[問題文・解答]
平成28年度4月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H28春 午後1 問題文] [H28春 午後1 解答]
[問題概要]
題材はDMZ上の機器のセキュリティです。情報セキュリティ強化のため、DMZに設置しているプロキシサーバや外部メールサーバの設定を確認したところ、DNSキャッシュポイズニング攻撃やマルウェア感染の脅威に対する脆弱性が見つかり、対策を実施するという内容です。
単語を知らないと答えられない問題が多く、難易度はやや高めです。
[設問1]
オープンリレー
メールサーバが外部NWからの送信依頼を受付ける設定になっているもの。この設定をすると大量の迷惑メールを送信する際の踏み台としてメールサーバが利用されてしまいます。
送信ドメイン認証技術
迷惑メールはほとんどが送信元を偽装して送信されます。そのような迷惑メールを防止するための技術が送信ドメイン認証技術です。送信ドメイン認証には、送信元IPアドレスを元に検証するSPF(Sender Policy Framework)やSender IDと送信メールのヘッダに付与された電子署名を元に検証するDKIMやDomainKeysがあります。
この問題は、知らないと答えるのは難しい問題です。
表2の外部メールサーバの(1)において「迷惑メールの送信に悪用されるaを防止するため」とあるため、aはオープンリレーが当てはまります。
また、SPF(Sender Policy Framework)は送信ドメイン認証技術の1つです。
[答] a) オープンリレー b) 送信ドメイン(認証技術)
[設問2]
オープンリゾルバ
DNSサーバで所属NW以外のNWからの問合せにも応答する設定となっているもの
DNSリフレクション攻撃
オープンリゾルバが有効になっているDNSサーバに攻撃対象のIPアドレスを送信元として偽装したDNSリクエストを大量に送り、DNSサーバが踏み台となって攻撃対象にDNSパケットを送信させられる攻撃。DoSやDDoS攻撃で利用されやすい。
これも単語を知らないと厳しいですね。
[答] (DNS)リフレクション(攻撃)
[設問3]
(1)
DNSキャッシュポインズニング攻撃
キャッシュDNSサーバに偽の応答を保存させることで、DNSサーバの利用者を偽サイトに誘導し、フィッシングなどを行う攻撃。
DNSキャッシュポインズニングの第一段階である偽の応答が本来の応答(権威サーバからの応答)と混同されてしまう可能性を下げる為にDNS問合せ時の送信元ポート番号をランダム化する方法があります。ポート番号が異なれば混同することはありません。ただし、ポート番号総当たりで偽の応答を送られると、一致する場合があるため完璧な対策とは言えません。
[答] 送信元ポート番号
(2)
図4のDNSキャッシュポインズニング攻撃によりDNSサーバに取引先ドメインを偽装して攻撃者のサーバが登録されます。その結果、取引先へメールを送信する際に外部メールサーバはDNSサーバに取引先ドメインについて問合せを行い、偽装された宛先(攻撃者のサーバ)にメールを送信してしまいます。従って、eに入るのは外部メールサーバです。
[答] e) 外部メールサーバ
影響) 取引先宛のメールを、攻撃者が用意したメールサーバに転送してしまう。
(3)
これも知らないと答えづらい問題です。
CONNECTメソッドの仕様としてパス名は省略しないといけないそうです。
パス名を使えないため、URLフィルタリングでもホスト名しかチェックすることが出来ません。
[答] パス名を送信しないという仕様
[設問4]
P.13上部で、「複合機用メールアドレスを詐称したメールがインターネットから送信されて」とあるため、外部NWから送信元:複合機用メールアドレスのメールが届いた場合は、拒否する設定を外部メールサーバに入れればよいと分かります。本来、複合機用メールアドレスは社内使用が目的なので、外部メールサーバで拒否されても使用上は問題ありません。
表2の外部メールサーバの説明よりSPFによる判定→ブラックリスト1〜4による判定の順でメールの転送可否が判定されます。SPFではエンベロープの送信元アドレスを認証するため、エンベロープ内で複合機用メールアドレスが詐称されていればここで拒否されます。
しかし、メールヘッダでのみ詐称されている場合は通過してしまうため、メールヘッダの送信元アドレスが複合機用メールアドレスになっている場合に拒否出来るようにブラックリスト3に複合機用メールアドレスを登録する必要があります。
[答] 変更箇所) ブラックリスト3
変更内容) scanner@u-sha.co.jpを登録する。
平成28年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
変更内容) scanner@u-sha.co.jpを登録する。
平成28年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