YAMAHA RTシリーズに関連する話題

Microsoft SQL Slammer Wormに関する公開情報

[ 概要 ]

• 傾向とRTシリーズのフィルタ対策
  
• Code Red ワームに関するセキュリティ情報
  
• マイクロソフト社によるSQL Slammer ワーム対策情報など
  
• SQL Slammer ワームに関するセキュリティ情報
  
• Microsoft SQLのSQL Slammer ワーム関連脆弱性情報
  

[ 傾向とRTシリーズのフィルタ対策 ]

• どうしよう？

  本質的対策の概要:
  Microsoft SQL Serverの脆弱性を排除するしかありません。
  双方向で、フィルタで通信路を遮断することは可能ですが、 正常な通信が阻害されるような副作用が発生します。

  処置レベル
  

  1. 理想,最終形
     
     • Microsoft SQL Serverの脆弱性を排除する
     • 「動的フィルタ」で入力方向のアクセスを常に遮断します。
       動的フィルタを利用することにより、「SQL Slammer」などからのスキャン行為と 「問い合わせ」に対する「返事」のパケットを区別して、必要なもののみ通過 させることができます。
  2. 短期限定の緊急対処
     
     • Microsoft SQL Serverの脆弱性を排除できない(放置する)
     • 「静的フィルタ」で入力方向と出力方向のアクセスをすべて遮断します。

• 副作用とは何？

  SQL Slammerが使用する獲物の探索手段は、UDPを利用した普通の通信の仕組み によるものであるということです。UDPを利用するものには、 DNS(ドメイン名解決),NTP(時刻合わせ),RTP(音声通信や映像通信など)などが あります。これらの通信が日常的に使用する1024〜65535というポート番号と SQL Slammerのスキャン行為で使用する1433,1434などのポート番号が重なるので、 1433,1434を無条件に遮断することは、正常な通信も妨げるという障害が当然の様に 発生することになります。

• ネットボランチが自動設定するセキュリティフィルタ

  設定の方針:
  ネットボランチが自動設定する常時接続用セキュリティフィルタでは、外部から Microsoft SQL Serverへの通信(UDP 1433,1434のIN方向)は常に遮断されていますので、 「特別な処置が不要」と想定しています。

  ネットボランチRTA54iの設定例(スクリーンショット+α)

  • セキュリティレベル5: 静的フィルタによるセキュリティフィルタ
  • セキュリティレベル7: 動的フィルタによるセキュリティフィルタ

• 静的フィルタ: インターネット接続用ルータで、通信を遮断するフィルタ例

  設定の方針:
  当面は、NetBIOSフィルタのように該当する通信(UDP 1433,1434)のIN/OUTを遮断する。
  IN/OUTの双方向に適用する目的は、「感染を防ぐ」＋ 「もしもの場合の延焼予防」となります。 対象サーバのパッチあてなどが完了し、延焼の可能性がなくなったら、 OUT方向の制限を緩和することも可能です。

  UDPの1434番ポートを閉じるフィルタ記述例

  # UDP 1434に対する通信を遮断するフィルタ定義 ip filter 1 reject * * udp 1434 * ip filter 2 reject * * udp * 1434 ip filter 99 pass * *

  # PP01のIN/OUTに適用する場合 pp select 1 ip pp secure filter in 1 2 99 ip pp secure filter out 1 2 99 pp enable 1

  # PP01のINに適用する場合 pp select 1 ip pp secure filter in 1 2 99 pp enable 1

  UDPの1433番ポートと1434番ポートを閉じるフィルタ記述例

  # UDP 1433と1434に対する通信を遮断するフィルタ定義 ip filter 1 reject * * udp 1433,1434 * ip filter 2 reject * * udp * 1433,1434 ip filter 99 pass * *

  # PP01のIN/OUTに適用する場合 pp select 1 ip pp secure filter in 1 2 99 ip pp secure filter out 1 2 99 pp enable 1

  # PP01のINに適用する場合 pp select 1 ip pp secure filter in 1 2 99 pp enable 1

[ 経済産業省 ]

• http://www.meti.go.jp/kohosys/press/0003634/1/030131slammerreport.pdf
  世界規模で報告されたネット障害についての総括レポート
  〜Slammerワームによる被害について〜

[ マイクロソフト社によるSQL Slammer ワーム対策情報など ]

• http://www.microsoft.com/technet/security/virus/alerts/slammer.asp
  PSS Security Response Team Alert - New Worm: W32.Slammer
  
• http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp
  SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
  →FAQ
  
• http://support.microsoft.com/default.aspx?scid=kb;ja;323875
  [MS02-039] SQL Server 2000 解決サービスのバッファ オーバーランの脆弱性
  

[ Microsoft SQL Slammer ワームに関するセキュリティ情報 ]

• http://www.iss.net/security_center/static/9661.php
  ISS: mssql-resolution-service-bo (9661)
  Microsoft SQL Server Resolution Service heap buffer overflow
• http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html
  ISSKK: Microsoft SQL Slammer Wormの蔓延
• CERT
  • http://www.cert.org/advisories/CA-2003-04.html
    CERT(R) Advisory CA-2003-04 MS-SQL Server Worm
    →lacによる邦訳

[ Microsoft SQL Slammer ワーム関連脆弱性情報 ]

• IPA/ISEC(セキュリティセンター)
  • http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
    新種ワーム「W32/SQLSlammer ワーム」に関する情報
• CERT
  • http://www.cert.org/advisories/CA-2002-22.html
    CERT(R) Advisory CA-2002-22 Multiple Vulnerabilities in Microsoft SQL Server
  • http://www.kb.cert.org/vuls/id/484891
    Vulnerability Note VU#484891
    Microsoft SQL Server 2000 contains stack buffer overflow in SQL Server Resolution Service
• JPCERT
  • http://www.jpcert.or.jp/at/2003/at030001.txt
    UDP 1434番ポートへのスキャンの増加に関する注意喚起

[ 関連情報 ]

• IPパケット・フィルタのFAQ
• ファイアウォールの技術情報
• ネットボランチRTA54iの設定例(スクリーンショット+α)
  • セキュリティレベル5: 静的フィルタによるセキュリティフィルタ
  • セキュリティレベル7: 動的フィルタによるセキュリティフィルタ

[ FAQ for RT-Series ]
[ FAQ for TOPIC / files ]