H26秋午後 問1 設問1 について
広告
haruさん
(No.1)
FWでは防げない攻撃を選択する問題です。
(ア)外部からDNSサーバ(DMZ内)への攻撃
(イ)外部からWebサーバ(DMZ内)への攻撃
(ウ)外部から内部Webサーバ(内部セグメント内)への攻撃
(エ)外部からファイルサーバ(内部セグメント内)への攻撃
(オ)外部からプロキシサーバ(DMZ内)への攻撃
解答では,「DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている」と書かれているので,インターネット向けに提供されているDNSサーバとインターネットとの通信を遮断することはできず,(ア)が防げないとあります。
しかしながら,同じDMZ内に存在するプロキシサーバへの攻撃は,インターネットからプロキシサーバへの通信を遮断すればいいので,(オ)は防げるとあります。
(ア)の防げない理由が,「インターネット向けのサーバなので,インターネットとの通信は遮断できない」なのに,(オ)の防げる理由が「インターネットとの通信を遮断すればよい」なのが理解できず困っています。
"DNSサーバとプロキシサーバの使用用途の違い"から判断している方も他の質問で見かけましたが,この問題は事前知識(DNSサーバとプロキシサーバの使用用途)を知らないと解けないのでしょうか?
ご教授いただけると幸いです。
(ア)外部からDNSサーバ(DMZ内)への攻撃
(イ)外部からWebサーバ(DMZ内)への攻撃
(ウ)外部から内部Webサーバ(内部セグメント内)への攻撃
(エ)外部からファイルサーバ(内部セグメント内)への攻撃
(オ)外部からプロキシサーバ(DMZ内)への攻撃
解答では,「DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている」と書かれているので,インターネット向けに提供されているDNSサーバとインターネットとの通信を遮断することはできず,(ア)が防げないとあります。
しかしながら,同じDMZ内に存在するプロキシサーバへの攻撃は,インターネットからプロキシサーバへの通信を遮断すればいいので,(オ)は防げるとあります。
(ア)の防げない理由が,「インターネット向けのサーバなので,インターネットとの通信は遮断できない」なのに,(オ)の防げる理由が「インターネットとの通信を遮断すればよい」なのが理解できず困っています。
"DNSサーバとプロキシサーバの使用用途の違い"から判断している方も他の質問で見かけましたが,この問題は事前知識(DNSサーバとプロキシサーバの使用用途)を知らないと解けないのでしょうか?
ご教授いただけると幸いです。
2019.03.04 13:24
?さん
(No.2)
この投稿は投稿者により削除されました。(2019.03.04 17:31)
2019.03.04 17:31
?さん
(No.3)
「>(オ)の防げる理由が「インターネットとの通信を遮断すればよい」」
すいません、これは何かの教材に書いてあったのでしょうか?
インターネットとの通信を遮断すると社内から出れなくなりますが・・
こちらのサイトでは以下のように書かれていました
「X社のセキュリティ要件」の1.2「業務上必要がない通信は全て禁止すること」、およびプロキシサーバの用途は「内部ネットワークからのHTTPアクセスを代理する」ことに限られているので、プロキシサーバへはHTTP以外の通信を許可する必要がありません。さらにHTTP通信に関しても、内部ネットワークからのHTTPリクエストに対応するHTTPレスポンスだけをFWで通過させればよいため、送信元IPアドレス、宛先ポート番号、通信の向きが合致するHTTPレスポンスだけを許可し、他のプロキシサーバ宛てのHTTP通信は全て遮断してしまっても問題は生じません。
以上より、プロキシサーバに対するポートスキャンのパケットは全てFWで防げると判断できます。
すいません、これは何かの教材に書いてあったのでしょうか?
