平成21年春期問9(情報セキュリティ)データの流れ
広告
今回受かりたいさん
(No.1)
表題の情報セキュリティを勉強しています。
ネットワーク構成からのそれぞれのデータの流れがわからなくてなんとなく問題を解いてます。
合格教本やネットで調べたのですがうまく調べられてないのか腑におちず。。。。
設問2のcとdについて
図1のネットワーク構成を見ると
外部からのアクセスの場合
インターネット→ファイアーウォール1→DMZ→ファイアーウォール2→社内LAN
内部から外部の場合
社内LAN→ファイアーウォール2→DMZ→ファイアーウォール1→インターネット
とデータは流れており、ファイアーウォールのNAPT機能によりIPがそれぞれ書き換えられていますよね
cの場合クライアントpcからファイアーウォール2によって書き換えられてIPアドレスは全て「220.1xx.2xx.4」となりDMZ地帯を通り、次にファイアーウォール1を通り外のインターネットに出ていく。
このOUTの時はファイアーウォール1の線に書かれている「220.1xx.2xx.3」は関係なく、送信元は「220.1xx.2xx.4」ということでしょうか?
またdの場合
インターネットからの送信もとIPアドレス「210.2yy.1yy.100」はファイアウオール1を通して「220.1xx.2xx.3」となりDMZを通りファイアーウォール2経由して社内LANにINする
ファイアーウォール2の線に書かれている「220.1xx.2xx.4」は関係なく送信もとは「220.1xx.2xx.3」
という認識であってますでしょうか?? ファイアーウォールを通してIPアドレスを変換するのはファイアーウォールから伸びた先への通信のみ??
長文で見当違いなことを書いているかもしれませんがご回答いただけたら幸いです。
またこの手の問題が多数のったドリル的なものもあれば教えてもらいたいです。
ネットワーク構成からのそれぞれのデータの流れがわからなくてなんとなく問題を解いてます。
合格教本やネットで調べたのですがうまく調べられてないのか腑におちず。。。。
設問2のcとdについて
図1のネットワーク構成を見ると
外部からのアクセスの場合
インターネット→ファイアーウォール1→DMZ→ファイアーウォール2→社内LAN
内部から外部の場合
社内LAN→ファイアーウォール2→DMZ→ファイアーウォール1→インターネット
とデータは流れており、ファイアーウォールのNAPT機能によりIPがそれぞれ書き換えられていますよね
cの場合クライアントpcからファイアーウォール2によって書き換えられてIPアドレスは全て「220.1xx.2xx.4」となりDMZ地帯を通り、次にファイアーウォール1を通り外のインターネットに出ていく。
このOUTの時はファイアーウォール1の線に書かれている「220.1xx.2xx.3」は関係なく、送信元は「220.1xx.2xx.4」ということでしょうか?
またdの場合
インターネットからの送信もとIPアドレス「210.2yy.1yy.100」はファイアウオール1を通して「220.1xx.2xx.3」となりDMZを通りファイアーウォール2経由して社内LANにINする
ファイアーウォール2の線に書かれている「220.1xx.2xx.4」は関係なく送信もとは「220.1xx.2xx.3」
という認識であってますでしょうか?? ファイアーウォールを通してIPアドレスを変換するのはファイアーウォールから伸びた先への通信のみ??
長文で見当違いなことを書いているかもしれませんがご回答いただけたら幸いです。
またこの手の問題が多数のったドリル的なものもあれば教えてもらいたいです。
2022.09.12 00:14
jjon-comさん
★AP プラチナマイスター
(No.2)
本来,通信を実現したい,送信元と受信先があるとします。
送信元IPアドレスを s,受信先IPアドレスを d,
ある別のネットワーク機器XのIPアドレスを x とします。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが d。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは s のまま,受信先IPアドレスも d のままであるなら,
機器Xは(通常の)ルータです。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが d。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは「変換され」,受信先IPアドレスは d のままであるなら,
機器Xは NATやNAPTなどのIPアドレス変換機能を有しています。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが「x」。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは s のまま,受信先IPアドレスは「d」になったなら,
機器Xはプロキシサーバです。
--------
送信元のIPアドレスが書き換えられているのか,
受信先のIPアドレスが書き換えられているのか,
きちんと言葉にしておくと良いでしょう。
(ファイアウォール1には「IPアドレスの変換機能」は書いていないので)
ファイアウォール2のNAPT機能により
「送信元のIPアドレス」がそれぞれ書き換えられていますよね,
とおっしゃっているのなら,はい,それで正しいです。
着目点を変えるならば。
社内LAN上のクライアントPCから,インターネット上のWebサイトを参照する際,
「受信先のIPアドレス」は,社内LAN上においても,DMZ上においても
インターネット上においても,すべて変わらず
インターネット上のWebサイトを指すグローバルIPアドレスになっています。
--------
はい,それで正しいです。
ファイアウォール2のIPアドレス変換機能により
このパケットの送信元IPアドレスは「ファイアウォール2の上側のNIC」になります。
すなわち「送信元のIPアドレス」は 220.1xx.2xx.4 に書き換わります。
--------
送信元のIPアドレスが 220.1xx.2xx.4 であることは前述のとおり。
220.1xx.2xx.3 は,DMZにとってのデフォルトゲートウェイです。
送信元IPアドレスではありません。
--------
いいえ,間違っています。そのパケットの送信元IPアドレスは,
DMZ内においても 210.2yy.1yy.100 のままです。
要点1として,
ファイアウォール1にはIPアドレス変換機能がない(問題文に書かれていない)です。
