「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問2-1」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* (1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。
>公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)
>管理人解答:送信元がインターネットと支社プロキシサーバのパケットがどちらもFW-AのIF-1で受信するため、インターネットから支社プロキシサーバのIPアドレスを詐称された時に遮断することができないため(100文字)
>管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため(46文字)
>管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため、遮断するルールが作れないため(60文字)
この問題に必要な知識:FWのフィルタリングルール少々、問題文からネットワークの配置を想像できること
* 解説
FW-AのIPアドレス詐称対策機能を大雑把に説明すると「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」です。
そして、問題文から支社プロキシサーバの配置を見てみると以下のようになります。
>・支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の&color(red){&bold(){支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用する}}ことにした。
&ref(2013SPSCPM102_02.png)
そして、支社プロキシからの問合せPT(赤線)と、送信元を支社プロキシに詐称した問合せPT(青線)は以下のようにFW-Aを通ってC-DNSに届きます。
&ref(2013SPSCPM102_03.png)
どちらも、B社サービスを通ってFW-AのIF-1に届くため、今までの対策「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」では、どちらが正しいパケットが判断できません。
これに対する公式の解答例がこちら。
>公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)
問題文に使われている言葉を上手く使っています。
「識別できない理由」に踏み込んでいないということは、識別できない理由を必死に書こうとした管理人は「考えすぎ」なのかもしれません。部分点ぐらいは貰えるといいのですがorz
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2#設問2]]
* (1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。
>公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)
>管理人解答:送信元がインターネットと支社プロキシサーバのパケットがどちらもFW-AのIF-1で受信するため、インターネットから支社プロキシサーバのIPアドレスを詐称された時に遮断することができないため(100文字)
>管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため(46文字)
>管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため、遮断するルールが作れないため(60文字)
この問題に必要な知識:FWのフィルタリングルール少々、問題文からネットワークの配置を想像できること
* 解説
FW-AのIPアドレス詐称対策機能を大雑把に説明すると「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」です。
そして、問題文から支社プロキシサーバの配置を見てみると以下のようになります。
>・支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の&color(red){&bold(){支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用する}}ことにした。
&ref(2013SPSCPM102_02.png)
そして、支社プロキシからの問合せPT(赤線)と、送信元を支社プロキシに詐称した問合せPT(青線)は以下のようにFW-Aを通ってC-DNSに届きます。
&ref(2013SPSCPM102_03.png)
どちらも、B社サービスを通ってFW-AのIF-1に届くため、今までの対策「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」では、どちらが正しいパケットが判断できません。
これに対する公式の解答例がこちら。
>公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)
問題文に使われている言葉を上手く使っています。
「識別できない理由」に踏み込んでいないということは、識別できない理由を必死に書こうとした管理人は「考えすぎ」なのかもしれません。部分点ぐらいは貰えるといいのですがorz
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2#設問2]]