【令和元年】ネットワークスペシャリスト(ネスペ)午後2 問2の解説
令和元年度のネットワークスペシャリスト(ネスペ)の午後2-2の問題の解説をしていきます。本問では主にuRPF、3ウェイハンドシェイク、DNSキャッシュポイズニング、FWのフィルタリング、プロキシサーバ認証などセキュリティに関する内容が問われました。
画像はすべてIPA公式から引用しております。令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1
空欄a
スキャンとは脆弱性のある箇所を探すために使われる手法です。スキャンにはアドレススキャン(ホストスキャン)とポートスキャンの2種類があります。
アドレススキャンとは、ネットワーク上のデバイスのIPアドレスを探索することです。また、ポートスキャンとは、ネットワーク上のコンピュータやサーバーに対して、利用できるポートを探索することです。
空欄aの答えは、アドレス(ホスト)
空欄b
スマーフ攻撃(Smurf Attack)とは、攻撃者が攻撃対象のIPアドレスになりすまし、大量のPing(ICMP request)をネットワーク機器に送りつけ、大量のPing応答が攻撃対象のIPアドレスに返ってくることを利用したDoS攻撃の一種です。
UDP flood攻撃とは、UDPの特徴であるコネクションレスを悪用して、Ping(ICMP request)で非常に大きなサイズのUDPパケットを大量に攻撃対象に送りつけたり、特定のアプリケーションポートをダウンさせるDoS攻撃の一種です。
どちらも攻撃者が送信元IPアドレスを攻撃対象のIPアドレスになりすました上で、Ping(ICMP request)を大量に送りつけ、その応答処理(ICMP replyやICMP Unreachable)でネットワーク帯域を枯渇させ、サービスを妨害する事が目的です。
空欄bの答えは、ICMP(ICMP Unreachable)
空欄c
インターネットから図1中のメール中継サーバ宛に送信されるとあるので、図1を確認します。赤線の部分がインターネットからメール中継サーバへの通信経路となります。青色の部分がメール中継サーバのIPアドレスとなります。
図1から以下の事がわかります。
- インターネットからメール中継サーバ宛への経路にFWがあり、通信のフィルタリングをしている
- メール中継サーバのIPアドレスがα.β.γ.2であること
メール中継サーバ宛の通信が許可されるとあるので表1を確認します。赤線の部分が、インターネットからDMZ(メール中継サーバのある場所)へのアクセス経路です。青色の部分が、インターネットからメール中継サーバ宛(α.β.γ.2)の通信を許可しているポリシーです。
メール中継サーバ(α.β.γ.2)へのTCP/25のSYNパケットはFWの項番3のポリシーによって、通信を許可されていることがわかります。
空欄cの答えは、3
空欄d,e
本文中に記載がある点をまとめます。
- 外部DNSサーバはフルリゾルバとコンテンツサーバの両方の機能を持ち合わせている
- 外部DNSサーバのフルリゾルバの機能によって、インターネット上のホストの名前解決を行う
- フルリゾルバとしてインターネット上の名前解決をする必要がある通信(DMZからインターネット向けの通信)は、FWでポリシー設定されている
表1を確認すると、DMZからインターネット通信をするためのポリシーが3つ許可されています。
それぞれのポリシーの設定内容は以下のとおりです。フルリゾルバ(外部DNSサーバ)によって名前解決を行うのは、メール中継サーバとFPサーバとわかります。
- α.β.γ.1は外部DNSサーバで、フルリゾルバとして名前解決を行う通信が許可されている
- α.β.γ.2はメール中継サーバで、社外とのメール通信を行う通信が許可されている
- α.β.γ.4はFPサーバ(フォワードプロキシサーバ)で、社内LANからインターネットへのHTTP、HTTPS通信が許可されている
空欄d、eの答えは、FPサーバ、メール中継サーバ
設問2
表1中の空欄アにいれるIPアドレスと項番2のルールの通信を答える問題です。
空欄アはインターネットからDMZへの通信であり、宛先IPアドレスのα.β.γ.1は外部DNSサーバです。外部DNSサーバではゾーンの管理をするコンテンツサーバと名前解決を行うフルリゾルバの機能の両方を担っています。また、UDP/53とTCP/53でDNS通信をそれぞれ許可しているとわかります。
図1の注釈に、「R社DNSサーバはx.y.z.1というグローバルIPアドレスをもち、スレーブサーバとして利用されている。」とあり、外部DNSサーバがマスターサーバという目星がつきます。
本文を確認すると、「外部DNSサーバはマスタDNSサーバであり、インターネット上のR社DNSサーバをスレーブDNSサーバとして利用している。」と記載があります。外部DNSサーバとR社DNSサーバでゾーン転送を設定しているとわかります。
