IPsec とグループ ポリシーを使用したサーバーおよびドメインの分離
付録 D: IT の脅威の分類
最終更新日: 2005年5月30日
この章では、組織に影響を与える可能性のある脅威および攻撃を挙げ、サーバー/ドメイン分離ソリューションでそれらを軽減する方法について説明します。
トピック
STRIDE で特定される脅威
ここでは、STRIDE モデルで特定される多数のネットワーク セキュリティの脅威と、このソリューションの一部として実装されるセキュリティ対策を使用してそれらを軽減する方法について説明します。STRIDE とは、Spoofing (なりすまし、ID 偽装)、Tampering (改ざん)、Repudiation (否認)、Information disclosure (情報の漏えい)、Denial of service (サービス拒否)、Elevation of privilege (権限の昇格) の略語です。
なりすまし (ID 偽装) による脅威
ID 偽装による脅威には、ユーザー名またはパスワードなど、他人の認証情報を不正に入手、アクセス、および使用するために行われる一切の行為が含まれます。 この分類の脅威には、仲介者攻撃と、信頼されていないホストと通信する信頼されたホストが含まれます。
仲介者攻撃
仲介者攻撃は、ハッカーがよく使用する手法です。 これは、ネットワークに接続して通信している 2 台のコンピュータの間に 1 台のコンピュータを配置し、その仲介コンピュータを使用して元のコンピュータのいずれかまたは両方になりすます手法です。 この手法では、元の 2 台のコンピュータで現在行われている接続の "仲介者" になって、コンピュータ間で渡されるメッセージの読み取りや変更ができます。2 台のコンピュータのユーザーは元のコンピュータ以外と通信していることに気付きません。
一部のインターネット サービス プロバイダ (ISP) では、仲介者攻撃となりすまし電子メールの両方を防ぐフィルタリング方法が開発されています。 たとえば、多くの ISP では、その ISP のサーバーを経由する電子メール送信のみをユーザーに承認し、迷惑メールに対処するためにはこの制限が必要だと主張しています。 しかし、この制限により、承認されたユーザーはサード パーティ提供の正当な電子メール サービスも使用できなくなるため、多くの上級ユーザーが不便を感じています。 一部のケーブル ISP では、オーディオ/ビデオ トラフィックのブロックを試みて、ユーザーに独自の VoIP (ボイスオーバー IP) やビデオ ストリーミング サービスの使用を強制しようとしています。 その他にも、仮想プライベート ネットワーク (VPN) は高料金のビジネス サービスであるという理由で特定の種類の VPN トラフィックを禁止しようとしたり、ユーザーが自宅でサーバーを実行できないようにしたりする例があります。
一般に ISP フィルタの実装には、User Datagram Protocol (UDP) か Transmission Control Protocol (TCP) のいずれかのプロトコル、ポート番号、または TCP フラグ (接続開始パケット。データや受信確認ではない) で動作するルーターのハードウェア機能が使用されます。 IPsec を使用すると、この種のフィルタが実質的に無効になり、ISP には両極端な 2 つのオプションだけが残ります。すべての IPsec トラフィックの禁止か、特定ピアとのトラフィックの禁止です。 IPsec が広く使用されている場合は、どちらのオプションもユーザーの激しい反発を招くおそれがあります。
信頼されていないホストと通信する信頼されたホスト
この脅威は、複数の脅威で構成されており、全般的ななりすまし、転送のエンドポイント間でのデータの改変、および盗聴の問題を含みます。 しかし最大の脅威はなりすましです。なりすましの目的は、信頼されたホストどうしで通信していると思い込ませることだからです。 分離するすべてのホストが、信頼されていないホストと通信する必要があるわけではありません。 IPsec では、ポリシーベースのメカニズムを使用して、ネゴシエーションが開始されたときに 2 台のホスト間に必要なセキュリティのレベルを判断します。このため、これらの問題の多くに対処するには、セキュリティと通信のトレードオフを慎重に検討し、希望する結果を反映する IPsec ポリシーを周到に計画して実装します。 「第 5 章 : 分離グループの IPsec ポリシーを作成する」では、Woodgrove Bank のシナリオの通信要件と、通信の動作を制御する IPsec ポリシーの作成に使用された方法について説明しています。
