平成26年秋期 午後問1 設問1
広告
野獣さん
(No.1)
FWでは防げない攻撃を解答群から選択する問題です。
正解の1つである(ア)はなぜ防ぐことができないのでしょうか?
(オ)を防げる理由は、FWにおいてインターネットからプロキシサーバの通信を禁止(遮断)すれば、プロキシサーバを狙ったポートスキャンパケットはすべて遮断できるからです。
同様に、FWにおいてインターネットからDNSサーバへの通信を禁止(遮断)すれば、DNSサーバを狙った外部からの不正アクセス攻撃を防げると思います。(イ)
しかし、問題文の冒頭に、「DMZには、インターネット向けのメール転送サーバ、DNSサーバ、Webサーバ、プロキシサーバが設置されている」とあり、インターネットからこれらのサーバへの通信が許可されていることを考えると、(ア)、(イ)、(オ)の3つが防げない攻撃になってしまいます。
前提の通信を許可していることと、通信を禁止して攻撃を防ぐことが矛盾していると思います。
正解の1つである(ア)はなぜ防ぐことができないのでしょうか?
(オ)を防げる理由は、FWにおいてインターネットからプロキシサーバの通信を禁止(遮断)すれば、プロキシサーバを狙ったポートスキャンパケットはすべて遮断できるからです。
同様に、FWにおいてインターネットからDNSサーバへの通信を禁止(遮断)すれば、DNSサーバを狙った外部からの不正アクセス攻撃を防げると思います。(イ)
しかし、問題文の冒頭に、「DMZには、インターネット向けのメール転送サーバ、DNSサーバ、Webサーバ、プロキシサーバが設置されている」とあり、インターネットからこれらのサーバへの通信が許可されていることを考えると、(ア)、(イ)、(オ)の3つが防げない攻撃になってしまいます。
前提の通信を許可していることと、通信を禁止して攻撃を防ぐことが矛盾していると思います。
2016.09.18 17:27
OC2さん
(No.2)
正解の1つである(ア)はなぜ防ぐことができないのでしょうか?
同様に、FWにおいてインターネットからDNSサーバへの通信を禁止(遮断)すれば、DNSサーバを狙った外部からの不正アクセス攻撃を防げると思います。(イ)
⇒どこかのインターネット上のキャッシュDNSサーバがX社のDNSサーバへ
問合せをしているのはご存知かと思いますが
FWから内向きのDNSサーバへの通信を禁止(遮断)することはできないのです
FWのパケットフィルタリングではヘッダ部しか検査しませんので、
もしデータ部に攻撃用データが含まれていた場合、DNSサーバへ攻撃できてしまいす
野獣さん、ご理解頂けましたでしょうか?
頑張って下さい。。。。。。
OC2
2016.09.18 21:53
たっくんさん
(No.3)
OC2さんもおっしゃるように、そもそもDMZにDNSサーバを設置するのは、
X社資源に対する、インターネット側からの名前解決の問い合わせに対応するためです。
よって、FWでインターネットと、DMZ内のDNSサーバの通信を許可する必要があるため、
そのパケットの上位層に、なんらかの攻撃用データが組み込まれていた場合に、
FWではフィルタリングできませんので、不正攻撃が成功してしまいます。
X社資源に対する、インターネット側からの名前解決の問い合わせに対応するためです。
よって、FWでインターネットと、DMZ内のDNSサーバの通信を許可する必要があるため、
そのパケットの上位層に、なんらかの攻撃用データが組み込まれていた場合に、
FWではフィルタリングできませんので、不正攻撃が成功してしまいます。
2016.09.19 09:15
野獣さん
(No.4)
OC2さん、たっくんさん
回答していただきありがとうございます。
外部からDNSサーバへの通信は必要なのですね。
1つ確認したいことがあります。
プロキシサーバは社内のPCから社外WebサイトへのHTTP通信をするときにしか使わないから、外部からプロキシサーバへの通信を遮断しても問題ないという事で間違いないでしょうか?
回答していただきありがとうございます。
外部からDNSサーバへの通信は必要なのですね。
1つ確認したいことがあります。
プロキシサーバは社内のPCから社外WebサイトへのHTTP通信をするときにしか使わないから、外部からプロキシサーバへの通信を遮断しても問題ないという事で間違いないでしょうか?
