328.1 ネットワークの堅牢化

今回は303試験の試験範囲から「328.1 ネットワークの堅牢化」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.1 ネットワークの堅牢化＞
重要度     4

＜説明＞
一般的な脅威に対してネットワークをセキュアにする能力が求められる。これには、セキュリティの測定効果の検証も含まれる。
    
＜主要な知識範囲＞
・FreeRADIUSを設定したネットワークノードの認証。
・nmapを使用したネットワークとホストのスキャン。異なるスキャン方法を含む。
・Wiresharkを使用したネットワークのトラフィック分析。フィルタと統計を含む。
・不正RA(ルータ広告）とDHCPメッセージの識別と処理。

＜重要なファイル、用語、ユーティリティ＞
・radiusd
・radmin
・radtest, radclient
・radlast, radwho
・radiusd.conf
・/etc/raddb/*
・nmap
・wireshark
・tshark
・tcpdump
・ndpmon

■例題
FreeRadiusのfilesモジュールのユーザファイルに、以下が設定されているとした場合、
説明として正しいものを選択してください。

[/etc/raddb/users]
user01        Cleartext-Password := "password"
              Framed-IP-Address = 10.1.1.10,
              Framed-IP-Netmask = 255.255.255.0

DEFAULT       Auth-Type := PAM

※PAMの認証モジュールは有効化されているものとする
※PAMの設定も完了しているものとする

1. Auth-TypeにPAMが指定されているため、user01では認証できない
2. この設定では、PAM経由で認証を行うことはできない
3. user01で認証できるのは10.1.1.10/24からのアクセス時のみである
4. user01で認証した場合、Framed-IP-Address属性に10.1.1.10がセットされる

※この例題は実際の試験問題とは異なります。

まずRadiusの概要についてです。
Radiusとは、ネットワーク通信を行うための認証や、ユーザの通信時間やデータ量の計測などに利用されるプロトコルです。

Radiusサーバは、WifiのコントローラやVPNの装置などと連携してよく使われます。Radiusサーバに対して、このような装置をRadiusクライアントまたはNAS(Network Access Server)と呼びます。

FreeRadiusは、上記のRadiusプロトコルを実装した認証サーバです。
FreeRadiusには、PostgreSQLやMySQL、LDAPなど様々なデータベースと連携するためのモジュールが用意されています。

filesモジュールは、認証情報をファイルで管理するためのモジュールです。

ファイル名の各エントリはユーザ名で始まります。

[該当箇所抜粋]
user01        Cleartext-Password := "password"

例外としてDEFAULTで始まるエントリは、任意のユーザ名とマッチします。

[該当箇所抜粋]
DEFAULT       Auth-Type := PAM

エントリはファイルの上から順に処理されます。通常、最初にマッチしたエントリで認証の処理が行われ処理を終了します。どのエントリにもマッチしなかった認証要求がDEFAULTのエントリで処理されます。例題の場合では、user01→DEFAULTの順で処理されます。

各エントリでは、属性の設定や属性の検査をすることができます。属性の追加や検査などは、=や:=などのオペレータで設定します。主なオペレータは以下の通りです。

属性 = 値   … 同じ属性が無い場合に、属性値を設定します。設定された属性は、Radiusクライアントへ返されます。
属性 := 値  … Radiusクライアントから送信した同じ名前の属性と一致するか検査を行ないます。属性が無い場合も検査が行われます。
属性 == 値  … Radiusクライアントから送信した同じ名前の属性と一致するか検査を行ないます。属性が存在しない場合は、検査を行ないません。
属性 != 値  … Radiusクライアントから送信した同じ名前の属性と一致しないことを検査します。属性が存在しない場合は、検査を行ないません。

また特殊属性としてAuth-Typeが用意されています。この属性は、そのユーザで使用する認証タイプを識別するために利用します。例題の場合では、DEFAULTの認証タイプとしてPAMが設定されています。このため、user01以外のユーザはPAM経由で認証が行われます。

これらのことから、「4. user01で認証した場合、Framed-IP-Address属性に10.1.1.10がセットされる」が正解になります。その他の回答の解説は以下のとおりです。

[1. Auth-TypeにPAMが指定されているため、user01では認証できない]
例題の場合、user01のエントリの方が先に記載されているため、user01での認証は可能です。
そのため、この回答は不正解です。

[2. この設定では、PAM経由で認証を行うことはできない]
user01以外のユーザは、PAM経由で認証するためこの選択肢は誤りです。

[3. user01で認証できるのは10.1.1.10/24からのアクセス時のみである]
Framed-IP-Address/Framed-IP-Netmask属性は、クライアントに返す属性としてセットされているため、アクセス制御とは無関係です。この選択肢も誤りです。

FreeRadiusを利用することで、様々な認証データベースと連携した認証サーバを構築することができます。認証統合を行う上で欠かせない知識ですので、使い方をよく覚えておきましょう。