応用IPスプーフィング講座
written by IPUSIRON(1999,4,20)
■IPスプーフィングに弱いサービス
IPスプーフィングに弱いサービスは、以下のようなものがあります。
- RPC(Remote Procedure Callサービス)
- IPアドレス認証を使う全てのサービス(ほとんどのサービスがこれに当てはまる)
- X Window System
- rサービス
また、RPC、X、rサービスはUnix中心の設計なので、他のOSでは攻撃に弱いです。例えば、WinNTは、シーケンス番号攻撃に弱い!(TCPシーケンス番号の推測でセッションが乗っ取れられやすい)。
■IPスプーフィング攻撃に対する防衛
一番いいのは、「Secure
Shell」(詳しくは、基礎Secure_Shell講座を参照せよ)を採用するのが最適でしょう。
しかし、効果は劣るが、以下のような方法も有ります。
- ネットワークをルーターで設定して、ローカルアドレスから送信されたと称するネットからのパケットを拒否する(ファイアウォールを使っただけでは、スプーフィング攻撃から自動的に保護されるわけではない。ファイアウォールの外側部分を経由して内部アドレスにアクセスすることを認めると、弱点は残ったままである)。
- Linuxコンピュータでネットに接続して、内部ネットワークでWinやNovell製品を使っている場合、ファイアウォールでTCPを停止することを考えるべきである。即ち、メールサーバへの外部からの接続は許可するが、社内ワークステーションではメールの取り出しにIPXベースの接続を使うようにする。
- 信頼関係のあるホストからの外部接続を許可する場合、ルーターで暗号セッションを使うこと。これで、Attackerは、ネットワークトラフィックをサンプルとして盗聴できなくなる。
- 定期的に、信頼関係のあるホスト間の接続を比較すること。例えば、信頼関係のあるホストをAとBとする。両方のホストにセッションの動作を示すプロセスがあるはずなので、それを調べる。もし、一方のホストにプロセスが無い場合は、スプーフィングされている可能性が大である。
- ルーター内部のLANのネットワーク偽造を守るフィルタリングをしておくほうが良い。対策フィルタリングの要点として、監査場所としてWAN側のインターフェイスを指定し、入ってくるIPパケットに関しての監査を行う。その監査で送信元にLAN側のアドレスを持つものを廃棄する。なぜならば、WAN側インターフェイスからのパケットにLAN側を送信元に持つパケットは入ってこないし、入ってくればそれはIPSpoofingとして偽造されたパケットであるからである。尚、このフィルタリングだけでLandAttack対策と
Smurf Attack対策(詳細は、基礎DosAttack講座を参照せよ)を兼ねる事が出来て一石三鳥である。ルーター負荷を下げる為にはこのフィルタだ けに留めるほうが良い。しかし、ネットワークが外部ホストと信頼関係にある場合、これらの方法ではSpoofing攻撃を防御できない。
■Spoofing対策ツール
|
Aventail MobilVPN(Aventail社)
|
VPNベースの認証でIPソースアドレスではなくユーザを認証
|
|
Cisco PIX Firewal(Cisco社)
|
アンチSpoofing機能を組み込んだ総合的なファイアウォールである
|
■関連リンク
戻る