Monday, March 28, 2005

アイランドホッピング

特別講座<踏み台確保編>

■アイランド・ホッピング

 アイランド・ホッピングとは、ネットワーク上の境界にあるホストに進入し、そこからさらに内部ネットワークへとジャンプしていくようなイメージで侵入することです。

 このように境界にあるホスト(境界ホスト)は、2枚以上のNICが刺さっているはずです。境界ホストはルーター、ファイアウォールなどとして利用されがちで、さらにDMZや内部ネットワークといった別のネットワークに接続しているかもしれません。よって、境界ホストに侵入できた場合、コンフィギュレーションの不正な変更やSnifferの設置などが有効だ。

 また、アイランド・ホッピングすることで、最終的なターゲットホストに残るログは踏み台にした境界ホストなどになるので、ターゲットホストにうまく侵入できない場合でも、境界ホストのログを消せば、少なくともアタッカーまで追跡されることは無いだろう。

 

●ワームとアイランド・ホッピング

 BlasterやNimdaといったワームは様々なアタックの複合型なので、ネットワーク環境によっては隙を突かれてしまう可能性があります。

 DMZネットワーク内のサーバーより内部ネットワーク内のサーバーの方が一般的に重要だが、DMZネットワークから内部ネットワークへのファイアウォールが堅牢だと、内部ネットワーク内のサーバーにアクセスする手段がないだろうということで、パッチ当てなどを怠る管理者が存在します。気持ちはわかりますが、このままだとワームの餌食になる可能性があります。

 例えば、内部ネットワーク内のクライアントマシンがネット巡回の際にブラウザを通じてNimdaに感染してしまったとします。すると、Nimdaは自分の存在するネットワーク帯域をスキャンします。スキャン結果、内部ネットワーク内に存在するクライアントマシン、そしてサーバーマシンに感染していきます。次に、内部ネットワークからDMZネットワークへスキャン、アタックが開始されます。通常、DMZネットワークと内部ネットワークの間にある内部ルーター(FW)は内側から外側へのアクセスは制限が弱くなっているはずです。よって、DMZネットワークにもNimdaのアタックが届いてしまいます。最終的に、ネットワーク全体がNimdaの餌食になってしまうことになります。

 

 このようなトラブルを避けるためには、内部ネットワークのサーバーのセキュリティ対策、さらにクライアントマシンのセキュリティ対策が重要となります。つまり、広範囲の対策が必要となるわけです。

 当然のようなことに思いますが、自宅内ならまだしも、中規模・大規模なLAN環境だとクライアントマシンのパッチ当てすら困難です。クライアントマシンを使っている社員に呼びかけたとしても全員がそれを実行するとは限らないからです。他に社員の持ち込んだノートPCにワームが感染していたとし、そして内部ネットワークに勝手に所属させられてしまうことも原因になるでしょう。

 いちいち一台ずつパッチを当てるのは大変なので、複数のマシンに効率よくパッチを適用することができるツールのSUS(Software Update Services)を導入するとよいかもしれません。これを使うと、社内にWindows Updateサイトが構築でき、Windows2000/XPマシンに対して自動的にセキュリティパッチを当てることができます。ただし、このツールはWindows9x/Meマシンにはセキュリティパッチを適用できないので注意してください。もし、社内にWindows9x/Meマシンが存在し、それらにも自動的にパッチを適用したいならば、対応したサード・パーティの製品を探す必要があります。

No comments: