攻撃者回避テクニック

情報を収集する場合でも、攻撃を開始する場合でも、攻撃者は一般的に検出を回避することが期待されます。一部のIPアドレスとポートのスキャンは露骨で簡単に検出できますが、より巧妙な攻撃者はさまざまな手段を使用してアクティビティを隠します。SYNスキャンの代わりにFINスキャンを使用するなどの手法(攻撃者は、ほとんどのファイアウォールと侵入検知プログラムが検出することを知っている)は、検出を回避してタスクを正常に達成するための偵察およびエクスプロイト技術の進化を示しています。

FIN スキャンは、応答を発生させるために FIN フラグが設定された TCP セグメント (RST フラグが設定された TCP セグメント) を送信し、それによってホスト上のアクティブ・ホストまたはアクティブ・ポートを検出しようとします。攻撃者は、多くのファイアウォールが通常、後者の 2 つのアプローチに対して防御するが、必ずしも FIN セグメントに対しては保護しないため、ICMP エコー要求でアドレス スイープを実行したり、SYN セグメントでアドレス スキャンを実行したりするのではなく、このアプローチを使用する可能性があります。FINフラグが設定されたTCPセグメントを使用すると、検出を回避できるため、攻撃者の偵察作業の成功に役立つ可能性があります。

デフォルトでは、Junos OSはセッションの最初のパケットでSYNフラグを確認し、非SYNフラグを持つTCPセグメントがセッションを開始しようとする場合は拒否します。このパケットフローをそのままにしておくか、セッションを作成する前にJunos OSがSYNフラグチェックを強制しないように変更することができます。 図 1 は、SYN フラグ チェックを有効にした場合と無効にした場合のパケット フロー シーケンスを示しています。

図1:SYNフラグチェック

SYNフラグチェックが有効になっているJunos OSは、既存のセッションに属していない非SYN TCPセグメントを受信すると、パケットをドロップします。デフォルトでは、Junos OSは、非SYNセグメントを受信しても、送信元ホストにTCP RSTを送信しません。コマンドを使用することで set security zones security-zone trust tcp-rst 、TCP RSTを送信元ホストに送信するようにデバイスを設定できます。最初の非SYN TCPパケットのコードビットがRSTの場合、デバイスはTCP-RSTを送信しません。

最初のパケットでSYNフラグをチェックしないことには、次の利点があります。

• 非対称ルーティングを使用する NSRP—動的ルーティング環境のアクティブ/アクティブ NSRP 構成では、ホストは SYN フラグが設定された最初の TCP セグメントを一方のデバイス(デバイス A)に送信しますが、SYN/ACK はクラスタ内のもう一方のデバイス(デバイス B)にルーティングされる場合があります。この非対称ルーティングが、デバイス A がデバイス B とセッションを同期した後に発生した場合、すべては順調です。一方、デバイス A がセッションを同期し、SYN チェックが有効になる前に、SYN/ACK 応答がデバイス B に到達した場合、デバイス B は SYN/ACK を拒否し、セッションを確立できません。SYNチェックを無効にすると、デバイスBは、属する既存のセッションがなくてもSYN/ACK応答を受け入れ、新しいセッションテーブルエントリを作成します。

• 中断のないセッション:デバイスをリセットしたり、ポリシーのコアセクションのコンポーネントを変更したりして、SYNチェックが有効になっている場合、既存のすべてのセッションまたはポリシー変更が適用されるセッションが中断され、再起動する必要があります。SYNチェックを無効にすると、ネットワークトラフィックフローのこのような中断を回避できます。

  メモ：

  このシナリオの解決策は、最初にSYNチェックを無効にしてデバイスをインストールすることです。次に、数時間後(確立されたセッションがデバイスを介して実行されているとき)、SYNチェックを有効にします。ポリシーのコアセクションには、送信元ゾーンと宛先ゾーン、送信元と宛先のアドレス、1 つ以上のサービス、およびアクションの主要コンポーネントが含まれています。

ただし、前述の利点により、次のセキュリティが犠牲になります。

• 偵察ホール:ACK、URG、RST、FIN などの非 SYN フラグを持つ最初の TCP セグメントが閉じたポートに到着すると、多くのオペレーティング システム(Windows など)は RST フラグが設定された TCP セグメントで応答します。ポートが開いている場合、受信者は応答を生成しません。

  これらの対応または応答の欠如を分析することで、情報収集者は保護されたネットワークとJunos OSポリシーセットで偵察を行うことができます。TCP セグメントが非 SYN フラグを設定して送信され、ポリシーで許可されている場合、そのようなセグメントを受信する宛先ホストはそれをドロップし、RST フラグが設定された TCP セグメントで応答する可能性があります。このような応答は、特定のアドレスにアクティブなホストが存在すること、およびターゲットポート番号が閉じられていることを加害者に通知します。インテリジェンス収集者は、ファイアウォールポリシーがそのホスト上のそのポート番号へのアクセスを許可していることも学習します。