ゾーン転送とは、コンテンツサーバ(権威サーバ)が管理するゾーンの情報を冗長化する目的で、他のDNSサーバにコピーすることです。転送元のDNSサーバをマスターサーバ、転送先のDNSサーバはスレーブサーバ(セカンダリーサーバ)と呼ばれます。
まとめると、R社DNSサーバのIPアドレスである「x.y.z.1」とゾーン転送が答えになります。
IPアドレスは、x.y.z.1。項番2の通信の名称はゾーン転送
設問3(1)
下線①のフィルタリング内容について答える問題です。下線①ではuRPFというフィルタリングを行っているとあります。
下線①の前後の文章から、送信元IPアドレスが偽装されたパケットを利用者のネットワークとの接続ルータでフィルタリングを行うことで、W社宛に到達することを少なくしていると記載があります。
ISPのルータで、着信したパケットを何と比較して、偽装されたパケットと判断するのかを考えます。
uRPFとは、ルータに着信したパケットの送信元IPアドレスを、ルーティングテーブルと比較して、なければ通信を破棄するフィルタリング技術です。uRPFには、ルーティングテーブルのみを参照して、送信元IPアドレスが確認できなかったら破棄するlooseモードと、ルーティングテーブルとパケットの流入インタフェースが完全に一致していなかったら破棄するstrictモードがあります。
IPA公式解答は、ルータが受信したパケットのIPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを廃棄する。(54字)
設問3(2)
下線②のIPアドレスを答える問題です。下線②の「DMZの全ての公開サーバを対象とするブロードキャストアドレス宛て」と記載があります。
まずはDMZのセグメントの情報がないので、記載のある箇所をさがします。図1の注記1(青色の線)に、DMZのネットワークアドレスはα.β.γ.0/28とあります。プレフィックスが/28なので、サブネットマスクは255.255.255.240です。
サブネットマスクからIPアドレスの総数は15で、セグメントの最後の数がブロードキャストアドレスになるため、α.β.γ.15がブロードキャストアドレスになることがわかります。
よって、答えはα.β.γ.15
設問4(1)
空欄穴埋め問題です。各該当箇所を確認すると、「SYNクッキー技術」の説明の中で、空欄があります。
3wayハンドシェイクとは、データを送る段階の前に、コネクションを確立するTCPの手順です。以下の手順で行われます。
- SYN
- 送信者がシーケンス番号をランダムに決めて、SYNクッキー装置に送信する(例:100)
- SYN/ACK
- SYNクッキー装置がシーケンス番号をランダムに決めて、送信者に返信する(例:200)
- またSYNで受け取ったシーケンス番号(100)に1を加えた確認応答番号(101)を送信者に返信する
- ACK
- SYN/ACKで確認をもらったシーケンス番号(101)をもとにSYNクッキー装置に返信する
- また、SYN/ACKで受け取ったシーケンス番号(200)に1を加えた確認応答番号(201)をSYNクッキー装置に返信する
空欄イ
クッキー装置のSYN/ACKでは、SYNで受け取ったシーケンス番号(100)に1を加えた確認応答番号(101)を送信者に返信します。空欄イの答えはシーケンスです。
本文にも「変換値をクッキーとして、TCPヘッダ中のシーケンス番号に埋め込んで、」とあります。
空欄イの答えは、シーケンス
空欄ウ、エ
送信者のACKでは、SYN/ACKで受け取ったシーケンス番号(200)に1を加えた確認応答番号(201)をSYNクッキー装置に返信し、SYNクッキー装置では送られてきた確認応答番号の値(201)がSYN/ACKで送ったシーケンス番号(200)に1を加えた値であるかをチェックします。
空欄ウの答えは、確認応答。空欄エの答えは、1。
設問4(2)
ディレイドバインディング方式よりメモリ消費量が少なくて済む理由を答える問題です。
ディレイドバインディング方式に関して本文記載の事項をまとめます。
- SYNパケットを受け取った段階で、メモリの確保を行ってしまう
- サーバでの不要なメモリの確保を行うことができるが、ディレイドバインディング機能をもつ装置は結局その分のメモリの確保を代替する形になる
- ディレイドバインディング機能をもつ装置のメモリの容量によって、同時接続数の制限がかかってしまう
SYNクッキー方式に関して本文記載の事項をまとめます。
- SYNパケットを受け取った段階で、メモリの確保を行わない
- 3wayハンドシェイクで送信者からのACKを確認できたことをもって、初めてメモリの確保を行う
- 送信者からのACKを確認ができるまでメモリの確保をしないため、同時接続数の制限を緩和することができる
