R4春期午後Ⅱ問2の質問

今度こそ受かりたいさん  
(No.1)
CDNの記述における図5において、なぜ攻撃者は、CDN-Uを利用しなくてはならないのか意図が見えません。私の理解では、Y-CDN-U-FQDNとZ-CDN-U-FQDNは、違うCDNキャッシュサーバだと思っています。だからこそ、FWで拒否Z-CDN-U-FQDNのIPを拒否しても通信を遮断できないと考えてます。なぜ、攻撃者は予めCDN-Uに登録する必要があるのでしょうか。
2023.09.12 05:28
pixさん 
SC ダイヤモンドマイスター
(No.2)
CDNの説明は複雑なので長文になりますが、ご容赦ください。

>CDNの記述における図5において、
>なぜ攻撃者は、CDN-Uを利用しなくてはならないのか意図が見えません。
図5はCDNを利用したドメインフロンティング攻撃の説明です。
ドメインフロンティング攻撃には攻撃者サーバZ-FQDNがCDN-Uに正規の
サーバとして登録されている必要があります。
文中の「利用」とは「正規のサーバとして登録」という意味です。


>私の理解では、Y-CDN-U-FQDNとZ-CDN-U-FQDNは、違うCDNキャッシュ
>サーバだと思っています。
>だからこそ、FWで拒否Z-CDN-U-FQDNのIPを拒否しても通信を遮断
>できないと考えてます。
この点を理解するには一般的なCDNの動作を理解する必要があります。
CDNは実体のサーバ(オリジンサーバ)の内容をキャッシュし、閲覧者に
コンテンツを配信するのが基本機能になります。
規模にもよりますが、CDNサーバは数十台~数万台で構成されています。
CDNサーバにアクセスに行く際は、DNSの機能により以下が行われます。
・地理的負荷分散(地域・国レベルでの負荷分散)
・サーバ負荷分散(同一地域・同一国レベルでの負荷分散)
CDNのDNSにCNAMEとして登録されているホスト名を名前解決に行くと
・地理的負荷分散とサーバ負荷分散により、一番近くの負荷が低い
CDNサーバのIPアドレスが返ってきます。
ここからのアクセスにはSNI(サーバネームインジケータ)機能を
利用します。

一台のCDNサーバには複数のオリジンサーバのコンテンツがキャッシュ
されています。どのオリジンサーバのコンテンツにアクセスするかを
決定するためにSNIが利用されます。
SNIはHTTPのHostヘッダにオリジンサーバのFQDNを設定することによって、
CDNサーバ側でどのオリジンサーバのコンテンツを送信すればいいかを
判断するために利用されます。

ここまでが、CDNの基本的な動作になります。
スレ主様は「Y-CDN-U-FQDNとZ-CDN-U-FQDNは、違うCDNキャッシュ
  サーバだと思っています。」とありますが、この点の理解が違っています。
上にも書いた通り、CDNは
・地理的負荷分散(地域・国レベルでの負荷分散)
・サーバ負荷分散(同一地域・同一国レベルでの負荷分散)
を行います。
その時の地理的・サーバ負荷により利用されるCDNサーバは異なります。
アクセスしたCDNにオリジンサーバのコンテンツがなければ、オリジンサーバに
コンテンツを取りに行き、その後返信します。
すでにオリジンサーバのコンテンツがある場合は、キャッシュされたコンテンツを
返信します。

このような動作をそれぞれのCDNサーバが行います。
そのため、同じオリジンサーバのコンテンツが複数台のCDNサーバにキャッシュ
されることになります。特定の1台のCDNサーバにコンテンツがキャッシュされる
のではないです。
スレ主様は特定のオリジンサーバのコンテンツが特定のCDNサーバにのみ
キャッシュされると思われいるようですが、その点は誤解です。


>なぜ、攻撃者は予めCDN-Uに登録する必要があるのでしょうか。
ここからがドメインフロンティング攻撃の解説になります。
当該マルウェアはHostヘッダにZ-FQDNを指定するとあります。
この時
・通信先のCDNのIPアドレスは正規のものなので、FWなどでは遮断できない
・Z-FQDNはCDN-Uに正規のオリジンホストとして登録されているので、CDN-U側
  で不正なオリジンホストと判断できない
以上の2つが組み合わさり、マルウェアとZ-FQDNがHTTPSで通信を行う
ことになります。