データの改ざん
データの改ざんによる脅威には、悪意あるデータ改変が含まれます。 たとえば、Web サイトへのいたずら書きなど、普段変更されることのないデータの改変のほか、データベースに保存されている情報の改変、オープン ネットワークを介して接続された 2 台のコンピュータ間でやり取りされるデータの改変などが含まれます。 この分類で特に脅威なのは、セッション ハイジャックです。
セッション ハイジャック
適切に設計された認証メカニズムとランダムな長いパスワードがそれぞれ、ネットワーク スニッフィングと辞書攻撃を抑止します。 しかし、一般ユーザーが認証および承認された後に、攻撃者がセッション ハイジャックを使用してセッションを取得する可能性があります。 セッション ハイジャックでは、攻撃者は一般ユーザーの権限を使用して、データベースへのアクセスや変更を行うことができます。また、一般ユーザーの資格情報を入手しなくてもさらに侵入できるようにソフトウェアをインストールする場合もあります。 最も簡単なセッション ハイジャック方法は、専用のハッキング ツールを使用して、攻撃者のコンピュータを接続パスのどこかに配置してみることです。 攻撃者は、やり取りを監視し、ある時点で支配します。 攻撃者は、やり取りの中にいるので、適切な TCP/IP パラメータとシーケンス番号を使用して、TCP 接続の一方の側を終了し、他方の側を維持することができます。 IPsec を暗号化または認証に使用すると、エンドポイントをセッション ハイジャックから保護することができます。
否認
否認による脅威には、実行した操作を否定するユーザーが含まれます。操作が否定されても、他の当事者にはそうでないことを証明する手段がありません。 このような脅威の例として、禁止操作を追跡できないシステムで、禁止された操作を実行するユーザーが考えられます。 非否認とは、否認による脅威に対抗するシステム能力のことです。 たとえば、ある品物を購入するユーザーは、これを受け取る際に署名が必要な場合があります。 販売店は、ユーザーが品物を受け取った証拠として署名された受取証を使用できます。
情報の漏えい
情報の漏えいによる脅威には、アクセス権を持っていないはずの個人に情報をさらしてしまうことが含まれます。 たとえば、アクセス権を持たないユーザーによってファイルが閲覧されたり、2 台のコンピュータ間でやり取りされるデータが侵入者によって読まれてしまうことなどが考えられます。 この分類の脅威には、不正な接続とネットワーク スニッフィングが含まれます。
不正な接続
多くのネットワーク構成は、セキュリティ意識が非常に薄く、境界内のコンピュータにある大量の情報にアクセスを許可しています。 このアクセスは、明示的 (イントラネット Web サーバーの場合など) または暗黙的 (一部のアプリケーションでセキュリティ保護が不十分な場合など) に行われます。 一部のポリシーは簡単なアドレス テストに依存していますが、攻撃者はアドレスを偽装してこれらのテストをバイパスできます。
IPsec を使用すると、追加の接続確認を実装することができます。 IPsec ネゴシエーションの成功後にのみ一連のアプリケーションへのアクセスを可能にするポリシー規則を設定できます。
ネットワーク スニッフィング
攻撃者がネットワーク トラフィックを取得しようとする理由は 2 つあります。重要なファイルのコピーを転送中に入手するためと、パスワードを入手してさらに侵入するためです。 ブロードキャスト ネットワークでは、ハッカーはネットワーク スニッフィング ツールを使用して TCP 接続を記録し、やり取りされた情報のコピーを入手します。 スイッチド ネットワークでは、これらのツールはあまり機能しませんが、他の専用ツールを使用してアドレス解決プロトコル (ARP) を攻撃できます。このツールは、IP トラフィックをリダイレクトして攻撃者のコンピュータを経由させ、すべての接続を簡単に記録できるようにします。
Post Office Protocol 3 (POP3) やファイル転送プロトコル (FTP) などの一部のプロトコルでは、ネットワーク経由で未だにプレーンテキスト パスワードを送信しているので、ネットワーク スニッフィングを行っている攻撃者はこの情報を簡単に入手できます。 多くのアプリケーションでは、チャレンジ/レスポンス メカニズムを使用してプレーンテキスト パスワードの送信による問題を回避していますが、ネットワーク スニッフィングが多少困難になるだけです。 攻撃者はパスワードを直接読み取ることはできませんが、多くの場合、辞書攻撃によってチャレンジ/レスポンスのコピーからパスワードを推測できます。 IPsec を使用してこれらのやり取りを暗号化すると、ネットワーク スニッフィングを効果的に防ぐことができます。