SYNクッキー方式では、コネクションが確立する前にメモリの確保を行わない旨を記載できればよさそうです。
IPA公式解答は、コネクション確立の準備段階では、メモリの確保が不要だから(29字)
設問4(3)
下線④ではFPサーバ(フォワードプロキシサーバ)が攻撃者の踏み台に悪用される可能性を、FWの設定で防止できていると述べられており、その理由を答える問題です。
「FWの設定で防止できている」とあるので、FWの設定内容を記載している箇所をさがします。
表1から読み取れることは以下のとおりです。FWでインターネットからFPサーバ向けの通信を許可していないから、踏み台にされることはない旨を解答に盛り込みましょう。
- FPサーバ(フォワードプロキシサーバ)のIPアドレスはα.β.γ.4
- FPサーバからインターネット向けへの通信はFWのポリシーで許可されている
- 一方、インターネットからFPサーバへの通信はFWで許可されていない
IPA公式解答は、FPサーバには、インターネットからのコネクションが確立できないから(33字)
設問4(4)
メール中継サーバが攻撃者の踏み台に悪用される可能性を防ぐためにしている設定を答える問題です。
メール中継サーバでどのような転送設定をしているのかを探します。「メール中継サーバは、社外のメールサーバ及び社内メールサーバとの間で電子メールの転送を行う」と記載があります。
メール中継サーバは、メールの中継を行います。中継するメールをW社のメールアドレス宛てのみに制限することによって、攻撃者が中継サーバを踏み台として悪用することを防ぐことができます。
つまり、中継するメールはW社のメールアドレス宛のみに限定しているため、W社のメールアドレス宛て以外のメールは中継処理しません。この旨を解答にまとめます。
IPA公式解答は、インターネットから受信した、W社のメールアドレス宛て以外のメールは中継処理しない(40字)
設問4(5)
空欄を埋める問題です。表2とあるので、表2を確認します。
表2を見ただけでは、何にもわからないので、本文中の説明を探します。
本文から読み取れる内容をまとめます。
- 攻撃者に踏み台にされる可能性があるため、外部DNSサーバの構成を変更する
- 対策として、外部DNSサーバをコンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)に分離する
- その際に、FWのポリシー設定である表1中の項番6を変更する必要があり、その変更内容を問われている
- コンテンツサーバ(DNS1)のIPアドレスがα.β.γ.1
- フルリゾルバサーバ(DNS2)のIPアドレスがα.β.γ.6
- コンテンツサーバ(DNS1)は、インターネット上の不特定のホストからの名前解決要求に応答する
- フルリゾルバサーバ(DNS2)は、FPサーバとメール中継サーバからのインターネット上の名前解決を行う
変更前の表1の項番6は、外部DNSサーバからインターネットへのアクセスを許可するFWのポリシーです。その外部DNSサーバを前述の通り、コンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)にわけます。
DMZからインターネットに出ていく必要があるのは、フルリゾルバサーバ(DNS2)です。FPサーバとメール中継サーバからのインターネット上のホストの名前解決を行う必要があるためです。
コンテンツサーバ(DNS1)もゾーン転送でインターネット上のR社DNSサーバと通信をする必要があります。しかし、表1の注記2からステートフルインスペクション機能によって、一旦入ったら戻りも許可することになっているので、FWの設定としては項番2で十分であることがわかります。
よって、空欄オはフルリゾルバサーバ(DNS2)が送信元のIPアドレスになるので、α.β.γ.6です。空欄カはフルリゾルバサーバ(DNS2)がインターネット上のホストの名前解決を行うので、anyです。
空欄オの答えはα.β.γ.6、空欄カの答えはany
設問5(1)
空欄キ
空欄穴埋め問題です。空欄キを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。そのため、送信元IPアドレスはコンテンツサーバのIPアドレスになります。
よって、答えはコンテンツサーバのIPアドレス
空欄ク
空欄クを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。そのため、宛先IPアドレスはフルリゾルバサーバのIPアドレスになります。
よって、答えはフルリゾルバサーバのIPアドレス
空欄ケ
空欄ケを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
