ちゃぱてぃ商店IT部 @ ウィキ
ちゃぱてぃ商店IT部 @ ウィキ

「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問2-1」の編集履歴(バックアップ)一覧はこちら

資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問2-1 - (2013/08/04 (日) 02:46:58) の1つ前との変更点

追加された行は緑色になります。

削除された行は赤色になります。

* (1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。 >公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字) >管理人解答:送信元がインターネットと支社プロキシサーバのパケットがどちらもFW-AのIF-1で受信するため、インターネットから支社プロキシサーバのIPアドレスを詐称された時に遮断することができないため(100文字) >管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため(46文字) >管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため、遮断するルールが作れないため(60文字) この問題に必要な知識:FWのフィルタリングルール少々、問題文からネットワークの配置を想像できること * 解説 FW-AのIPアドレス詐称対策機能を大雑把に説明すると「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」です。 そして、問題文から支社プロキシサーバの配置を見てみると以下のようになります。 >・支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の&color(red){&bold(){支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用する}}ことにした。 &ref(2013SPSCPM102_02.png) そして、支社プロキシからの問合せPT(赤線)と、送信元を支社プロキシに詐称した問合せPT(青線)は以下のようにFW-Aを通ってC-DNSに届きます。 &ref(2013SPSCPM102_03.png) どちらも、B社サービスを通ってFW-AのIF-1に届くため、今までの対策「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」では、どちらが正しいパケットが判断できません。 これに対する公式の解答例がこちら。 >公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字) 問題文に使われている言葉を上手く使っています。 「識別できない理由」に踏み込んでいないということは、識別できない理由を必死に書こうとした管理人は「考えすぎ」なのかもしれません。部分点ぐらいは貰えるといいのですがorz [[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2#設問2]]
* (1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。 >公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字) >管理人解答:送信元がインターネットと支社プロキシサーバのパケットがどちらもFW-AのIF-1で受信するため、インターネットから支社プロキシサーバのIPアドレスを詐称された時に遮断することができないため(100文字) >管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため(46文字) >管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため、遮断するルールが作れないため(60文字) この問題に必要な知識:FWのフィルタリングルール少々、問題文からネットワークの配置を想像できること * 解説 FW-AのIPアドレス詐称対策機能を大雑把に説明すると「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」です。 そして、問題文から支社プロキシサーバの配置を見てみると以下のようになります。 >・支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の&color(red){&bold(){支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用する}}ことにした。 &ref(2013SPSCPM102_02.png) そして、支社プロキシからの問合せPT(赤線)と、送信元を支社プロキシに詐称した問合せPT(青線)は以下のようにFW-Aを通ってC-DNSに届きます。 &ref(2013SPSCPM102_03.png) どちらも、B社サービスを通ってFW-AのIF-1に届くため、今までの対策「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」では、どちらが正しいパケットが判断できません。 これに対する公式の解答例がこちら。 >公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字) 問題文に使われている言葉を上手く使っています。 「識別できない理由」に踏み込んでいないということは、識別できない理由を必死に書こうとした管理人は「考えすぎ」なのかもしれません。部分点ぐらいは貰えるといいのですがorz [[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2#設問2]]

表示オプション

横に並べて表示:
変化行の前後のみ表示:

[Amazon商品]

ASINが有効ではありません。