インターネットとの通信を遮断すると社内から出れなくなりますが・・
こちらのサイトでは以下のように書かれていました
「X社のセキュリティ要件」の1.2「業務上必要がない通信は全て禁止すること」、およびプロキシサーバの用途は「内部ネットワークからのHTTPアクセスを代理する」ことに限られているので、プロキシサーバへはHTTP以外の通信を許可する必要がありません。さらにHTTP通信に関しても、内部ネットワークからのHTTPリクエストに対応するHTTPレスポンスだけをFWで通過させればよいため、送信元IPアドレス、宛先ポート番号、通信の向きが合致するHTTPレスポンスだけを許可し、他のプロキシサーバ宛てのHTTP通信は全て遮断してしまっても問題は生じません。
以上より、プロキシサーバに対するポートスキャンのパケットは全てFWで防げると判断できます。
2019.03.04 17:34
双葉さん
(No.4)
これは、DNSサーバとプロキシサーバの用途を予め知っておかないと間違える問題です。
DNSサーバは名前解決に使用されるサーバです。名前解決では、ブラウザのURL欄に
人間の覚えにくいIPアドレスでなく、ドメイン名を入力すればDNSがドメイン名と
IPアドレスを対応させてくれます。WEBサーバのIPアドレスとドメイン名を
紐づける必要があり、DNSサーバを外部から接続できるようにしておかないと
この名前解決は使えません。外部から接続できるようにFWを設定しなくては
ならないので、攻撃を防げないということになります。
プロキシサーバは、社内のPCからインターネットに接続する際に、各PCの
代理をして接続するサーバです。社内のPCは、個別にWEBページを相手のサーバに
リクエストするのではなく、プロキシサーバがWEBページをリクエストします。
リクエストを受けた相手側のサーバは、要求に応じてプロキシサーバにWEBページの
内容データを送信するわけです。この場合、プロキシサーバに対するFWの設定は
外部からの接続を遮断しても問題ありません。ただし、全ての通信を遮断してしまうと、
インターネットに接続できなくなってしまうので、社内からのWEBページのリクエストと
相手からの応答だけを通すようにFWを設定します。攻撃者が攻撃を
仕掛けてきても、リクエストの応答以外のパケットはFWで遮断されるので
攻撃を防げます。
DNSサーバは名前解決に使用されるサーバです。名前解決では、ブラウザのURL欄に
人間の覚えにくいIPアドレスでなく、ドメイン名を入力すればDNSがドメイン名と
IPアドレスを対応させてくれます。WEBサーバのIPアドレスとドメイン名を
紐づける必要があり、DNSサーバを外部から接続できるようにしておかないと
この名前解決は使えません。外部から接続できるようにFWを設定しなくては
ならないので、攻撃を防げないということになります。
プロキシサーバは、社内のPCからインターネットに接続する際に、各PCの
代理をして接続するサーバです。社内のPCは、個別にWEBページを相手のサーバに
リクエストするのではなく、プロキシサーバがWEBページをリクエストします。
リクエストを受けた相手側のサーバは、要求に応じてプロキシサーバにWEBページの
内容データを送信するわけです。この場合、プロキシサーバに対するFWの設定は
外部からの接続を遮断しても問題ありません。ただし、全ての通信を遮断してしまうと、
インターネットに接続できなくなってしまうので、社内からのWEBページのリクエストと
相手からの応答だけを通すようにFWを設定します。攻撃者が攻撃を
仕掛けてきても、リクエストの応答以外のパケットはFWで遮断されるので
攻撃を防げます。
2019.03.04 22:12
双葉さん
(No.5)
すいません、社内からのWEBページへのリクエストというのは、
プロキシサーバからのリクエストのことで、各PCからのリクエストでは
ありません。FWの設定問題がでると間違えかねないので、補足しておきます。
この問題の場合、プロキシサーバを経由せずにインターネットに接続することは
禁止なので、社内の各PCから直接WEBページにリクエストを送るような
パケットはFWで遮断です。
プロキシサーバからのリクエストのことで、各PCからのリクエストでは
ありません。FWの設定問題がでると間違えかねないので、補足しておきます。
この問題の場合、プロキシサーバを経由せずにインターネットに接続することは
禁止なので、社内の各PCから直接WEBページにリクエストを送るような
パケットはFWで遮断です。
2019.03.04 22:25
haruさん
(No.6)
> ?さん
ありがとうございます!
無知なもので解答を簡潔に書きすぎて,必要な情報を省いてしまっていたようで申し訳ありません。
いま使っている問題集"平成30-01年度 応用情報技術者 試験によくでる問題集【午後】"には,「プロキシサーバは社内のPCから社外のWebサイトへのHTTP通信に使用するサーバです。したがって,FWにおいてインターネットからプロキシサーバへの通信を禁止(遮断)すれば,プロキシサーバを狙ったポートスキャンパケットは全て遮断できます。」とありました。
今回のような状況では,プロキシサーバは"社内⇒社外"が前提で,その応答だけの道を確保しておけばいいので,全ての道を片っ端から通信して,抜け道を探していくポートスキャン攻撃は効かないよ!っということですね。
ものすごくすっきりと理解することができました!本当に助かりました!
2019.03.05 09:22
haruさん
(No.7)
> 双葉さん
やはり,用途を知っておく必要はあるのですね、、
ネットワークや機器に関する単語の理解が皆無なので,どうにか問題文だけから解いていけるかなと思ったのですが,おとなしく1つずつ確認していこうと思います。
教えていただいた内容は,言葉足らずな部分はあると思いますが「DNSサーバはインターネット上の何がくるかわからない相手のドメイン名をIPアドレスに変換しなければいけないので,FWで必要な道だけを確保しておくことが難しい。」,「プロキシサーバは社内⇒社外への通信が前提としてあって,その応答用の道だけさえあれば,今回の場合は困らないので,FWで応答用の道だけを許可して,それ以外の道は遮断してしまってもかまわない。」ということだと解釈しました。
本当に丁寧にわかりやすい解説をありがとうございました!
本当に助かりました!
2019.03.05 09:31
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。