  SYNフラグチェックを有効にすると、Junos OSは、既存のセッションに属していない場合、SYNフラグのないTCPセグメントをドロップします。TCP RST セグメントは返されません。その結果、スキャナーは、ポリシー・セットに関係なく、またはターゲット・ホストでポートが開いているか閉じているかに関係なく、応答を受け取りません。

• セッションテーブルのフラッド—SYNチェックが無効になっている場合、攻撃者は、非SYNフラグが設定されたTCPセグメントの集中砲火で保護されたネットワークをフラッディングすることで、Junos OSのSYNフラッド防御機能をバイパスできます。ターゲットとなるホストはパケットを破棄し、場合によってはTCP RSTセグメントを応答として送信しますが、このようなフラッディングによってジュニパーネットワークスのデバイスのセッションテーブルがいっぱいになる可能性があります。セッション テーブルがいっぱいになると、デバイスは正当なトラフィックの新しいセッションを処理できません。

  SYNチェックとSYNフラッド保護を有効にすることで、この種の攻撃を阻止できます。セッションの最初のパケットに SYN フラグが設定されていることをチェックすると、すべての新しいセッションが、SYN フラグが設定された TCP セグメントで強制的に開始されます。SYNフラッド保護は、セッションテーブルが過負荷にならないように、1秒あたりのTCP SYNセグメントの数を制限します。

SYNチェックを無効にする必要がない場合は、有効にすることを強くお勧めします(Junos OSの初期インストールのデフォルト状態)。コマンドで set flow tcp-syn-check 有効にできます。SYNチェックを有効にすると、デバイスは、確立されたセッションに属していない限り、非SYNフラグが設定されたTCPセグメントを拒否します。

ネットワークの制限されたエリアへのアクセスを試みる 1 つの方法は、パケット ヘッダーに偽の送信元アドレスを挿入して、パケットが信頼できる送信元から送信されたように見せることです。この手法は、IP スプーフィングと呼ばれます。IP スプーフィングを検出するメカニズムは、ルート テーブルのエントリに依存します。例えば、送信元IPアドレス10.1.1.6のパケットがge-0/0/1に到着しても、Junos OSがge-0/0/0を経由する10.1.1.0/24へのルートを持っている場合、IPスプーフィングチェックにより、このアドレスがルートテーブルで定義されている無効なインターフェイスに到着したことが検出されます。10.1.1.6 からの有効なパケットは、ge-0/0/1 ではなく、ge-0/0/0 経由でのみ到着できます。そのため、Junos OSは、パケットに偽装された送信元IPアドレスがあると判断し、破棄します。Junos OSは、IPv4とIPv6の両方のなりすましパケットを検知してドロップします。

この例では、IP スプーフィング攻撃をブロックする画面を構成する方法を示します。

IPスプーフィング攻撃では、攻撃者はネットワークの制限された領域にアクセスし、パケットヘッダーに偽の送信元アドレスを挿入して、パケットが信頼できる送信元から送信されたように見せかけます。IPスプーフィングは、サービス拒否(DoS)攻撃で最も頻繁に使用されます。SRXシリーズファイアウォールが透過モードで動作している場合、IPスプーフィングチェックメカニズムはアドレス帳エントリーを利用します。アドレス帳はルーティングエンジンにのみ存在します。レイヤー2透過モードでのIPスプーフィングは、パケット転送エンジンで実行されます。パケット転送エンジンがパケットを受信するたびに、ルーティングエンジンからアドレス帳情報を取得することはできません。そのため、レイヤー2ゾーンに接続されたアドレス帳は、パケット転送エンジンにプッシュする必要があります。

パケット転送エンジンがパケットを受信すると、パケットの送信元IPアドレスがチェックされ、着信ゾーンのアドレス帳にあるかどうかが確認されます。パケットの送信元 IP アドレスが着信ゾーンのアドレス帳にある場合、この IP アドレスはインターフェイスで許可され、トラフィックが渡されます。

送信元 IP アドレスが受信ゾーンのアドレス帳には存在せず、他のゾーンには存在する場合、その IP アドレスはスプーフィングされた IP と見なされます。したがって、画面構成に応じて、ドロップやロギングなどのアクションを実行できます(ドロップなしのアラーム)。

パケットの送信元IPアドレスが着信ゾーンのアドレス帳または他のゾーンに存在しない場合、IPがスプーフィングされているかどうかを判断できません。このような場合、パケットは渡されます。

