令和3年秋「情報処理安全確保支援士試験」午後1問1の振り返りメモになります。
どんなお話?
サーバ保守のため保守員がたまにSSH接続で社外からアクセスが必要な状況。
一時的にFWに穴を開けたときに、推測できるパスワードだったので、社外からアクセスされ攻撃を受けました。その対策として公開鍵認証やアクセス経路を限定するお話です。SSH接続がテーマですね。
SSH接続について
SSH接続とは?
ネットワーク上に存在するサーバにアクセスし、UNIXコマンドでPCから直接サーバ操作を行うプロトコルです。
パスワード認証(手軽だが危険)と公開鍵認証(面倒だが安全)が選べます。
接続の流れ
初回認証時
- サーバの公開鍵をハッシュ化したフィンガープリントがクライアントに送られる
- クライアントは事前にサーバのフィンガープリントを入手しておき一致するか確認する
- OKなら、クライアントはサーバ公開鍵をIPアドレスとセットに保存する
次回認証時
- クライアントは秘密鍵で署名してサーバに送信する
- サーバ側はクライアントが持つ公開鍵と一致するか確認する
どんな問題が出たか?
サーバへSSH接続したとき警告メッセージが出るのは?
サーバから送られてきた公開鍵がクライアントが保存した公開鍵と異なる場合で、以下2つになります。②側が問われました。
- ①サーバ側で公開鍵が更新された
- ②接続先のサーバがクライアント想定のものと異なる
SSH接続する保守員に(特権権限でなく)一般利用者権限をつけるのは何故?
保守員が操作ログを改ざんできないようにするためです。一般権限であればログには残るがログにアクセスできない設定でした。
第三者がサーバにアクセスできちゃった時間帯は?
事前申請を受けて、保守PCがインターネットから接続許可した(FWに穴を開けた)時間帯が問われました。
公開鍵認証で作る秘密鍵にパスフレーズも設定するのは何故?
秘密鍵が奪われてもすぐに悪用できなくするため。(パスワード解読できないと使えない)
公開鍵認証で中継サーバに保存しない方が良いものは?
公開鍵認証に必要なクライアント側の秘密鍵。
サーバに接続するとき、クライアント側の秘密鍵で署名できればサーバ側の認証でアクセス可となるので、中継サーバへ不正アクセスで秘密鍵が奪われると危険です。
とはいえ、クライアントPC側には秘密鍵を保存しますが、それは上問題のパスフレーズで奪われたときの被害をへらします。
保守作業時にインターネットから穴を開けたくない。うまい対策は?
保守PCはデザリングでインターネットから接続される環境でした。インターネットはIPアドレスが固定できないためFWルールで弾けません。
この対策として、インターネットから直でなく一旦保守会社のネットワークを経由させて、そのネットワークのグローバルIPアドレスを固定化させる対策が問われました。
こうすると、FWでインターネットからアクセス禁止し、保守会社のIPアドレスだけは関所を通すことが可能になります。