HOME»情報処理安全確保支援士掲示板»H27秋  午後1問3  設問1

情報処理安全確保支援士掲示板

掲示板検索:

[0628]H27秋  午後1問3  設問1

 やさかさん(No.1) 
攻撃者は、WebAPサーバ2に初めに侵入していますが、
そのとき、WebAPサーバ2のログイン履歴に記録が残らなかったのはなぜでしょうか。

表4は、サーバのOSへのログイン履歴とのことですが、
サーブレットコンテナの管理画面からのログインは、
サーバにログインしたことにならないのでしょうか。

問題を解くうえではあまり気にしなくていいところかもしれませんが、
できるだけ、問題文中で起きていることをきちんと理解したいため、質問致しました。
答えにくい質問でしたら申し訳ありません。
2021.03.21 21:03
昭和62年さん(No.2) 
IPAの採点講評に
WebAPサーバ2は、サーブレットコンテナから侵入されているため、
OSのログイン履歴には記録が残らないことを理解してほしい。
と書いてあります。
2021.03.21 21:59
 やさかさん(No.3) 
講評は読んでいませんでした。すみません。

サーブレットコンテナについての知識は何もないに等しいのですが、
サーブレットコンテナがサーバ上で動いているアプリケーションの1つなら、
前提として、OSへのログインはしていそうな気がしたため、
そのあたりが実際にはどうなっているのかを聞ければと思い、
今回の質問をさせていただきました。

深追いはせず、とりあえずそういうもの
(サーブレットコンテナの管理画面からログインした場合はOSのログイン履歴に記録は残らない。
アクセスした記録はサーバのログに残る。)
として覚えておく程度にとどめておいたほうがいいでしょうか?



2021.03.21 23:13
GinSanaさん(No.4) 
この投稿は投稿者により削除されました。(2021.03.22 12:52)
2021.03.22 12:52
GinSanaさん(No.5) 
P19-20の  対策とシステム再稼働  にて、サーブレットコンテナの管理画面にアクセス可能なのは127.0.0.1の場合のみになるように(127.0.0.1はループバックアドレスなので管理画面へは自分自身(WebAPサーバ)からのアクセスのみ許可する)
アクセス制御を入れたわけですから、いままでは外部ネットワークから普通に入れてしまっていたわけです。

そもそもはP17にあるように「設定に誤りがあり、インターネットから管理画面にアクセスできるようになっていた」ことが原因であったからそういう対策を取ったわけです。

サーブレットコンテナ自体はOSログインとは関係なく、ただのWebログインなのでOSのログインのログには残らないわけです。

WebAPサーバ2に侵入された後、WebAPサーバ1及びWebサーバにログインできたのは、「DMZの各サーバに同じ利用者ID・パスワードが設定されており、そうした設定ではOSの仕様としてあるサーバから他のサーバにアクセスする際、自動的にログインが行われる」ようなOSの仕様があったからで、それを最後に対策したわけなので、
とりあえずそういうものみたいな認識でなく、経緯を理解してください。

2021.03.22 12:58
昭和62年さん(No.6) 
たぶん以下のような感じだと思います。
(間違っているかもしれないです)

サーブレットコンテナの管理画面では、ありがちなアカウント名とありがちなパスワードでログインできた。
※OSへログインしたわけではないので、OSのログイン履歴には残らない。

問題文の図2の下から2番目の・で、
  管理画面は administrator の権限で動作している
さらに、17ページの先頭で、
  全サーバで administrator に同じパスワードが設定されている
と書かれています。
「管理画面」から他サーバへアクセスしたときには administrator の資格でアクセスした。
パスワードが同じなので自動的にログインできた。
※OSへのログインなので、OSログイン履歴に記録が残った。
2021.03.22 14:22
昭和62年さん(No.7) 
ページをリロードせずに書いたので、
GinSanaさん の内容と同じような書き込みになってしまいました。
失礼しました。
2021.03.22 16:53
 やさかさん(No.8) 
この投稿は投稿者により削除されました。(2021.03.22 18:23)
2021.03.22 18:23
 やさかさん(No.9) 
GinSana様、昭和62年様、詳しい説明をありがとうございます。

説明が正しく理解できているか確認したいのですが、
WebAPサーバ2のサーブレットコンテナはadministratorの権限で動作していたため、
インターネットから管理画面にログインした攻撃者は、administratorでWebAPサーバ2に
ログインしたのと結果的に同じ状態になった、ということで大丈夫でしょうか。

また、分からないのですが、WebAPサーバ2からWebAPサーバ1へのアクセスは、
どのように行われたと考えられるでしょうか。
WebAPサーバ2のサーブレットコンテナの管理画面にログインした後に、
index.jspを使ってWebAPサーバ1にアクセスしたと考えるのが自然でしょうか。

2021.03.22 20:34
GinSanaさん(No.10) 
>WebAPサーバ2からWebAPサーバ1へのアクセスは、
>どのように行われたと考えられるでしょうか。
>WebAPサーバ2のサーブレットコンテナの管理画面にログインした後に、
>index.jspを使ってWebAPサーバ1にアクセスしたと考えるのが自然でしょうか

自分が解いたときには考えなかったことなので、仮説をいくつか。
sshででも入ったんかな?とか思いましたが(FW関係ないし)、WindowsサーバでせっかくOSコマンドがふつうに使えるindex.jspを念頭に考えると、
リモートアクセス用のPSEXECをOSコマンドで実行する
とか、
攻撃に使いたがられるPowershellとかあるにはありますが、セキュリティポリシーで制限を結構かけられてしまうので、PSEXECがカタイんじゃないですかね。まあ、本文にないので、自分ならどうするか?って感じで書いていますが。

もうひとつの質問は、回答No.06の記載のある通りだと思います。

2021.03.22 22:19
yamaさん(No.11) 
サーブレットコンテナ自体はサーバーOS上で動いているが
サーブレットコンテナは外部のインターネットに公開されているので
OSの認証とは無関係にサーブレットコンテナの管理画面にはアクセスができるという事でしょうか

OSから見ると、サーブレットコンテナの管理画面のアクセスというのは
サーブレットコンテナというアプリケーションが通信している内容なのでOSは感知しない
(それらはWAFなどファイアウォールでチェックすべき内容)という事でしょうか
2021.03.22 22:26
yamaさん(No.12) 
サーブレットコンテナが他のアプリケーションと異なる点は
外部のインターネットに公開されているという事でしょうか
2021.03.22 22:30
 やさかさん(No.13) 
GinSana様、yama様
おかげで、問題文でやっていることが理解できました。
ご返信ありがとうございました。
2021.03.23 02:45

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop