注目のセキュリティ資格
シスコの新しいセキュリティ資格、CCSPとは何か？

第2回　ルータセキュリティの概要を把握しよう

澤井亜紀子（グローバル ナレッジ ネットワーク）
2003/10/15

　前回（「第1回 CCSPの全体像を知ろう」、シスコシステムズのネットワークセキュリティの資格（Cisco Certified Security Professional：CCSP）について解説した。CCSPを取得するためには、まずCCNAの資格を取得する必要がある。そのうえで、次の5つの試験に合格する必要があることも解説した。

（1）（特に境界ルータと呼ばれる）ルータセキュリティ
（2）ファイアウォール
（3）VPN（インターネット上でのVPN）
（4）侵入検知システム
（5）SAFEブループリント（SAFE SMR）

　今回は、この中のルータセキュリティの試験の概要について解説する。

■ルータセキュリティの脅威

　ルータとスイッチで構成されるキャンパスネットワークは、最低限のルーティングプロトコルを動作させれば容易にインターネットへ接続することが可能だ。しかしその半面、脆弱性を露呈するルータやスイッチは少なくない。ルータは、L3（レイヤ3）で動作するため、インターネットを経由して世界中のルータへアクセスできる可能性が大いに考えられる。ここで考えられるセキュリティの脅威を次に示してみよう。

• ルータやスイッチへの不正アクセス、乗っ取り
• 企業内ネットワークへの、外部からの不正アクセス
• セキュリティの脅威についての教育を十分に受けていない従業員やユーザーが、ネットワークセキュリティに被害を与える行為を意図せずに実行
• 保護されたネットワーク（経理用ネットワークなど）への、従業員からの不正アクセス

　このうち、ルータやスイッチといったネットワークインフラストラクチャへの具体的な脅威は次のようなものになるのではないだろうか。

• コンソールポートやvtyポート（telnet用）へのアクセス
• ルータのコンフィグレーションファイルやパスワードの取得
• SNMPによるデバイス構成情報や内部ネットワークトポロジの取得
• ルーティングアップデートの傍受、およびなりすましによるルーティング情報の改ざん
• 内部ネットワークへのアクセスやICMP、IP、TCPのスプーフィング（なりすましの一種）による内部ネットワークトポロジの取得
• スイッチに対する不正アクセス

　内部ネットワークや保護されたネットワークへの具体的な脅威は、次のものが挙げられるだろう。

• ICMPやTCPなどに大量のトラフィックを送りつけて帯域幅やバッファを消費させたり、特殊なパケットを送信することによりバッファオーバーフローを引き起こさせたりするような動作不能にさせるサービス妨害攻撃（DoS：Denial of Service）
• パケットを盗聴することによって内部ネットワークの情報を取得するEavesdropping
• ゲストアカウントが許可されているホストへログイン後、パスワードや重要なファイルを不正に取得、改ざんするといったような不正アクセス
• なりすましによるWebデータの不正な操作

■ルータへのアクセスセキュリティ

　さまざまなセキュリティの脅威は、ファイアウォールや侵入検知システムといった専用の機器で低減することは可能だが、Cisco IOSに搭載されているさまざまなセキュリティ付加機能を利用することでも可能だ。また、ファイアウォールや侵入検知システムとの併用で、ファイアウォールへの攻撃などを事前にルータで防止することも可能になる。こうすると、ファイアウォールですべての対策を行っていた場合、その負荷を軽減することができ、パフォーマンスの向上にもつながるはずだ。

　シスコルータやスイッチなどのインフラストラクチャ自体の保護には次のようなアクセス制御が可能だ。

• 物理的なデバイスの保護……ルータを鍵の掛かった部屋などに設置し、許可された人だけがルータに物理的にアクセスできるよう制御
• 管理インターフェイスの保護……コンソールへのパスワード、パスワードの暗号化、ログインタイムアウト、バナーメッセージ、SNMPによるアクセス、telnetによるアクセスなどの制御
• ルータ間通信の保護……ルーティングプロトコルでの認証（OSPFやIS-IS、BGPなど）、TFTPサーバの制限、アクセスリストによるルーティングアップデートのフィルタリング、ルータへのHTTPアクセスの制御など
• スイッチデバイスの保護……ログインパスワードの適用、MACアドレスを利用した接続許可デバイスの制限、telnetによるアクセスの制御