要点2として,
仮にファイアウォール1にIPアドレス変換機能があったとしても,
次の(a)と(b)とでは扱いが異なります。
(a) インターネットからQ社にやってくるパケット
(b) Q社からインターネットにTCPで出て行き,
そのレスポンスとして,インターネットからQ社に戻ってくるパケット
仮にファイアウォール1にIPアドレス変換機能があった場合,
(a)ならば,送信元IPアドレスの変換が行われるでしょうが,
(b)は「Q社からインターネット方向への接続」によって生成された
NAPT変換テーブルの内容を用いて,レスポンスを逆方向に流せます。
送信元IPアドレスを s,受信先IPアドレスを d,
ある別のネットワーク機器XのIPアドレスを x とします。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが d。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは s のまま,受信先IPアドレスも d のままであるなら,
機器Xは(通常の)ルータです。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが d。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは「変換され」,受信先IPアドレスは d のままであるなら,
機器Xは NATやNAPTなどのIPアドレス変換機能を有しています。
ネットワーク機器Xを通過する前のパケットの
送信元IPアドレスが s,受信先IPアドレスが「x」。
ネットワーク機器Xを通過した後のパケットの
送信元IPアドレスは s のまま,受信先IPアドレスは「d」になったなら,
機器Xはプロキシサーバです。
--------
> 内部から外部の場合
> 社内LAN→ファイアーウォール2→DMZ→ファイアーウォール1→インターネット
> とデータは流れており、ファイアーウォールのNAPT機能により
> IPがそれぞれ書き換えられていますよね
送信元のIPアドレスが書き換えられているのか,
受信先のIPアドレスが書き換えられているのか,
きちんと言葉にしておくと良いでしょう。
(ファイアウォール1には「IPアドレスの変換機能」は書いていないので)
ファイアウォール2のNAPT機能により
「送信元のIPアドレス」がそれぞれ書き換えられていますよね,
とおっしゃっているのなら,はい,それで正しいです。
着目点を変えるならば。
社内LAN上のクライアントPCから,インターネット上のWebサイトを参照する際,
「受信先のIPアドレス」は,社内LAN上においても,DMZ上においても
インターネット上においても,すべて変わらず
インターネット上のWebサイトを指すグローバルIPアドレスになっています。
--------
> cの場合クライアントpcからファイアーウォール2によって書き換えられて
> IPアドレスは全て「220.1xx.2xx.4」となりDMZ地帯を通り、
はい,それで正しいです。
ファイアウォール2のIPアドレス変換機能により
このパケットの送信元IPアドレスは「ファイアウォール2の上側のNIC」になります。
すなわち「送信元のIPアドレス」は 220.1xx.2xx.4 に書き換わります。
--------
> 次にファイアーウォール1を通り外のインターネットに出ていく。
> このOUTの時はファイアーウォール1の線に書かれている「220.1xx.2xx.3」は
> 関係なく、送信元は「220.1xx.2xx.4」ということでしょうか?
送信元のIPアドレスが 220.1xx.2xx.4 であることは前述のとおり。
220.1xx.2xx.3 は,DMZにとってのデフォルトゲートウェイです。
送信元IPアドレスではありません。
--------
> またdの場合
> インターネットからの送信もとIPアドレス「210.2yy.1yy.100」は
> ファイアウオール1を通して「220.1xx.2xx.3」となり
いいえ,間違っています。そのパケットの送信元IPアドレスは,
DMZ内においても 210.2yy.1yy.100 のままです。
要点1として,
ファイアウォール1にはIPアドレス変換機能がない(問題文に書かれていない)です。
要点2として,
仮にファイアウォール1にIPアドレス変換機能があったとしても,
次の(a)と(b)とでは扱いが異なります。
(a) インターネットからQ社にやってくるパケット
(b) Q社からインターネットにTCPで出て行き,
そのレスポンスとして,インターネットからQ社に戻ってくるパケット
仮にファイアウォール1にIPアドレス変換機能があった場合,
(a)ならば,送信元IPアドレスの変換が行われるでしょうが,
(b)は「Q社からインターネット方向への接続」によって生成された
NAPT変換テーブルの内容を用いて,レスポンスを逆方向に流せます。
2022.09.12 16:00
今回受かりたいさん
(No.3)
jjon-com様
ご回答ありがとうございます。
質問文の足りない情報まで補っていただきありがとうございます。
ルータ、NAT、プロキシサーバーの説明も具体例をあげていただき本当にわかりやすいです。(メモしました。)
そもそもファイアーウォールの時点でNAT機能を有して、使用しているものだと思っていたのでファイアーウォール1にはIPアドレス変換機能の有無が書かれていないことも盲点でした。
恥ずかしながらNICやデフォルトゲートウェイという単語も調べるきっかけとなりました。
jjon-com様の回答でネットワーク(セキュリティ)問題の解き方がクリアになった気がします。
本当にありがとうございました。心より感謝いたします。
ご回答ありがとうございます。
質問文の足りない情報まで補っていただきありがとうございます。
ルータ、NAT、プロキシサーバーの説明も具体例をあげていただき本当にわかりやすいです。(メモしました。)
そもそもファイアーウォールの時点でNAT機能を有して、使用しているものだと思っていたのでファイアーウォール1にはIPアドレス変換機能の有無が書かれていないことも盲点でした。
恥ずかしながらNICやデフォルトゲートウェイという単語も調べるきっかけとなりました。
jjon-com様の回答でネットワーク(セキュリティ)問題の解き方がクリアになった気がします。
本当にありがとうございました。心より感謝いたします。
2022.09.12 23:48
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。