HOME»応用情報技術者試験掲示板»平成23年特別 午後問5
投稿する
と言っておきながら、
と設定できています。
矛盾していますが、どういうことでしょうか?
変更される可能性とその対処については覚えておく必要があります。
もちろん、その点は理解しています。
しかし、こちらで「できない」と言い切っているので矛盾しています。
すみません。言葉の綾の問題ということを質問されているのでしょうか?
それとも日本語の読解の問題でしょうか?
問題文には「できない」ではなく、「適切に行うことができない」と書かれています。
・「機能としてできない(機能がない)」のではなく
・「適切に行うことができない(意味のある結果が返ってこない、無意味)」です
いくらアクセス元IPアドレスを検査しても、リバースプロキシサーバのものしか
返ってこないで、これではアクセス制御の意味をなさないです。
XFFについては例外です。APでは問われることがないので考慮する必要はないです。
»[4066] 平成28年秋期午後問8 モジュール結合度について 投稿数:3
»[4065] 再帰的、再入可能や再配置可能のイメージ 投稿数:11
平成23年特別 午後問5 [4068]
さえきさん(No.1)
>①変更後のシステム構成(図2)では,各Webサーバ(192.168.5.201,192.168.5.202 及び 192.168.5.203)でアクセス制御を適切に行うことができない。
と言っておきながら、
>そこで,②ファイアウォールのパケットフィルタに,携帯電話端末からのアクセス時に使用されるIPアドレスの範囲以外からの通信を禁止する設定を追加する
と設定できています。
矛盾していますが、どういうことでしょうか?
2023.03.21 17:13
pixさん(No.2)
★AP シルバーマイスター
プロキシサーバ経由のアクセスと送信元IPアドレスの変化についての問題です。
Webサーバをapacheと仮定して、例をあげます。
変更前のシステムは携帯電話端末が直接Webサーバへ通信するため、Webサーバ側で
送信元IPアドレスを参照すると携帯電話端末のIPアドレスがわかりました。
そのIPアドレスを「Require ip」ディテクティブを用いてアクセス制御することが
可能でした。
変更後のシステムはアクセス経路が、
[携帯電話端末]->[リバースプロキシサーバ]->[Webサーバ]に変化します。
そのためWebサーバ側で送信元IPアドレスを参照するとすべて、リバースプロキシ
サーバのIPアドレスとなってしまいます。
これではアクセス元が携帯電話端末かそれ以外かを判別することができず、
「Require ip」ディテクティブでアクセス制御することができません。
以上の理由でWebサーバでアクセス制御ができなくなりました。
そのため、FW1ならばリバースプロキシサーバを通過する前なので、送信元IPアドレスが
携帯電話端末のままです。
したがって、FW1のパケットフィルタを利用してアクセス制御することとなりました。
本問の技術背景としてXFF(X-Forwarded-For)があります。
XFF HTTPヘッダはプロキシサーバを通過するたびに、最初の機器のIPアドレスと
通過したプロキシサーバの情報を追加していきます。
実際の運用では送信元IPアドレスが変化してしまっても、XFFをRequire exprで
文字列として検査することにより、アクセス元を判別することも可能です。
APの問題でXFFまで追求されることはないとは思います。
しかし、Webサーバへのアクセスでプロキシサーバを経由すると送信元IPアドレスが
変更される可能性とその対処については覚えておく必要があります。
Webサーバをapacheと仮定して、例をあげます。
変更前のシステムは携帯電話端末が直接Webサーバへ通信するため、Webサーバ側で
送信元IPアドレスを参照すると携帯電話端末のIPアドレスがわかりました。
そのIPアドレスを「Require ip」ディテクティブを用いてアクセス制御することが
可能でした。
変更後のシステムはアクセス経路が、
[携帯電話端末]->[リバースプロキシサーバ]->[Webサーバ]に変化します。
そのためWebサーバ側で送信元IPアドレスを参照するとすべて、リバースプロキシ
サーバのIPアドレスとなってしまいます。
これではアクセス元が携帯電話端末かそれ以外かを判別することができず、
「Require ip」ディテクティブでアクセス制御することができません。
以上の理由でWebサーバでアクセス制御ができなくなりました。
そのため、FW1ならばリバースプロキシサーバを通過する前なので、送信元IPアドレスが
携帯電話端末のままです。
したがって、FW1のパケットフィルタを利用してアクセス制御することとなりました。
本問の技術背景としてXFF(X-Forwarded-For)があります。
XFF HTTPヘッダはプロキシサーバを通過するたびに、最初の機器のIPアドレスと
通過したプロキシサーバの情報を追加していきます。
実際の運用では送信元IPアドレスが変化してしまっても、XFFをRequire exprで
文字列として検査することにより、アクセス元を判別することも可能です。
APの問題でXFFまで追求されることはないとは思います。
しかし、Webサーバへのアクセスでプロキシサーバを経由すると送信元IPアドレスが
変更される可能性とその対処については覚えておく必要があります。
2023.03.21 17:50
さえきさん(No.3)
>しかし、Webサーバへのアクセスでプロキシサーバを経由すると送信元IPアドレスが
変更される可能性とその対処については覚えておく必要があります。
もちろん、その点は理解しています。
>①変更後のシステム構成(図2)では,各Webサーバ(192.168.5.201,192.168.5.202 及び 192.168.5.203)でアクセス制御を適切に行うことができない。
しかし、こちらで「できない」と言い切っているので矛盾しています。
2023.03.21 18:18
pixさん(No.4)
★AP シルバーマイスター
>しかし、こちらで「できない」と言い切っているので矛盾しています。
すみません。言葉の綾の問題ということを質問されているのでしょうか?
それとも日本語の読解の問題でしょうか?
問題文には「できない」ではなく、「適切に行うことができない」と書かれています。
・「機能としてできない(機能がない)」のではなく
・「適切に行うことができない(意味のある結果が返ってこない、無意味)」です
いくらアクセス元IPアドレスを検査しても、リバースプロキシサーバのものしか
返ってこないで、これではアクセス制御の意味をなさないです。
XFFについては例外です。APでは問われることがないので考慮する必要はないです。
2023.03.21 18:34
pixさん(No.5)
★AP シルバーマイスター
補足です。
Webサーバではアクセス元IPアドレス変更後なので「適切に行うことができない」ですが、
FW1ではアクセス元IPアドレス変更前なので「適切に行うことができます」
Webサーバではアクセス元IPアドレス変更後なので「適切に行うことができない」ですが、
FW1ではアクセス元IPアドレス変更前なので「適切に行うことができます」
2023.03.21 18:39
その他のスレッド
»[4067] 応用情報技術者過去問題 平成30年春期 午後問3 投稿数:2»[4066] 平成28年秋期午後問8 モジュール結合度について 投稿数:3
»[4065] 再帰的、再入可能や再配置可能のイメージ 投稿数:11