2016.09.19 13:01
たっくんさん
(No.5)
プロキシサーバは、社内LANからのHTTPリクエストに対する、
HTTPレスポンスを通過させる必要があります。
ですので、インターネット側からプロキシサーバへの通信を、
全て遮断させる事はできません。
HTTPレスポンスを通過させる必要があります。
ですので、インターネット側からプロキシサーバへの通信を、
全て遮断させる事はできません。
2016.09.19 15:41
OC2さん
(No.6)
外部からプロキシサーバへの通信を遮断しても問題ないです
⇒その考え方で正しいです
実際、FWで外部からプロキシサーバに向けた通信を遮断してしまうと
プロキシサーバ側から外部のWebサーバに代理接続できないものと思われがちですが
普通、FWでは動的パケットフィルタリングを行っています
外部のWebサーバにアクセスした通信ログを一時保存しておき
Webサーバからの応答パケットは通信ログを見て矛盾がないか検査してから
通過させるようFWで制御しています
野獣さん、もし良かったら動的(ダイナミック)パケットフィルタリングについて
詳しく調べてみて下さい、、、
たっくんさん、、、、、この回答で正しいでしょうか???
OC2
2016.09.19 15:55
たっくんさん
(No.7)
この投稿は削除されました。(2016.09.19 16:50)
2016.09.19 16:50
たっくんさん
(No.8)
OC2さんへ。
補足説明していただき、ありがとうございます(^^)
いただいたご説明をふまえまして、
野獣さんからの「外部からプロキシサーバのアクセス遮断」のご質問については、
まず、X社PCからのHTTPリクエストに対するHTTPレスポンスは、
FWの動的フィルタリングによって、問題ない場合はFWを通過させ、
プロキシサーバを経由して、X社PCに返信されるという認識です。
問題選択肢にある、外部からのポートスキャンは、FWで遮断できますが、
偽装されたHTTPレスポンスは、遮断できないと思いますので、
外部からプロキシサーバへのアクセスを、
FWで完全に遮断はできないのでは…と思った次第です。
補足説明していただき、ありがとうございます(^^)
いただいたご説明をふまえまして、
野獣さんからの「外部からプロキシサーバのアクセス遮断」のご質問については、
まず、X社PCからのHTTPリクエストに対するHTTPレスポンスは、
FWの動的フィルタリングによって、問題ない場合はFWを通過させ、
プロキシサーバを経由して、X社PCに返信されるという認識です。
問題選択肢にある、外部からのポートスキャンは、FWで遮断できますが、
偽装されたHTTPレスポンスは、遮断できないと思いますので、
外部からプロキシサーバへのアクセスを、
FWで完全に遮断はできないのでは…と思った次第です。
2016.09.19 17:00
たっくんさん
(No.9)
僕の言葉不足で申し訳ないのですが、ちょっと補足させてください。
外部からの「一方的な」プロキシサーバへの通信は、もちろん遮断する必要がありますが、
内部からのリクエストに対するレスポンスは、FWで検査して通す必要があり、
場合によっては(偽装による)不正攻撃を、FWでは遮断できないということを、
野獣さんのご質問の文面から、ご理解されているかどうか不安だったものですから、
ちょっと長々と書き込みさせていただきました。。。
外部からの「一方的な」プロキシサーバへの通信は、もちろん遮断する必要がありますが、
内部からのリクエストに対するレスポンスは、FWで検査して通す必要があり、
場合によっては(偽装による)不正攻撃を、FWでは遮断できないということを、
野獣さんのご質問の文面から、ご理解されているかどうか不安だったものですから、
ちょっと長々と書き込みさせていただきました。。。
2016.09.19 17:57
OC2さん
(No.10)
すいません、たっくんさん
たっくんさんのおっしゃるとうり
「問題選択肢にある、外部からのポートスキャンは、FWで遮断できますが、
偽装されたHTTPレスポンスは、遮断できない」と思います
外部からのポートスキャンを悪用した攻撃はFWで防げます
すいません、野獣さん
動的パケットフィルタリングは一度忘れてください
要求に対しての回答パケットを理解してもらうために
ご説明したのですが、説明不足でした
OC2
たっくんさんのおっしゃるとうり
「問題選択肢にある、外部からのポートスキャンは、FWで遮断できますが、
偽装されたHTTPレスポンスは、遮断できない」と思います
外部からのポートスキャンを悪用した攻撃はFWで防げます
すいません、野獣さん
動的パケットフィルタリングは一度忘れてください
要求に対しての回答パケットを理解してもらうために
ご説明したのですが、説明不足でした
OC2
2016.09.19 19:29
野獣さん
(No.11)
OC2さん、たっくんさん
ご丁寧に回答していただきありがとうございます。
外部からのポートスキャンは許可するポート番号を指定することで防げるということですね。
午後問題の解説がWeb上を探しても見つからなかったので大変助かりました。
ご丁寧に回答していただきありがとうございます。
外部からのポートスキャンは許可するポート番号を指定することで防げるということですね。
午後問題の解説がWeb上を探しても見つからなかったので大変助かりました。
2016.09.20 20:07
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。