サービス拒否
サービス拒否攻撃は、特定のホストやネットワークを標的にした攻撃です。 この攻撃では、通常、ホストやルーターの処理能力を超えるトラフィックが一定時間内に送信されます。この結果、ネットワークでトラフィックを処理できなくなり、正当なフローやトラフィックが中断されます。 サービス拒否攻撃は、多くの攻撃者に分散して、攻撃を特定の標的に集中させることができます。 標的となったコンピュータは何らかの形で危害を受け、マルウェア スクリプトまたはプログラムがインストールされます。これにより、攻撃者はそのコンピュータを使用して、組織的に大量のネットワーク トラフィックを別のコンピュータまたはコンピュータ グループに送信できます。 危害を受けたコンピュータはゾンビと呼ばれ、この攻撃は分散サービス拒否攻撃と呼ばれます。
IPsec では認証を行ってから通信を確立する必要があるので、ほとんどの分散サービス拒否攻撃を軽減できます。ただし、信頼された攻撃者のシナリオが使用される場合を除きます。 つまり、インターネットベースの分散サービス拒否攻撃は無害になりますが、組織のネットワーク内で開始されたサービス拒否攻撃は、攻撃ホストが IPsec を使用して認証され通信できる場合は成功します。
標準トラフィックと攻撃トラフィックを区別する
2003 年 1 月に Slammer ワームが発生した直後に明らかになったところによると、UDP トラフィックを使用可能帯域幅の 50% までに制限する単純な規則が適用されているネットワークでは、ワームのトラフィックが氾濫することはありません。 感染したホストでは、帯域幅の 50% が UDP トラフィックですぐにいっぱいになりますが、残りの帯域幅は運用トラフィックに使用できます。 現金自動預払機 (ATM) は稼動し続け、管理者は TCP を使用して更新プログラムを適用しポリシーを全体に適用することができます。 UDP トラフィックを制限するポリシーは非常に単純ですが、このような単純なポリシーはそのまま残すことができるので、確実な安全策になります。
IPsec を重要なトラフィックに使用することにより、管理者はやや高度な UDP ポリシーを適用できます。 通常の状況では、ネットワーク管理者はネットワーク上の混在したトラフィックを監視して、そのうちの UDP トラフィック、TCP トラフィック、インターネット制御メッセージ プロトコル (ICMP) トラフィック、およびその他の割合を確認できます。 負荷の高い状況では、WFQ (Weighted Fair Queuing : 重み付け均等化キューイング) アルゴリズムによってリソースが標準パターンに従い確実に共有されます。 実際に、ルーターに既定でこのようなポリシーをプログラムし、標準ネットワーク活動時の長期傾向と統計を収集し、収集した統計を混雑時に均等化キューイングの重みとして適用することは通常可能です。
ワームとサービス拒否攻撃
最近の事例は、過度のトラフィックを送信して特定サーバーまたはネットワークの特定部分を飽和状態にするサービス拒否攻撃に対して、ネットワークが脆弱であることを示しています。 分散型のサービス拒否攻撃では、多数のコンピュータを使用して 1 つの標的へのトラフィックを同時に攻撃します。この攻撃を防御するのは特に困難です。 CodeRed ワームは最初に多数の Web サーバーへの侵入を試みました。これらのサーバーをすべて使用して、ネットワークを麻痺させるトラフィックを whitehouse.gov (米国ワシントン DC のホワイト ハウスのドメイン) に送信する計画でした。 実際に、CodeRed ワーム、Nimda ワーム、および Slammer ワームの拡散メカニズムは、インターネットに対するサービス拒否攻撃でした。 感染した各コンピュータは無差別に感染を拡大させ、感染したトラフィックによって多くのローカル ネットワークや地域ネットワークが麻痺しました。
IPsec にはサービス拒否攻撃に対抗する方法がいくつかあり、攻撃の被害を受ける可能性のあるコンピュータを保護するレベルを追加できます。 これにより、負荷の高い計算を強制して攻撃者を減速させることができ、ネットワーク オペレータは種類の異なるトラフィックを区別することができます。
