[問題文・解答]
平成27年度10月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27秋 午後1 問題文] [H27秋 午後1 解答]
[問題概要]
題材は、Webサイトにおけるインシデント対応についてです。WebサイトにおいてDMZのサーバに不正侵入され、内部情報を取得しようとする攻撃を受けます。各種ログから侵入経路・原因を調査し、対策を講じるという内容です。
深い知識は不要ですが、FWフィルタリングやHTTPなど広く浅い知識があると解きやすい問題です。知識が無くても、問題文を読んでしっかり理解すれば解ける設問が多く、難易度は普通〜やや高めです。
[設問1]
P.16下段で「運用では"unyo"を使用しており、"administratorは使用していない→"administrator"の利用者IDでサーバにログインした者が攻撃者と推測出来る」という会話があります。従って、利用者IDが"administrator"であるログに着目して、表2、3、4の各サーバのログイン履歴を見れば良いです。
また、各サーバのIPアドレスは、図1より以下の通りです。
Webサーバ:192.168.0.10
WebAPサーバ1:192.168.0.20
WebAPサーバ2:192.168.0.30
表2を見ると、5行目で192.168.0.20から"administrator"でログインされています。更に表3を見ると、3行目で192.168..0.30から"administrator"でログインされています。
以上より、WebAPサーバ2 → WebAPサーバ1→Webサーバの順で侵入されたことが分かります。
[答] a) WebAPサーバ2 b) WebAPサーバ1 c) Webサーバ
また、各サーバのIPアドレスは、図1より以下の通りです。
Webサーバ:192.168.0.10
WebAPサーバ1:192.168.0.20
WebAPサーバ2:192.168.0.30
表2を見ると、5行目で192.168.0.20から"administrator"でログインされています。更に表3を見ると、3行目で192.168..0.30から"administrator"でログインされています。
以上より、WebAPサーバ2 → WebAPサーバ1→Webサーバの順で侵入されたことが分かります。
[答] a) WebAPサーバ2 b) WebAPサーバ1 c) Webサーバ
[設問2]
(1)
表5のアクセスログのリクエスト欄において、demoディレクトリが出てくるのはNo.2とNo.14〜23となります。各リクエストに対するステータスコードは、No.2のみ"404"であり、他は"200"となっています。
HTTPで"404"は「File not found」、"200"は「OK」を意味することからNo.2の段階ではdemoディレクトリは無かったが、No.14の時点では作成されていたことが分かります。
HTTPで"404"は「File not found」、"200"は「OK」を意味することからNo.2の段階ではdemoディレクトリは無かったが、No.14の時点では作成されていたことが分かります。
[答] d) 2 e) 404 f) 14 g) 200
(2)
図2中で「管理画面へのログインは、ベーシック認証で行われる。成功時は200、失敗時は401のステータスコードを返す。」とあります。表5を見ると、No.3〜10では、「GET/manager/html HTTP/1.1」のリクエストに対してステータスコード"401"が返されており、認証失敗を繰り返していることが分かります。
そして、No.11で初めてステータスコード"200"が返され、認証成功しています。
このことから、A氏は下線部①にあるようによく使われるID・パスワードでログイン試行され、成功したものと推測していると考えられます。
[答] No.3から10までのステータスコードが401で失敗を繰り返しており、No.11は200でログインに成功しているから
[設問3]
(1)
今回の侵入では、インターネットからDMZの各サーバに侵入されています。表6のフィルタリングルールでもインターネットからのアクセスを許可しているのは、DMZのサーバのみであり、インターネットから直接内部LANへの侵入は不可能です。
従って、DMZのサーバを経由しての内部LANへの侵入の有無を確認すればよいため、表6で送信元がDMZのサーバのIPアドレス、宛先が内部LANのIPアドレスとなっている項番3、4が該当します。
[答] 3、4
従って、DMZのサーバを経由しての内部LANへの侵入の有無を確認すればよいため、表6で送信元がDMZのサーバのIPアドレス、宛先が内部LANのIPアドレスとなっている項番3、4が該当します。
[答] 3、4
(2)
W社のポリシは、P.19中段にあるように「業務上必要なサービスだけをFWで許可する」です。
従って、表6の項番5が許可サービスが「全て」となっており、不要なサービスまで許可してしまっている可能性が高そうです。項番5の送信元は192.168.90.20で図1より運用端末です。また、宛先は192.168.0.0/24及び192.168.50.0/24なのでDMZ及び内部LANの全ての機器となります。つまり、運用端末は全ての機器に対して何でもやりたい放題の状態です。
図2の説明を見ると、「運用端末では、ファイル共有とリモートデスクトップのサービスを使用して各サーバを操作できる」とあることから本来許可すべきサービスはファイル共有とリモートデスクトップのみです。
[答] 項番:5
サービス:①ファイル共有 ②リモートデスクトップ
従って、表6の項番5が許可サービスが「全て」となっており、不要なサービスまで許可してしまっている可能性が高そうです。項番5の送信元は192.168.90.20で図1より運用端末です。また、宛先は192.168.0.0/24及び192.168.50.0/24なのでDMZ及び内部LANの全ての機器となります。つまり、運用端末は全ての機器に対して何でもやりたい放題の状態です。
図2の説明を見ると、「運用端末では、ファイル共有とリモートデスクトップのサービスを使用して各サーバを操作できる」とあることから本来許可すべきサービスはファイル共有とリモートデスクトップのみです。
[答] 項番:5
サービス:①ファイル共有 ②リモートデスクトップ
[設問4]
(a) P.19下段「送信元のIPアドレスが127.0.0.1である場合だけ、サーブレットコンテナの管理画面へのアクセスを許可する」とあります。127.0.0.1はループバックアドレスなので管理画面へは自分自身(WebAPサーバ)からのアクセスのみ許可するという設定です。
P.17中段にあるように今回のインシデントでは「設定に誤りがあり、インターネットから管理画面にアクセスできるようになっていた」ことが原因であったため、この不備をついた不正アクセス攻撃を防ぐのが目的です。
(b) P.17上段にあるように今回WebAPサーバ2に侵入された後、簡単にWebAPサーバ1及びWebサーバにログインできたのは、「DMZの各サーバに同じ利用者ID・パスワードが設定されており、そうした設定ではOSの仕様としてあるサーバから他のサーバにアクセスする際、自動的にログインが行われる」ことが原因です。
P.17中段にあるように今回のインシデントでは「設定に誤りがあり、インターネットから管理画面にアクセスできるようになっていた」ことが原因であったため、この不備をついた不正アクセス攻撃を防ぐのが目的です。
(b) P.17上段にあるように今回WebAPサーバ2に侵入された後、簡単にWebAPサーバ1及びWebサーバにログインできたのは、「DMZの各サーバに同じ利用者ID・パスワードが設定されており、そうした設定ではOSの仕様としてあるサーバから他のサーバにアクセスする際、自動的にログインが行われる」ことが原因です。
従って、そのようなOSの仕様を利用して他のサーバへ侵入されるのを防ぐのが目的です。
[答] (a) サーブレットコンテナの管理画面に対するインターネットからの不正アクセス
[答] (a) サーブレットコンテナの管理画面に対するインターネットからの不正アクセス
(b) 自動的にログインを行うOSの仕様を利用した、他のサーバへの侵入
平成27年度秋のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