フルリゾルバからコンテンツサーバへの問い合わせパケットとして、53の宛先ポート番号に送られたことになるので、その応答パケットとして送信元のポート番号も53になります。
よって、答えは53
空欄コ
空欄コを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
問い合わせパケットの送信元ポート番号は注釈1からn(特定の範囲の値)が利用されているので、その応答パケットとしては宛先ポート番号をn(特定の範囲の値)になります。
DNSキャッシュポイズニング対策として、ソースポートランダマイゼーション(ソースポートランダム化)を利用し、送信元ポート番号のランダム化を設定しています。固定のポートではなく、複数の送信元ポート番号をランダムに使うことにより、攻撃者が偽の応答を注入しにくくなります。
よって、答えはn
空欄サ
空欄サを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
問い合わせパケットの識別子は注釈2からm(任意の値)が利用されているので、その応答パケットとしては識別子はm(任意の値)になります。
よって、答えはm
設問5(2)
引き続いて、表3に関する問題です。下線⑥で「攻撃者がコンテンツサーバからの正当なパケットが返ってくる前に、偽の応答パケットをフルリゾルバサーバ宛てに送信する」とあり、DNSキャッシュポイズニングの攻撃手順の説明がなされています。
本文の内容をまとめると以下のとおりです。
- フルリゾルバサーバからコンテンツサーバへの問い合わせパケットの送信元ポート番号には特定の範囲の値が使用されやすく、攻撃者によるなりすましが容易(問題点)
- 対策として、送信元ポート番号のランダム化を行う。DNSサーバの送信元ポート番号をランダム化することで、攻撃者が行うDNSサーバの宛先ポート番号の特定がしにくくなる
したがって、コンテンツサーバからフルリゾルバサーバへの応答パケットをなりすます攻撃者のパケットは宛先ポート番号がランダム化されることになるので、パケットごとに異なります。
また、表3の注釈2で識別子も任意の値が設定されるので、パケットごとに異なります。
答えは、宛先ポート番号、識別子
設問5(3)
下線部⑦で外部DNSサーバの構成変更によって、サーバ2へのキャッシュポイズニング攻撃を防げると判断した理由を具体的に答える問題です。
前述の通り、外部DNSサーバをコンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)に分離しています。
下線⑦を具体的にすると、「外部DNSサーバをコンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)に分離することによって、インターネットからのフルリゾルバサーバ(DNS2)へのキャッシュポイズニング攻撃は防げると判断した。」と読み替えれます。
外部DNSサーバを分離する時に変更している設定内容はFWのみでした。外部DNSサーバの構成変更後のFWのポリシーを確認します。
外部DNSサーバの構成変更後には、インターネットからフルリゾルバサーバ宛への通信を許可するポリシーをFWで許可していないため、インターネットからフルリゾルバサーバ宛の全てのパケットは破棄されます。
構成変更をすることによって、FWでポリシーが適用され、インターネットからフルリゾルバサーバへのパケットは破棄されることがキャッシュポイズニング攻撃を防ぐことができる理由になります。
IPA公式解答は、攻撃者が送信する、キャッシュポイズニングのための名前解決要求パケットは、FWで廃棄されるから(46字)
設問6(1)
図4中の、fast-flux.example.comの名前解決要求とその応答の通信順番を答える問題です。
図4より、fast-flux.example.comを管理するのはexample.comドメインコンテンツサーバであることが読み取れます。
また、内部LANのNPCからインターネット上のWebサイトへのアクセスはFPサーバ経由で行われるとの記載から、FPサーバが名前解決要求を行うとわかります。
図1からDMZからインターネットへの通信は中継サーバとフルリゾルバサーバを除くとFPサーバしかないことも確認できます。
よって、名前解決要求とその応答の通信は以下のような順番になります。以下の順番を該当する記号で答えます。
- 社内NPCからのインターネット上の通信はFPサーバが担う。
- そのため、FPサーバからフルリゾルバサーバに名前解決要求を問い合わせる
- フルリゾルバサーバがexample.comドメインコンテンツサーバに名前解決を行い、その応答をもらう
- フルリゾルバサーバがexample.comドメインコンテンツサーバにもらった応答をFPサーバに返答する
答えはe、g、h、f
設問6(2)
