はじめに
インターネットにおけるウィルスやワームへの対処として、特定のポートへのアクセスをフィルタリングする措置を取ることが多くあります。
2003年1月に発生した Microsoft SQL Server 2000 および MSDE 2000 の既知の脆弱性を使って伝播するワーム(*)の感染およびトラフィックの異常な増加を防ぐために、このワームが用いる UDP 1434番ポートへのアクセスをフィルタリングした組織やネットワークが数多くありました。
このようなフィルタリングは、根本的な解決が完了するまでの暫定的な対応としては有効ですが、一方で、フィルタリングの対応が設定によっては DNS などの他のサービスに対し、重大な影響を与える可能性があることが分かっています。このメモでは、フィルタリングと DNS の関係について説明しています。フィルタリングの際にはこの内容をご理解いただき、適切な設定を行うことを推奨します。
(*) 一般に「SQL Slammer」と呼ばれるワーム
関連情報:JPCERT/CC「UDP 1434番ポートへのスキャンの増加に関する注意喚起」
http://www.jpcert.or.jp/at/2003/at030001.txt
ご注意
以下の内容は、トラフィックのフィルタリングを行う際に DNS の利用を阻害しないために考慮すべき点を述べたものです。これはセキュリティ確保のために各プロバイダや各組織が様々な手段を検討する中で参考としていただけるようにまとめた情報ですが、対応方法は環境やセキュリティポリシにより様々であり、以下の方針を強制するものではありません。また、これにより新たなセキュリティ上の問題や、運用上の問題を発生させる可能性があるため、JPRS はこれを参考情報として提供いたします。また、ネットワーク設定やセキュリティの実装については各組織の責任において行っていただけますようお願いいたします。以下の内容を設定・実装に反映した結果について、JPRS では責任を負うことができません。
詳細
DNS の問い合わせは、DNS サーバの UDP 53番ポートに対して行われます。この際、クライアント側のポートとして、通常 1024番以上の任意の UDP ポートが使用されます。
このため、クライアント側が UDP 1434番ポートを選択することがあり、UDP1434番ポートへのアクセスを無条件にフィルタリングした場合、このクライアントへの DNS 応答までもがフィリタリングされてしまいます。
さらに、DNS の代表的なサーバソフトウェアである BIND8/BIND9 のキャッシュサーバ(クライアントからの要求を受けて DNS の再帰的問合せを提供するネームサーバ)では、一旦問い合わせに利用するポートを決めると、その後は初期化などの操作が行われない限りはそのポートを利用し続けるという実装になっています。
つまり、もし最初に UDP 1434番ポートが選択された場合、そのキャッシュサーバからの DNS 問合せに対する応答はすべてフィルタリングされてしまい、キャッシュサーバを利用しているユーザの DNS 問い合わせに重大な障害が発生します。
したがって、ウィルスやワームが UDP 53番ポートを利用していることが明らかでない場合は、もしデータの送信・受信先が UDP 1434 番ポートであっても、他方が UDP 53 番ポートのトラフィックはフィルタリングしないことが望まれます。
最後に
今回のような特定のポートを対象とするワームの場合、そのトラフィックをフィルタリングすることは、根本的な解決が行われるまでの暫定的な対応としては有効です。しかし、1024番以上のポートをフィルタリングする場合には、他のサービスへの影響の可能性があるということをご理解いただき、適切な設定を行っていただくようご注意ください。
