目次
問題文
NTPを使った増幅型のDDoS攻撃に対して,NTPサーバが踏み台にされることを防止する対策の一つとして,適切なものはどれか。
ア NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。
イ NTPサーバの設定変更によって,自ネットワーク外のNTPサーバへの時刻問合せができないようにする。
ウ ファイアウォールの設定変更によって,NTPサーバが存在するネットワークのブロードキャストアドレス宛てのパケットを拒否する。
エ ファイアウォールの設定変更によって,自ネットワーク外からのUDPサービスへのアクセスはNTPだけを許す。
解説
解答
ア
ア NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする
NTPサーバの monlist 機能(NTPクライアント一覧を返す機能)は、本来は管理者向けの状態確認用途ですが、返答データが大きいため攻撃者に悪用されることがありました。
攻撃者は小さな要求パケットを送るだけで、NTPサーバが大量の応答パケットを被害者に送りつける「増幅攻撃」が成立します。
そのため、NTPサーバを踏み台にされないように monlist 機能を無効化することが推奨されており、この選択肢が正解です。
イ 自ネットワーク外のNTPサーバへの時刻問合せを禁止する
これは 内部から外部へのNTP利用制限の施策です。
確かにセキュリティ上の運用ポリシーとしては意味がありますが、今回の問題の「踏み台対策」には直結しません。
攻撃は外部からNTPサーバに対して行われるため、この方法では不十分です。
ウ NTPサーバのあるネットワーク宛てのブロードキャストパケットを拒否する
これは Smurf攻撃(ICMPのブロードキャストを悪用したDDoS)などを防ぐ際に有効な対策です。
しかしNTP増幅攻撃では、個別のNTPサーバに対してリクエストが送られるため、ブロードキャストパケットの制御は直接的な防止策にはなりません。
エ 外部からのUDPサービスをNTPだけ許可する
これはファイアウォールのアクセス制御に関する施策ですが、むしろ外部からのNTP通信を全面的に許可してしまうため、攻撃に利用されやすくなります。
セキュリティ対策としては逆効果になる場合があります。