　また、より強固なルータへのアクセス制御を行うために、AAA（認証、認可、アカウンティング）の機能を利用することもできる。

• 認証（Authentication）……ユーザー名、パスワードなどを用いて、ネットワークアクセスを許可されたユーザーであるかどうかを精査
• 認可（Authorization）……ユーザーの認証後、そのユーザーが利用できるネットワークリソースだけに利用許可を付与
• アカウンティング（Accounting）……ユーザーがいつからいつまでどのようなリソースを利用したかをロギングし、追跡可能にする

　ユーザーがアクセスサーバやルータに対してアクセスをした際にAAAのテクノロジを備えたセキュリティサーバと連動することで「正しいユーザー」だけが内部ネットワークのリソースを利用できるようになる。

■ルータや、保護すべきネットワークへのアクセス制御

　ルータは企業ネットワークがISPと接続する際に最もよく利用されるデバイスである。この場合、企業と外部の境界にあるネットワークは境界ネットワークと呼ばれ、境界上にあるルータは境界ルータと呼ばれる。境界ルータにはISPへのシリアル接続ポートや、外部DMZ（De-Militarized Zone：非武装地帯）ネットワークへのアクセスポートを持つ比較的汎用のルータ（1700〜2600、3600シリーズなど）が使われることが多いだろう。シスコルータは外部からのさまざまなセキュリティの脅威を低減するため、主にパケットフィルタリング、不必要なサービスの停止など、さまざまな機能を提供している。

　次の表で、境界ルータ上で制御できる技術の一部を紹介しよう。

機能	脆弱性	詳細
TCP/IPサービス制御	不正アクセス、傍受、DoS攻撃	Chagen、EchoなどマイナーなTCP/UDPサービスを無効にしたり、Proxy-ARPやICMP Unreachableメッセージ自体を無効にしたりする
ルートアドバタイズメント制御	データ改ざん	ルーティングアドバタイズメントをやりとりするルータを認証させ、ルートが改ざんされるのを防止
パケットフィルタ	データ操作、DoS攻撃	受信または送信トラフィックに対して標準または拡張アクセスリストを適用
レートリミット	DoS攻撃	短い間に大量のICMPやSYNパケットを受信するフラッディング攻撃の際、閾（しきい）値を超えて受け取ったパケットを破棄させる
Lock-and-keyアクセスリスト	不正アクセス	ダイナミックアクセスリストを使用し、必要なユーザーにだけアクセスを許可するようにルータに動的にアクセスリストを適用し、ユーザーアクセスを制御

　これらの機能は標準のCisco IOSで提供されている機能がほとんどであるが、さらにCisco IOS Firewallフィーチャーセットが搭載されたルータを利用することもできる。これはCisco IOSルータに特徴的なファイアウォールテクノロジを追加したもので、CBAC（Context-Based Access Control）と呼ばれる機能が特徴だ。

　CBACはファイアウォールが持っているTCP/UDPセッションのステートフルな監査を行い、ポート番号やアドレスベースでダイナミックにセッションごとのアクセスを許可／拒否したり、DoS攻撃の発見と防止、Javaアプレットダウンロードの拒否といった機能を持っている。さらに、Cisco IOS Firewallの機能として侵入検知システムも搭載しており、ルータ上を通過するパケットやセッションを監視し、あらかじめ登録されている侵入パターン（シグネチャ）と一致するかどうかを精査できるのだ。疑わしいアクティビティの場合にはsyslogへの記述やセッションの強制リセットをかけることも可能だ。

　このようにルータセキュリティといっても、さまざまなセキュア機能をインテグレートすることができるため、1台でネットワークセキュリティを賄うといったことも可能だ（図1）。

図1　セキュア機能の統合化

　さて、次回はファイアウォールの試験について解説する予定だ。

「シスコの新しいセキュリティ資格、CCSPとは何か？」