ネットワーク図とセキュリティについて質問です

Jさん  
(No.1)
初歩的な質問で申し訳ないのですが、

サーバA ― FW
            |
          サーバB

というネットワーク図があったとして、
・FWによってサーバAを送信元とした通信はすべて許否されています。
・FWによってサーバBからサーバAに対する通信は許可されています。

このような状況で、サーバAがマルウェアに感染した場合、サーバBがサーバAからマルウェアをもらってしまう(感染させられてしまう)ことはあるのでしょうか?
2022.03.13 17:24
Jさん  
(No.2)
サーバBの|が左に寄ってますね…。
FWの真下に|があると想定してくだされば幸いです。
2022.03.13 17:24
GinSanaさん 
AP プラチナマイスター
(No.3)
この投稿は投稿者により削除されました。(2022.03.14 13:09)
2022.03.14 13:09
Jさん  
(No.4)
しかし、FWの設定でAを送信元とした通信はすべて拒否されています。(FTPやHTTP、DNSなどすべてのプロトコルで)
この場合でもAとつながっている他セグメントのサーバに感染することはあるのでしょうか?
2022.03.14 09:29
GinSanaさん 
AP プラチナマイスター
(No.5)
拒否ですか。許否だったので、許可されているとよんでました。すみません。
そうなると、受け渡しとかが発生しないので、ないですね。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_1/2018h30h_sc_pm1_qs.pdf
SCの平成30年春のPM1の問3、P18の表3のようなFWルールならそうなります。
2022.03.14 13:12
Jさん  
(No.6)
こちらの変換誤字で許否→拒否ですね。
こちらこそ失礼いたしました。
その場合、受け渡しが発生しないので感染はない。と理解しました。
どうもありがとうございました。
2022.03.19 05:05
Jさん  
(No.7)
要約すると、考え方としては以下の通りでいいのでしょうか。

サーバAとサーバBは別セグメントにあり、
サーバAからサーバBへの通信は拒否
サーバBからサーバAへの通信は許可
の状況で、サーバAがマルウェアに感染したとしても、
サーバBからサーバAへの通信時に、サーバBがマルウェアに感染することはない。

2022.03.19 12:42
陽射さん 
AP ブロンズマイスター
(No.8)
>サーバAからサーバBへの通信は拒否
>サーバBからサーバAへの通信は許可


とのことですが、サーバBからサーバAへのリクエスト送信に対する、
サーバAからの応答パケットの扱いはどうなりますか?

サーバBからサーバAへの通信時に、
上記応答がFW上で拒否されている場合、感染はありません。
上記応答がFW上で許可されている場合、感染はあり得ます。

一般論になりますが、FWにステートフルインスペクションやダイナミックパケットフィルタリングが
実装されている場合、許可されていない通信方向でも戻りパケットは、正常な通信と見なされ許可されます。
2022.03.19 16:02
Jさん  
(No.9)
なるほど。
応答パケットを通過させるかどうかというFW設定もあるのですね。
一般に、応答パケットについての言及はなく、「BからAへの通信を拒否する」という記載しかなかった場合、BからAへの応答パケットは通るのでしょうか?通らないのでしょうか?
特に一般化されていないのでしょうか?

2022.03.19 16:08
陽射さん 
AP ブロンズマイスター
(No.10)
>一般に、応答パケットについての言及はなく、「BからAへの通信を拒否する」という記載しかなかった場合、
>BからAへの応答パケットは通るのでしょうか?通らないのでしょうか?


この一文だけでは判断が難しいところです。
本文や図にBへのアクセスが必要な運用の記述があれば戻りパケットは通るものと考えてよいです。

例えば、「AからBに対して監視・正常性確認などでICMPやHTTPを許可している」のような一文があれば、
戻りパケットを受信しなければ、通信が成立しないので戻りパケットは許可していると考えられます。

>特に一般化されていないのでしょうか?

フィルタリングについて、本文や注釈に戻りパケットを拒否するような記述がなければほぼ許可されていると思ってよいです。
出題によっては、あえて記載しているケースもあります。



https://www.ap-siken.com/kakomon/03_haru/pm05.html
本文:FW#3では~~ネットワークアドレスが10.10.0.0のIPパケットとその返信IPパケットだけを通信許可する設定になっている。

https://www.ap-siken.com/kakomon/03_aki/pm05.html
表2 注記3 L3SWのダイナミックパケットフィルタリング機能によって、戻りパケットは通過できるものとする。
2022.03.19 17:06
Jさん  
(No.11)
詳しく教えていただきありがとうございました!
添付いただいた過去問も解いてみました。

ふと疑問に思ったのですが、
Zサーバ - L2SW - L3SW - FW - インターネット
というネットワーク図があった場合、
ZサーバからZ2SWに送出されるのはパケットではなくフレーム。
L2SWからL3SWに送出されるのもフレーム。
L3SWからFW以降に送出されるのがパケット。
という理解であってますでしょうか?
2022.03.20 17:30
陽射さん 
AP ブロンズマイスター
(No.12)
すべてフレームです。パケットにフレームのヘッダを付加して包み込んだものがフレームです。
フレームはざっくりいうと、パケットにMACアドレス(送信元、宛先)が外側に付加されたものです。
このMACアドレスはルータやL3SW、FWなどを通過する都度(※)、付け替えされます。


※例外はありますので、だいたい当てはまると思ってください。

Zサーバは、L3SWのMACアドレスめがけて通信する
L3SWはFWのMACアドレスめがけて通信する
L2SWではMACアドレスの付け替えはしないが、どのポートから出力するかを選別する。


前回の説明で混乱させてはいけないので、はじめの話にもどりますが、

>・FWによってサーバAを送信元とした通信はすべて許否されています。
>・FWによってサーバBからサーバAに対する通信は許可されています。

サーバBからサーバAに対して許可するということは、運用で使うために
そのように設定されていると考えられます。

殆どの場合、戻りパケットを受信しないと通信が成立しないので、
戻りパケットは許可されるようになっています。
2022.03.21 13:51
Jさん  
(No.13)
なるほど。
フレームに何らかの情報が付与されるとパケットになるんだな~と思っていたのですが、
どうやら逆だったようですね。
テキストにネットワーク層を流れるのはパケット、データリンク層を流れるのはフレームと記載があった気がして…。
L3(ネットワーク層)SWでフレームからパケットに変換されるのかなと思ったのですが、そういうわけではないのですね。
2022.03.21 18:33

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop