...

Cisco Catalyst 4500 シリーズの統合セキュリティ機能

by user

on
Category: Documents
16

views

Report

Comments

Transcript

Cisco Catalyst 4500 シリーズの統合セキュリティ機能
Cisco Catalyst 4500 シ リ ーズの統合セキ ュ リ テ ィ 機能
概要
Cisco Catalyst 4500 シ リ ーズは、豊富な統合セキ ュ リ テ ィ 機能を備え、
重要なネ ッ ト ワー ク イ ン フ ラ ス ト ラ ク チ ャ を プ ロ ア ク テ ィ ブ に防御 し
ま す。 Network Admission Control (NAC) 機能、 コ ン ト ロ ー ル プ
レ ー ン ポ リ シ ン グ、 お よ び 802.1X ベー スのユーザ Authentication,
Authorization, and Accounting (AAA; 認証、 許可、 ア カ ウン テ ィ ン
グ) な どの充実 し た機能群に よ っ て、 ネ ッ ト ワー ク セキ ュ リ テ ィ の リ
ス ク が低減 し ます。 セキ ュ リ テ ィ ポ リ シーはワ イ ヤレ ー ト で動作する
専用の Access Control List (ACL; ア ク セス制御 リ ス ト ) で厳格に実
施 さ れ、 増え続け る ウ イ ルスやセ キ ュ リ テ ィ 攻撃 を 寄せつけ ません。
Cisco Catalyst 4500 シ リ ーズでは、 使いやす く 強力な ツールを提供 し
て、 エ ン ド ユーザやホス ト の設定に変更を加え る こ と な く 、 追跡不能な
man-in-the-middle 攻撃、 コ ン ト ロールプ レ ーン リ ソ ースの消耗、 IP
ス プー フ ィ ング、 および フ ラ ッ デ ィ ング攻撃を効果的に防御 し ます。 セ
キ ュ ア リ モー ト ア ク セス、 フ ァ イル転送、 およびネ ッ ト ワー ク管理は、
それぞれ Secure Shell (SSH Version 1 および Version 2) プ ロ ト コ
ル、 SCP、 および SNMPv3 を使用 し て実行 さ れます。
レ イヤ 2 のセキ ュ リ テ ィ の重要性
オープ ン キ ャ ンパ ス ネ ッ ト ワー ク では、 ど の よ う なユーザで も 任意の イ ー
サネ ッ ト ポー ト にア ク セ スす る こ と がで き 、 場合に よ っ ては不正に侵入す
る 可能性 も あ る ため、 ネ ッ ト ワー ク のセキ ュ リ テ ィ を保証で き ません。 OSI
モデルは異な る 通信 レ イ ヤが互い を認識す る こ と な く 機能す る よ う に構築
さ れてい ます。 そのため、 レ イ ヤ 2 のセキ ュ リ テ ィ は重要です。 あ る レ イ ヤ
が不正侵入 さ れ る と 、 セキ ュ リ テ ィ は脅か さ れますが、 他の レ イ ヤには影響
が及びません。 通信は以前 と 同様に進行す る ため、 アプ リ ケーシ ョ ン層の情
報が危険に さ ら さ れていて も 、 ユーザがそれに気付 く こ と はあ り ません。
2004 年の FBI/CSI の リ ス ク 評価では、 次の こ と が明 ら かにな り ま し た。
• 企業ネ ッ ト ワー ク の全ポー ト 中、 99% がオープンであ る 。
• 通常ど の ノ ー ト 型パ ソ コ ン か ら で も ネ ッ ト ワ ー ク に接続 し 、 ネ ッ ト ワ ー
ク へのア ク セ ス権を取得す る こ と がで き る 。
• 調査対象企業が報告 し た損害総額は、 1 億 4100 万米 ド ル以上であ る 。
• 回答者の 59% が、 考え ら れ る 要因 と し て、 不満を持っ た従業員に よ る イ