問題文のDNSサーバ2はフルリゾルバサーバを指します。フルリゾルバサーバがexample.comドメインコンテンツサーバからの応答をキャッシュする時間を答える問題です。
digコマンドでns.example.comに問い合わせた時に応答される情報(赤線部分)を確認します。example.comドメインコンテンツサーバからの応答である、ANSWER SECTION部分に180秒の記載があります。180秒を分に換算すると、3分です。
答えは3
設問6(3)
まず本文から読み取れるマルウェアのC&Cサーバに関する挙動をまとめます。
- NPCに侵入したマルウェアは攻撃者が管理するC&Cサーバと通信をする
- C&Cサーバからマルウェアに感染したNPCに命令が行われ、マルウェアの拡散やC&Cサーバへ秘密情報を盗む
- 攻撃者は、C&CサーバのIPアドレスを隠蔽するためにFast Flux、C&Cサーバのドメイン名を隠蔽するためにDomain Fluxという手法を用いる
図5は「Fast FluxとDomain Fluxを組み合わせたときのns.example.comに設定されるゾーンレコードの例」とあります。
図4はFast Fluxのみが使われた場合でしたが、図5はFast Fluxに加えて、Domain Fluxを組み合わせたと読み取ることができます。そのため、Domain Fluxの特徴を答えることが得点に結びつきます。
Domain Fluxによって、ドメインにはワイルドカードが使用され、あらゆるホスト名に対して、同一のIPアドレスを応答できます。そのため、アクセス先のIPアドレスを短い時間で変更するFast Fluxに加えて、ドメインワイルドカードでアクセス先のドメイン名も特定しにくいようにしています。
アクセス先のIPアドレスのみならず、アクセス先のホスト名も変更する旨を解答にまとめます。
IPA公式解答は、アクセス先のホスト名をランダムに変更する。(21字)
設問6(4)
Fast FluxとDomain Fluxを組み合わせた攻撃(C&CサーバのIPアドレスとドメイン名の隠蔽)の対策として行う、運用上の対策が下線⑨の「FPサーバとFWのログを定期的に検査すること」になります。
対策方法をまとめると以下のとおりです。
- FPサーバでHTTPS通信の復号化とプロキシ認証を行う
- 社内NPCのブラウザでIDやパスワードのキャッシュを残さないようにする
- FPサーバとFWのログを定期的に確認することで異常な通信を迅速に発見する
マルウェアに感染したNPCがインターネット上の攻撃者の管理サーバであるC&Cサーバにアクセスする際には、FPサーバを介します。その際、FPサーバでプロキシ認証を行いますが、攻撃者は乗っ取ったNPCのIPやパスワードを知らないので、プロキシ認証で短い時間の間に失敗するログがFPサーバに出力されます。
プロキシで認証が失敗し、FPサーバのログでたびたび検出されることを解答にまとめます。
IPA公式解答は、FPサーバでの認証エラーが短時間に繰り返されている。(26字)
設問6(5)
マルウェア感染したNPCが、FPサーバを経由せずに、C&CサーバのFQDN宛にアクセスを試みた場合に通信が失敗する理由を答える問題です。
FPサーバを経由する通信(NPCからインターネットへの通信)をまとめると以下のとおりです。
- NPCがインターネットへのアクセスを試み、FPサーバを経由
- FPサーバでプロキシ認証を行う
- FPサーバでURLフィルタリングを行う
- FPサーバがFQDNの名前解決要求をフルリゾルバサーバ(DNS2)に行う
- フルリゾルバサーバ(DNS2)がexample.comドメインコンテンツサーバからFQDNに対するIPアドレスをFPサーバに応答する
- FPサーバが知り得たFQDNに対するIPアドレスにアクセスを試みる
- FWのポリシーで許可されて、目的のIPアドレスにアクセスできる
一方で、FPサーバを経由しない通信(NPCからC&Cサーバへの通信)をまとめると以下のとおりです。
- マルウェアに感染したNPCが内部DNSサーバに名前解決要求を行う
- 内部DNSサーバはC&CサーバのFQDNを自身のゾーンで確認し、ないので外部DNSサーバ(コンテンツサーバ、DNS1)に転送する
- 外部DNSサーバ(コンテンツサーバ、DNS1)でも当然、C&CサーバのFQDNはゾーン情報として登録していないので、NPCはC&CサーバのFQDNの名前解決ができない
したがって、FPサーバを経由しない場合、NPCはC&CサーバのFQDNを名前解決できない旨を解答にまとめます。
IPA公式解答は、C&CサーバのIPアドレスが取得できないので、宛先が設定できないから(34字)
ネスペ要点まとめ(復習用)
本ページで解説した、ネスペ令和元年午後2 問2の過去問も含めて、別記事でネスペ午後過去問の要点をまとめていますので、復習用にぜひ活用ください。