権限の昇格
この種の脅威では、権限を持たないユーザーが特権的アクセスを得た結果、システム環境全体を危険にさらしたり、場合によっては破壊することさえあります。 権限の昇格の脅威には、攻撃者がシステムの防御すべてを事実上破り、システムの弱点を悪用して損害を与えるという状況が含まれます。
その他の脅威
すべての脅威が STRIDE モデルときれいに一致するわけではありません。 ここでは、その他の脅威と、それらがサーバーおよびドメインの分離ソリューションに与える可能性のある影響について説明します。
物理的なセキュリティ
物理的なセキュリティでは、システムやリソースへの物理的なアクセスを、必要とする最小限のユーザーのみに許可します。 物理的なセキュリティは、ほとんどの IT セキュリティの脅威に対する防御の最下層です。 しかし、多くのネットワークレベルの攻撃では、物理的なセキュリティは完全にバイパスされます。 物理的なセキュリティは、多層防御アプローチの一部としてはまだ非常に価値があります。 たとえば、警備員、データ センター内のカメラ、機密性の高い場所へのアクセス制御、およびドアのキーカードまたは鍵によって物理的なセキュリティを実現し、信頼されたデバイスへの危害を防ぎます。 物理的なセキュリティに複数の方法を使用することは重要で、データ センターでのより深刻なセキュリティ違反の防止に役立ちます。
明確にする必要があるのは、物理的なセキュリティが侵害された場合は必ずすべてのセキュリティ層が侵害されているということです。 このソリューションで説明されているすべてのセキュリティは、物理的なセキュリティが整っていることを前提としています。 物理的なセキュリティが整っていない場合は、他のセキュリティ対策も有効とは言えません。
ネットワークのセキュリティ
ネットワークとは、コンピュータが相互接続されたシステムのことです。 ネットワーク用に設計されたプロトコルとサービスの大部分は、悪意のある使用の可能性を考慮して作成されていません。 高速コンピューティング、簡単なネットワーク アクセス、およびインターネットの幅広い利用が実現したことによって、悪意のあるユーザーがシステムやサービスを悪用したり中断させたりすることに力を注ぐようになりました。 ネットワークでの脅威の一部については、この付録ですでに少し説明しました。 これらのネットワーク攻撃に対抗するための IPsec による保護の詳細については、「Windows® XP Professional Resource Kit」の中にある「Chapter 19 – Configuring TCP/IP」の「IPsec」(英語) を参照してください。
アプリケーションのセキュリティ
アプリケーションを標的とした攻撃のほとんどは、アプリケーションやオペレーシング システムの脆弱性を悪用しようとします。 IPsec は OSI (Open Systems Interconnection) モデルのネットワーク層に実装されるので、パケットがアプリケーションに到達する前に、パケットを許可するか破棄するかが判断されます。 つまり、IPsec ではアプリケーションレベルでの判断はできませんが、それよりも低いレベルでアプリケーション トラフィックにセキュリティを提供することはできます。
ソーシャル エンジニアリング
ソーシャル エンジニアリングとは、人間の行動の弱点を悪用して、システムにアクセスしたり、システムの情報を得たりすることです。 たとえば、攻撃者になる人間は、標的の企業に電話をかけて、特定プロジェクトを担当する責任者の名前をたずねることができます。 このプロジェクトで企業が新製品または新サービスを開発している場合、攻撃者はさらに情報を得ようとします。 電話を受けた人間が攻撃者に責任者の名前、住所、連絡先などを教えてしまうと、攻撃者は攻撃に使用できる情報をさらに入手したことになります。
この種の攻撃ではコンピュータのユーザーを標的にするので、IPsec では防御できません。 同様に、分離されたシステムにアクセスし、そのアクセスを悪用する悪意のあるユーザー (多くの場合、信頼された攻撃者と呼ばれます) は、他のセキュリティ テクノロジを使用して防ぐ必要があります。
要約
明らかに、サーバーおよびドメインの分離を使用しても、組織が直面する脅威のすべてが解決されるわけではありません。 使用可能なオプションを完全に理解し、技術的課題に精通している場合にのみ、組織の IT 環境を適切に保護することができます。