ンサ イ ダー攻撃を挙げてい る 。
こ の調査では、内部 と 外部のいずれの侵入について も 報告 し ない企業が多数
あ る こ と がわか り ま し た。 マ イ ナス イ メ ージの評判が広が り 、 事業に悪影響
を与え る 恐れがあ る ためです。
企業の ワ イ ヤ リ ン グ ク ロ ーゼ ッ ト に多 く み ら れ る レ イ ヤ 2 ス イ ッ チン グ環
境は、 セキ ュ リ テ ィ 攻撃の格好の タ ーゲ ッ ト です。 レ イ ヤ 2 ド メ イ ンにおけ
る 代表的なセキ ュ リ テ ィ 攻撃の う ち最 も 検出 さ れに く い も のの 1 つが、パ ス
ワ ー ド な ど の機密情報収集 を 目的に、 ネ ッ ト ワ ー ク を 使用不能に し た り 、
ネ ッ ト ワ ー ク ユーザ を脅か し た り す る 攻撃です。 こ の よ う な攻撃では、 ス
イ ッ チの MAC ア ド レ ス学習機能、 Address Resolution Protocol (ARP; ア ド レ
ス解決プ ロ ト コ ル [RFC 826]) に よ る エ ン ド ス テーシ ョ ンの MAC ア ド レ ス
解決、 Dynamic Host Control Protocol (DHCP; 動的 ホ ス ト 制御 プ ロ ト コ ル)
サーバに よ る IP ア ド レ ス割 り 当て と い っ た、 通常のプ ロ ト コ ル処理が悪用
さ れます。
1. MAC ア ド レ ス フ ラ ッ デ ィ ン グ
2. DHCP サーバ ス プーフ ィ ン グ
3. gratuitous ARP を使用 し た [man-in-the-middle] 攻撃
4. IP ホ ス ト ス プーフ ィ ン グ
認証 と セキ ュ リ テ ィ 機能 (IEEE 802.1X や ACL な ど) は組織の攻撃防御ポ リ
シーの一部 と し て不可欠ですが、 それ ら を使用 し て も 、 上述 し た レ イ ヤ 2 の
セキ ュ リ テ ィ 攻撃は防止で き ない こ と を理解す る こ と が重要です。認証済み
のユーザが悪意を持っ ていた場合、 こ れ ら の攻撃はすべて簡単に実行 さ れて
し ま い ます。
VLAN 内のすべての DHCP メ ッ セージ を代行受信す る こ と に よ り 、 ス イ ッ
チはユーザ と 正規の DHCP サーバ と の間で小規模なセキ ュ リ テ ィ フ ァ イ ア
ウ ォールの よ う に動作す る こ と がで き ます。
3. 攻撃 : ARP ベースの man-in-the-middle 攻撃
ARP の最 も 基本的な機能での使用方法は、 LAN セ グ メ ン ト 上で 2 つの ス
テーシ ョ ンの通信を可能にす る こ と です。
Cisco® Catalyst® 4500 シ リ ーズ ス イ ッ チの統合セキ ュ リ テ ィ 機能は、 こ う し た代
表的な レ イ ヤ 2 のセキ ュ リ テ ィ 攻撃を防御す る のに役立ち ます。 以下では、 そ
れぞれの脅威や攻撃防止に使用 さ れる セキ ュ リ テ ィ 機能について概説 し ます。
攻撃者が偽造 し た送信元ア ド レ ス を 持つ ARP パ ケ ッ ト を 送信す る と 、 デ
フ ォ ル ト ゲー ト ウ ェ イ や他のホ ス ト はその偽造パケ ッ ト を学習 し 、 情報を
自分の ARP テーブルに保存 し ます。 次に ARP に よ っ て、 タ ーゲ ッ ト のホ ス
ト 内に こ の悪意あ る ホ ス ト のエン ト リ が作成 さ れますが、その際に何 ら かの
認証や フ ィ ル タ リ ン グ が行われ る こ と はな く 、 ネ ッ ト ワ ー ク が脆弱化 し ま
す。 悪意あ る ホ ス ト は、 2 つのエン ド ポ イ ン ト 間の通信をいずれのエン ド ポ
