わせて、インターネットに接続することになります。
これはPCのネットワーク設定が、
  ・インターネットへの通信はプロキシサーバを利用し、
  ・社内ローカル通信は内部DNSサーバでアドレス解決し社内サーバにアクセスするように、
設定しているから、と思われます。

さて、マルウェアY(又は亜種)はどうでしょうか。
図2(3)に「OSの設定で指定されたDNSサーバーに対して、、」とあります。
このことから、マルウェアY(又は亜種)は上の正規の通信ルートをとらず、直接、設定で指定された内部DNSサーバに問合せた、と考えられます。
不幸にも、FWには非プロキシサーバからインターネットの通信を拒否する、という指定もありません。

つまり、マルウェアYは、マルウェア内に保持された多数のFQDNに対して、内部DNSサーバ外部→DNSサーバにFQDNのTXTレコードを問合せをします。
このレスポンス(TXTレコード)がマルウェアY(又は亜種)を遠隔操作する指令になっています。【いわゆるDNSトンネリング攻撃】

マルウェアXはインターネットへの正規の通信をした(プロキシサーバに痕跡あり)のに、マルウェアYは非正規の通信をした。


★次に、メール通信についてです。これは正規の利用者もマルウェアYも正規の通信ルートを使用します。
PCのメールソフト→内部メールサーバ→外部メールサーバが外部DNSサーバに問合せして宛先メールサーバのアドレス解決→社外(B社等)

先ず、マルウェアYはコンテンツ管理Webサーバに潜んでいます。(マルウェアYの亜種も同じ)
図2(5)に「Hさんがメールソフトをインストールしていた」とあります。
これでコンテンツ管理WebサーバはPCと同じメール送信ができる環境になります。
図2(3)の4つ目に「メール送信機能があり、・・」とあります。
マルウェアY(又は亜種)は、TXTレコードの指令に従い、窃取した情報をメールソフトを使用して、外部へ送信します。


★では、表2の外部DNSサーバで「オープンリゾルバ対策が行われており、再帰的なDNS問合せを許可するのは、公開Webサーバ、外部メールサーバ、プロキシサーバ及び内部DNSサーバだけである」とある「及び内部DNSサーバ」は何なのでしょう。
これが設定ミスだったということです。
  ・外部DNSサーバ:内部DNSサーバからのDNS問合せを拒否する。
  ・内部DNSサーバ:インターネット上のサーバ名についてのDNS問合せを拒否する。
2020.09.25 16:43
こりんさん(No.13)
ミス修正します。
> 不幸にも、FWには非プロキシサーバからインターネットの通信を拒否する、という指定もありません。
これ削除します。DNSトンネリング攻撃の防御に関係ないため。
2020.09.25 21:51
初心者さん(No.14)
>こりんさん
  度重なる回答ありがとうございます。

下記のように理解しました。

マルウェアY:マルウェアY又は亜種を指す

マルウェアYを遠隔操作する指令を防ぐことを目的として
マルウェアY内に保持された多数のFQDNに対するTXTレコードの問い合わせを防ぐために内外DNSの設定を行っている。

これによりマルウェアYの遠隔操作(メールの送信機能などを)動作させないのでメール送信がなされない。

そもそもメール送信についての名前解決は外部メールサーバが外部DNSサーバに問合せしているため、通常の社外メールには影響がない。


2020.09.26 18:23

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop