気になるけど

PC関連情報、ビジネス書、IT資格などについて書いていきます。 ただいま不定期更新中です。

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Twitterでつぶやく

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

TCP/IPの脆弱性にお手上げ状態です

TCP/IP関連の脆弱性はWindows以外にも影響、JPCERT/CCが注意喚起
by Internet Watch

複数製品の TCP プロトコルの脆弱性に関する注意喚起
by jpcert/cc

※JPCERT/CCはJapan Computer Emergency Response Team Coordination Centerという、コンピューターセキュリティ関連の情報を収集して、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人の事です。

9月9日にJPCERTから発表されたTCP/IPの脆弱性の適用範囲の広さに、口あんぐり状態の私ですが、これにはまいりました…

というのもですね、今回の脆弱性の対象機器となる製品が、

・TCP/IP プロトコルを使った製品
・Windows, BSD 系 OS, Linux などのクライアント・サーバ製品
・ネットワーク機器
・情報家電や組み込み機器など、他の機器と通信を行うようなものも対象になる可能性あり


って、ネットワークにつながる機器全部だろうがっ!!と思わず突っ込みを入れてしまいたくなるほど広範囲に渡ります・・・。このTCPの脆弱性、MicrosoftやRedHat、Ciscoなどの大手はすぐパッチの提供を開始しているようですけど、その他の製品・機器では対策を講じられていないところもある様子。

では、パッチが公開されていなかったり、古くてパッチすら提供されないなどの製品はどうすればいいかというと、

対策:
パッチを適用することが困難な場合、もしくはパッチが公開されていない場合は、ファイアウォールなどのパケットフィルタリング機能により、短時間に同一の IP アドレスから送られる接続要求を拒否するなどの回避策をご検討下さい。


との事でした。
短時間に同一IPからの接続要求を拒否するって、それはどういう判断で決めればよいのか迷いますよね。synパケットが数秒以内に同一IPで20セッションまでは接続を認めるとか、そういう設定にするのかな?

この脆弱性を突く攻撃としてDDOS攻撃が考えられるようですけど、実際に想定される攻撃シナリオも掲載されていましたので下に記します

想定される攻撃シナリオ:
攻撃者は、Webサーバやメールサーバなどの不特定多数にサービスを提供するシステムに対して、遠隔から TCP ウインドウサイズ = 0 の接続を確立し、維持します。攻撃者は、このような通信を複数セッション確立させることにより、システムをサービス不能状態に陥らせます。


とありますように、セッション数の上限値を明確に絞ればいいような気もしますが(同時接続数制御)なにせプロトコルの脆弱性なので、それだけでは対策が不十分になるかもしれないです。

だから同一IPからの接続という形で絞っているのかな?

攻撃側がボットネットなどを使い、別IPで一斉に接続を確立されたら、同一IPというくくりは関係無いと思うのですけど…

ちゃんとしたパッチが存在していればいいのですが、ちょっと古いRedHat製品とか、マイナーなスイッチ関係などは、待っていてもパッチが出るわけもなく、上記のファイアウォールなどで対処するしか無さそうです。

しばらく対策に追われそうな予感・・・

もう脆弱性とか勘弁してください!
Twitterでつぶやく

| PCネタ・IT系ニュース | 20:32 | comments:4 | trackbacks:0 | TOP↑

COMMENT

>KumaCrowさん

いや~まいりました((+_+))
TCPの脆弱性なので、インターネットなど
につながる全ての機器が対象になります。
なので、これ致命的と言っても差し支えないです。
しばらくの間パッチ適用に追われそうな
感じですね…

| fuminchu | 2009/09/11 13:19 | URL |

>なあびんさん

これ本当にまいりましたよね!!
ファイアウォールでの対策っていっても
完全に逃げの状態でしかないですし、
脆弱性を防いでいるわけではないので、
ちょっと厳しいかなと思っています。
私も今修正パッチを探している状態ですが、
半分諦めムードです((+_+))
今のところroot乗っ取られるわけじゃ
なさそうだし、機種入替まで放置して
しまいそうな気になりかけています(笑

無茶言いいますよね(-_-メ)

| fuminchu | 2009/09/11 13:15 | URL |

fuminchuさん、こんにちは!(・∀・)/へろー

うわっ!プロトコルレベルの脆弱性って、はじめて聞きました。(´Д`;)
けっこうあるものなんですかね。

お疲れさまでございます。

| KumaCrow | 2009/09/11 12:23 | URL | ≫ EDIT

まさにfuminchuさんと同様の状態・・対応してくださいといわれても
『すいません、ネットに接続されている機器、ほとんどがTCP/IPなんですけど』
ってな、そんな状態です(滝汗;
同一のIPからのセッションをブロックするようにという対策ですが、
辛口とは思いますが、正直、メーカーからの修正パッチ以外に
具体的な対策が見出せていないのではないかと思います。
OS、スイッチ、FW・・・ほとんどがTCP/IPをデフォルトで搭載して
デフォルトで優先プロトコルとして適用されるのが当たり前の現状で、
ここにバグがあるからなんとかしろといわれても、閉口するしかないです(^_^;
TCP/IPにかわる、新しいインターネットプロトコルでも採用されていて
そっち使えば、支障なくネット接続できますよなんて話であれば
また別なんでしょうけど・・・って、当たり前な、いまさらの話ですが
今話題のIPv6も基本、TCP/IPですね(笑
まずは機器リストアップして、修正パッチ拾う旅にでなきゃ・・。

| なあびん | 2009/09/11 09:31 | URL |















非公開コメント

TRACKBACK URL

http://kininarukedo.blog84.fc2.com/tb.php/688-193b6057

TRACKBACK

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。