YAMAHA RTシリーズに関連する話題
Microsoft SQL Slammer Wormに関する公開情報
新規作成日 | 2003/Jan/27 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 10KB |
Microsoft SQL Slammer Wormに関する公開情報
[ 概要 ]
[ 傾向とRTシリーズのフィルタ対策 ]
本質的対策の概要:
Microsoft SQL Serverの脆弱性を排除するしかありません。
双方向で、フィルタで通信路を遮断することは可能ですが、
正常な通信が阻害されるような副作用が発生します。
処置レベル
SQL Slammerが使用する獲物の探索手段は、UDPを利用した普通の通信の仕組み によるものであるということです。UDPを利用するものには、 DNS(ドメイン名解決),NTP(時刻合わせ),RTP(音声通信や映像通信など)などが あります。これらの通信が日常的に使用する1024〜65535というポート番号と SQL Slammerのスキャン行為で使用する1433,1434などのポート番号が重なるので、 1433,1434を無条件に遮断することは、正常な通信も妨げるという障害が当然の様に 発生することになります。
設定の方針:
ネットボランチが自動設定する常時接続用セキュリティフィルタでは、外部から
Microsoft SQL Serverへの通信(UDP 1433,1434のIN方向)は常に遮断されていますので、
「特別な処置が不要」と想定しています。
設定の方針:
当面は、NetBIOSフィルタのように該当する通信(UDP 1433,1434)のIN/OUTを遮断する。
IN/OUTの双方向に適用する目的は、「感染を防ぐ」+
「もしもの場合の延焼予防」となります。
対象サーバのパッチあてなどが完了し、延焼の可能性がなくなったら、
OUT方向の制限を緩和することも可能です。
UDPの1434番ポートを閉じるフィルタ記述例
# UDP 1434に対する通信を遮断するフィルタ定義 ip filter 1 reject * * udp 1434 * ip filter 2 reject * * udp * 1434 ip filter 99 pass * * |
# PP01のIN/OUTに適用する場合 pp select 1 ip pp secure filter in 1 2 99 ip pp secure filter out 1 2 99 pp enable 1 |
# PP01のINに適用する場合 pp select 1 ip pp secure filter in 1 2 99 pp enable 1 |
UDPの1433番ポートと1434番ポートを閉じるフィルタ記述例
# UDP 1433と1434に対する通信を遮断するフィルタ定義 ip filter 1 reject * * udp 1433,1434 * ip filter 2 reject * * udp * 1433,1434 ip filter 99 pass * * |
# PP01のIN/OUTに適用する場合 pp select 1 ip pp secure filter in 1 2 99 ip pp secure filter out 1 2 99 pp enable 1 |
# PP01のINに適用する場合 pp select 1 ip pp secure filter in 1 2 99 pp enable 1 |
[ 経済産業省 ]
[ マイクロソフト社によるSQL Slammer ワーム対策情報など ]
[ Microsoft SQL Slammer ワームに関するセキュリティ情報 ]
[ Microsoft SQL Slammer ワーム関連脆弱性情報 ]
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for TOPIC / files ]