通信路上での攻撃についてのまとめ

通信路への攻撃についてのまとめ。 適宜更新する。

直接攻撃
・Private VLAN
端末間で相互通信できるようになっていると、攻撃されてしまう可能性がある。 VLANを切れば相互に通信できないようにはできるものの、 端末の数だけVLANを切るのは現実的ではない。

このような場合はPrivate VLANを利用する。 Private VLANは、独立VLAN, コミュニティVLANと、それらを束ねるプライマリVLANがある。 独立VLANから通信できるのはプライマリVLANのみで、そのVLAN内の端末間の相互通信はできない。 また、コミュニティVLANと通信することもできない。 コミュニティVLANは、プライマリVLAN及び同一コミュニティVLANの端末にのみ通信できる。

図のような構成の場合は、WAN側にはプライマリVLAN、エンド側には独立VLANを設定すれば良い。

スプーフィング系
スプーフィングとは、日本語で言うとなりすましのこと。 何をなりすますかによって影響が異なる。

・DHCPスプーフィング
DHCP要求への返信を偽装し、IPアドレスやゲートウェイ情報などを攻撃しやすい値に設定させる攻撃。 DHCPスヌーピングで対応する。 DHCPサーバが接続されているポートは、ネットワーク設計の段階で決めているはずなので、 そのポートからのみDHCP返信が行えるように設定する。

・MACスプーフィング
MACアドレスをなりすますことによって、他の端末へのL2通信を受信する。

ダイナミックARPインスペクションを設定し、不正なARP応答をはねることで対策する。

フラッディング
・MACフラッディング
偽装したARP通信を返すことで、MACアドレスをパンクさせる攻撃。 MACアドレステーブルがパンクした場合、テーブルは参照せず全ての通信をフラッディングするようになるため、 MACスプーフィングを行わなくても他端末への通信を傍受することが可能になる。

ポートセキュリティやVLAN ACLで制御を行う。

Written on May 12, 2012