イ ン ト に も 気付かれずに傍受で き る よ う にな り ます。攻撃者はパ ス ワー ド や
デー タ の収集、 IP フ ォ ンの盗聴が可能にな り ます。
1. 攻撃 : MAC ア ド レ ス フ ラ ッ デ ィ ング
防御策 : ダ イ ナ ミ ッ ク ARP イ ン スペ ク シ ョ ン
Cisco Catalyst 4500 シ リ ーズの Cisco Catalyst 統合セキュ リ テ ィ 機能
MAC ア ド レ ス はホ ス ト デバ イ ス の物理ア ド レ ス です。 ス イ ッ チの通常の動
作では、すべての着信パケ ッ ト について送信元のア ド レ ス と ポー ト がア ド レ
ス テーブルに登録 さ れます。フ レームの宛先が未知の MAC ア ド レ ス であ る
場合は、 VLAN 内のすべてのポー ト か ら 送信 さ れます。 こ れが ス イ ッ チ ま た
はブ リ ッ ジにおけ る レ イ ヤ 2 のフ ォ ワーデ ィ ン グ、 フ ィ ル タ リ ン グ、 お よ び
学習 メ カ ニズ ムの機能です。 ス イ ッ チには学習で き る MAC ア ド レ ス数に対
応 し た専用の メ モ リ 空間が備わ っ てい ます。 こ の攻撃は、 ス イ ッ チが本来備
え てい る MAC ア ド レ ス学習機能 と フ ォ ワーデ ィ ン グ機能を悪用 し て、 テー
ブルのフ ラ ッ デ ィ ン グやオーバーフ ロ ーを引 き 起 こ そ う と し ます。
こ の攻撃は、 未知の MAC ア ド レ ス を使用 し て ス イ ッ チに フ ラ ッ デ ィ ン グ を
引 き 起 こ す こ と に よ り 、 ハー ド ウ ェ ア本来の制限を悪用 し ます。 まずス イ ッ
チがその MAC ア ド レ ス を学習 し ます。 し か し 、 レ イ ヤ 2 フ ォ ワーデ ィ ン グ
テーブルの限度 を 超え る と 、 パ ケ ッ ト が VLAN 内のすべ て の ポー ト に フ
ラ ッ デ ィ ン グす る ため、 ハ ッ カーは ス イ ッ チ ド ネ ッ ト ワ ー ク 経由のネ ッ ト
ワー ク 接続を傍受で き る よ う にな り ます。同時にネ ッ ト ワー ク のパフ ォーマ
ン スは大幅に低下 し ます。
こ の攻撃は、シ ス コ の も う 1 つの特許セキ ュ リ テ ィ 機能であ る Dynamic ARP
Inspection (DAI; ダ イ ナ ミ ッ ク ARP イ ン スペ ク シ ョ ン) に よ っ て簡単に防止
で き ます。 こ の機能を利用す る と 、 ア ク セ ス ス イ ッ チが 「有効な」 ARP 要
求お よ び ARP 応答のみを中継す る よ う にで き ます。DAI は ス イ ッ チ上ですべて
の ARP パケ ッ ト を代行受信 し 、 その ARP 情報を確認 し た う えで、 ス イ ッ チの
ARP キ ャ ッ シ ュ 更新や適切な宛先へのパケ ッ ト フ ォ ワーデ ィ ン グ を行い ます。
4. 攻撃 : IP ホス ト ス プー フ ィ ング
IP ア ド レ ス ス プーフ ィ ン グ を仕掛け る 攻撃者は、 手動でア ド レ ス を変更す
る か、 ア ド レ ス ス プーフ ィ ン グ用に設計 さ れたプ ロ グ ラ ム を実行す る こ と
で、 有効な ア ド レ ス にな り すま し ま す。 イ ン タ ーネ ッ ト ワ ーム も 、 ス プー
フ ィ ン グ技術を利用 し て身元を偽 る 場合があ り ます。
防御策 : IP ソ ース ガー ド
IP ソ ース ガー ド 機能を使用す る と 、 攻撃者は有効なユーザの IP ア ド レ ス で
偽装 し て攻撃を仕掛け る こ と がで き な く な り ます。 こ の機能は、 有効な送信