Junos OSは、アドレス帳で送信元IPアドレスを検索する際に、以下の一致条件を考慮します。

• Host-match- アドレス帳で見つかった IP アドレスの一致は、プレフィックスのないアドレスです。

• Prefix-match- アドレス帳で見つかった IP アドレスの一致は、プレフィックスが付いたアドレスです。

• Any-match- アドレス帳で見つかった IP アドレスの一致は、「any」、「any-IPv4」、または「any-IPv6」です。

• No-match- 一致する IP アドレスが見つかりません。

ソースルーティングは、IPパケット伝送の送信元にいるユーザーが、IPパケットが宛先に向かうパスに沿って、デバイスのIPアドレス(「ホップ」とも呼ばれる)を指定できるように設計されています。IPソースルートオプションの当初の目的は、診断分析を支援するルーティング制御ツールを提供することでした。例えば、特定の宛先へのパケットの送信が不規則に成功した場合、最初にレコードルートまたはタイムスタンプIPオプションのいずれかを使用して、パケットが通るパスに沿ったデバイスのアドレスを検出することができます。その後、ルーズ ルート オプションまたはストリクト ソース ルート オプションのいずれかを使用して、レコード ルートまたはタイムスタンプ オプションが生成した結果から学習したアドレスを使用して、トラフィックを特定のパスに誘導できます。デバイスアドレスを変更してパスを変更し、異なるパスに沿って複数のパケットを送信することで、成功率を向上または低下させる変更に気づくことができます。分析と排除のプロセスを通じて、問題がどこにあるかを推測できる場合があります。 図2を参照してください。

図2: IPソースルーティング

IPソースルートオプションの使用はもともと無害でしたが、攻撃者はそれらをより不正な用途に使うことを学びました。また、IPソースルートオプションを使用して、別のパスを指定することで、実際のアドレスを非表示にして、ネットワークの制限されたエリアにアクセスすることができます。攻撃者が両方の欺瞞を利用する方法を示す例として、 図 3 に示すような次のシナリオを考えてみます。

図3:欺瞞 のための緩いIPソースルートオプション

Junos OS は、トラフィック 2.2.2.0/24 が ethernet1(zone_external にバインドされたインターフェイス)を経由する場合のみ許可します。デバイス 3 および 4 はアクセス制御を適用しますが、デバイス 1 および 2 は適用しません。さらに、デバイス 2 は IP スプーフィングをチェックしません。攻撃者は送信元アドレスをスプーフィングし、ルーズ ソース ルート オプションを使用して、パケットをデバイス 2 を経由して 2.2.2.0/24 ネットワークに誘導し、そこからデバイス 1 に送信します。デバイス1からデバイス3に転送され、デバイス3からジュニパーネットワークスデバイスに転送されます。パケットは 2.2.2.0/24 サブネットから送信され、そのサブネットからの送信元アドレスを持っているため、有効であるように見えます。ただし、以前のチカニーの残骸の1つが残っています:緩いソースルートオプション。この例では、zone_externalの拒否IPソースルート画面オプションを有効にしました。パケットが ethernet3 に到着すると、デバイスはそれを拒否します。

ルーズ ルート オプションまたはストリクト ソース ルート オプションが設定されているパケットをデバイスでブロックするか、そのようなパケットを検出して、イングレス インターフェイスのカウンター リストにイベントを記録することができます。画面オプションは次のとおりです。

• [拒否 IP ソース ルート オプション(Deny IP Source Route Option)]:ルーズ またはストリクト ソース ルート オプションを採用するすべての IP トラフィックをブロックするには、このオプションを有効にします。送信元ルートオプションにより、攻撃者が偽のIPアドレスでネットワークに侵入する可能性があります。

• IP ルーズ ソース ルート オプションの検出—デバイスは、IP オプションが 3(ルーズ ソース ルーティング)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、パケットが送信元から送信先に移動するための部分的なルート リストを指定します。パケットは指定されたアドレスの順序で進む必要がありますが、指定されたアドレスの間にある他のデバイスを通過することは許可されています。

• IP Strict Source Route Option—デバイスは、IPオプションが9(Strict Source Routing)のパケットを検出し、イングレスインターフェイスのスクリーンカウンターリストにイベントを記録します。このオプションは、パケットが送信元から宛先に移動するための完全なルート リストを指定します。リストの最後のアドレスが、宛先フィールドのアドレスを置き換えます。現在、この画面オプションは IPv4 にのみ適用されます。

この例では、ルーズ ルート オプション セットまたはストリクト ソース ルート オプション セットでパケットをブロックする方法を示しています。

この例では、ルーズ ルート オプションまたはストリクト ソース ルート オプション セットを使用してパケットを検出する方法を示します。