| エンタープライズ:ニュース | 2003/02/07 21:31:00 更新 |
Slammer対策に意外な落とし穴
日本レジストリサービスは、Slammerへの対処として取られた特定ポートに対するフィルタリングが、DNSに影響を及ぼす可能性があるとして注意を促す文書を公開した。
ちょうど2週間前に発生し、内外のネットワークに大きな影響を与えたワーム「Slammer」の対策法に、意外な落とし穴が存在することが明らかになった。udp/1434ポートのフィルタリングが、インターネットの主要なサービスであるDNSなどに影響を及ぼす恐れがあるという。
日本レジストリサービス(JPRS)は2月7日、Slammerへの対処として取られた特定ポートに対するフィルタリングが、DNSに影響を及ぼす可能性があるとして注意を促す文書を公開した。
通常、クライアントからDNSサーバに対する問い合わせには、udp/53ポートが利用される。だがDNSサーバからクライアントに対する応答では、決まったポート番号が用いられるわけではなく、1024番以降の任意のudpポートが選ばれるようになっている。つまり、udp/1434が選ばれる可能性もあるということだ。
したがって、Slammer対策としてudp/1434をフィルタリングし、無条件にアクセスを拒否するようにしていると、DNS応答までもが破棄されてしまうケースがある。こうなると名前解決がうまく行えず、結果として通常のインターネットアクセスができなくなってしまう。
特にDNSサーバとして広く用いられている「BIND8」「BIND9」をキャッシュサーバとして利用している場合、最初にあるポートを選択してしまうと、初期化などを行わない限りそのまま同じポートを利用し続けることになるため、被害が大きくなるという(ただし、djbdnsなど、応答用ポートが動的に変更される別の実装もある)。
JPRSではこうした問題点を踏まえ、udp/1434を使うパケットを無条件に破棄する代わりに、パケットの宛先/送信元がudp/1434であってももう一方がudp/53である場合には、そのトラフィックはフィルタリングしないよう、より柔軟な設定を行うよう提案している。ただし、これはあくまで、当該ウイルスやワームがudp/53を利用していないことを前提とした、「根本的な解決が行われるまでの暫定的な対応」(JPRS)に過ぎない。
Slammerではたまたま、DNSという重要なサービスに対する影響が指摘されたわけだが、実はDNS以外にも、1024-65535/udpの範囲で、利用するポートを動的に決めるアプリケーションは存在する。社内/取引先との間でそうしたアプリケーションを利用している場合、単純なフィルタリングでは同様に影響を受ける可能性が高い。
したがって、フィルタリングは確かに有効ではあるが、水際でウイルスやワームを食い止めるだけの一時的な対策に過ぎないことを頭に入れ、なるべく速やかにパッチの適用という根本的な対策を取ることが重要だ。
関連記事
続報:犯人は「Slammer」――各社が新種のワームを警告 関連リンク
日本レジストリサービス[高橋睦美,ITmedia]