元ア ド レ ス を持つパケ ッ ト の フ ォ ワーデ ィ ン グのみを許可 し ます。
防御策 : ポー ト セキ ュ リ テ ィ
まとめ
ポー ト セキ ュ リ テ ィ は動的な機能で、同一の物理ポー ト にア ク セ ス で き る ス
テーシ ョ ンの MAC ア ド レ ス を制限、 識別す る ために使用 し ます。 ス イ ッ チ
がセキ ュ ア MAC ア ド レ ス を セキ ュ ア ポー ト に割 り 当て る よ う に設定 さ れて
い る 場合、 あ る いは ス イ ッ チが、 それ ら のア ド レ ス を動的に学習す る 場合、
ポー ト は定義済みのア ド レ ス グループに属 さ ない送信元ア ド レ ス を持つパ
ケ ッ ト についてはフ ォ ワーデ ィ ン グ を行い ません。ポー ト セキ ュ リ テ ィ を使
用 し 、ス イ ッ チ ポー ト で許可 さ れ る MACア ド レ ス の数を制限す る こ と に よ っ
て、 MAC ア ド レ ス フ ラ ッ デ ィ ン グ攻撃を効果的に封 じ る こ と がで き ます。
モジ ュ ラ 型ス イ ッ チであ る Cisco Catalyst 4500 シ リ ーズは、 豊富な専用ハー
ド ウ ェ ア リ ソ ース を備え、 上述の レ イ ヤ 2 セキ ュ リ テ ィ 機能や こ の概要で
は説明 し ていない他の多 く のセキ ュ リ テ ィ 機能を実装 し てい ます。 図 1 は、
こ れ ら の レ イ ヤ 2 セキ ュ リ テ ィ 機能を図式化 し た も のです。
図1
Cisco Catalyst 統合セキ ュ リ テ ィ 機能
IP࠰࡯ࠬࠟ࡯࠼
2. 攻撃 : DHCP サーバ ス プー フ ィ ング と [man-in-the-middle] 攻撃
࠳ࠗ࠽ࡒ࠶ࠢARP
ࠗࡦࠬࡍ࡚ࠢࠪࡦ
ネ ッ ト ワー ク 攻撃者は多 く の場合、 不正な DHCP サーバを利用 し て IP ホ ス
ト ア ド レ ス をば ら ま き 、自分自身をデフ ォ ル ト ゲー ト ウ ェ イ に指定 し ます。
こ れに よ り 、2 つのエン ド ポ イ ン ト 間を流れ る 正規の ト ラ フ ィ ッ ク フ ロ ーの
ルー ト 変更が可能にな り 、 ト ラ フ ィ ッ ク は 2 つのエン ド ポ イ ン ト 間ですべて
捕捉 さ れます。そのために こ れは [man-in-the-middle] 攻撃 と 呼ばれてい ます。
代表的な レ イ ヤ 2 のセキ ュ リ テ ィ 攻撃
防御策 : DHCP ス ヌ ーピ ング
残念なが ら 、 イ ン タ ーネ ッ ト では メ ニ ュ ー操作式のハ ッ カー ツールがたやす
く 入手で き る ため、セキ ュ リ テ ィ 攻撃を仕掛け る のに高度な ス キルは必要あ り
ません。損害を も た ら す可能性のあ る代表的な攻撃には、次の も のがあ り ます。
DHCP ス ヌーピ ン グ と し て知 ら れ る シ ス コ の特許機能は、 すべての レ イ ヤ 2
ポー ト で簡単に有効にで き ます。 こ の機能では、 DHCP 要求 と DHCP 提供ア
ド レ ス を送信で き る 正規の DHCP サーバに対 し て、 信頼性のあ る ポー ト が
定義 さ れます。
DHCPࠬ࠿࡯ࡇࡦࠣ
ࡐ࡯࠻
࠮ࠠࡘ࡝࠹ࠖ
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco、 Cisco Systems、 およ び Cisco ロ ゴは米国およ びその他の国における Cisco Systems, Inc. の商標ま たは登録商標です。
こ の文書で説明し た商品、サービス はすべて、それぞれの所有者の商標、サービス マーク 、登録商標、登録サービス マーク です。
こ の資料に記載さ れた仕様は予告なく 変更する 場合があり ま す。
06.08
Fly UP