ここで疑問点として、マルウェアがCDNを介さずに直接Z-FQDNと通通信すれば
よいのではという疑問があがります。
しかし、直接の通信では宛先FQDNや宛先IPアドレスが判明した時点で
FWにブロックされてしまうという欠点があります。
そのためCDNを踏み台として利用し、通信を転送するドメインフロンティング
攻撃では、FQDNやIPアドレスはCDNのものであり、通信はHTTPSで暗号化されて
います。
それによりHostヘッダにZ-FQDNが書かれていることを検知するのは非常に困難に
なります。
2023.09.12 08:43
橙色文書さん 
(No.3)
スぺシャリストにとってIPアドレスとIP(インターネットプロトコル)は別の用語ですので混同は避けましょう。
インターネットプロトコルの範囲に限定した話題であればアドレスと略称するのは問題ないと思います。
2023.09.12 20:47
pixさん 
SC ダイヤモンドマイスター
(No.4)
>橙色文書さん
補足頂きありがとうございます。
IPA試験の記述解答において略称を使うのはNGです。
特に以下2つは記述の際に注意する必要があります。
・IP -> IPアドレス
  誤:「IPは192.168.1.1」
  正:「IPアドレスは192.168.1.1」
・ポート -> ポート番号
  誤:「HTTPのポートは80/tcp」
  正:「HTTPのポート番号は80/tcp」

記述解答において利用してよい語句は以下の2つです
・本文中に使われた語句
・IPAのシラバスで定義されている語句

人によってはここまで厳密に言葉を選ぶ必要はないと感じる方もいるかもしれません。
しかしIPA試験の記述解答でうまく解答できていないと思われる方ほど、こういった
細かい点の配慮が不足していると思われます。
2023.09.12 23:30
今度こそ受かりたいさん  
(No.5)
何度も読みかえさせていただきましたが、まだ理解ができないです。
FWで攻撃者サーバに割り当てられたiPアドレスを拒否しても、zーFQDNをプロキシサーバの拒否リストに登録しても通信が遮断できない理由です。
攻撃サーバに割り当てられたCDNサーバーのFQDN Z-CDN-U-FQDNは、複数のcdnのキャッシュサーバに登録されているのはおかげさまでわかりました。ここで言う「攻撃者サーバに割り当てられたiPアドレス」は、キャッシュサーバのIPを指すかと思いますが、それがたくさんあるから拒否できないということでしょうか。
zーFQDNのプロキシを拒否しても無駄なのは、実際は、CDNのキャッシュサーバーと通信するからでしょうか。
2023.09.13 22:44
pixさん 
SC ダイヤモンドマイスター
(No.6)
解説の都合上文章が前後いたします。

>「攻撃者サーバに割り当てられたiPアドレス」は、キャッシュサーバのIPを指すかと
>思いますが、それがたくさんあるから拒否できないということでしょうか。
この点については私の認識はことなります。
「攻撃者サーバに割り当てられたIPアドレス」とは攻撃者サーバ自身に割り当てられた
IPアドレスと判断しました。キャッシュサーバのIPアドレスではないと考えられます。

もしキャッシュサーバのIPアドレスならば「Z-CDN-U-FQDNを名前解決したIPアドレス」と
いうような文章になると思われます。
これはP16の最初の部分に「Y-CDN-U-FQDNを名前解決したIPアドレス」という文章が
根拠になります。

>FWで攻撃者サーバに割り当てられたIPアドレスを拒否しても、
>Z-FQDNをプロキシサーバの拒否リストに登録しても通信が
>遮断できない理由です。
これについては、以下のような単純な理由と考えられます。

①攻撃者サーバのIPアドレスとFQDNを直接拒否のケース
P15 F氏の発言「攻撃者サーバに割り当てられたIPアドレスを宛先とする通信を
FWで拒否しても、Z-FQDNをプロキシサーバの拒否リストに登録しても、図5の(5)の
通信は遮断できません。」
とあります。

Z-FQDNのIPアドレスを[1.1.1.1]と仮定します。
CDNサーバのIPアドレスを[2.2.2.2]と仮定します。
FWでZ-[1.1.1.1]を拒否するように設定します。
しかし、Z-FQDNにアクセスする際はCDN経由でいってしまうので、
FWをすり抜けてしまうということです。

>zーFQDNのプロキシを拒否しても無駄なのは、実際は、CDNのキャッシュサーバーと
>通信するからでしょうか。
FWと同様にZ-FQDNをプロキシサーバの拒否リストに登録しても、
CDN経由ではすり抜けてしまうということです。


②攻撃者サーバが利用するCDNサーバのIPアドレスを拒否のケース(間接的な拒否)
P16「Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否すると、
複数のWebサイトが閲覧できなくなる影響があります。」
とあります。
CDNサーバのIPアドレスを拒否することにより、攻撃者サーバへの通信は
拒否できます。しかし、拒否したCDNサーバにキャッシュされてる複数の
Webサイトも同様に拒否されてしまうという弊害があるということです。

それ以外の弊害として、攻撃者サーバのコンテンツをキャッシュするCNDサーバも
動的に切り替わると考えられるため、CDNサーバのIPアドレスを拒否することは
対策として不適切と考えられます。
2023.09.13 23:40

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop