https://www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000009bhl-att/2009h21h_ap_pm_qs.pdf
応用情報技術者過去問題 平成21年春期 午後問9(情報セキュリティ)|応用情報技術者試験.com
Q 社では、次の情報セキュリティポリシに基づいて、ファイアウォールの設定などを行っている。
【情報セキュリティポリシ】
-
インターネットからは、自社の Web サーバ及びメールゲートウェイサーバあての通 信のほか、社内 LAN からインターネット上の Web サーバを参照したときの応答の通信を通過させる。
-
社内 LAN からは、電子メールを送受信するための通信及びインターネット上の Web サイトを参照するための通信だけを許可する。
-
インターネットへ送信する電子メールは、メールサーバからメールゲートウェイサ ーバを経由して送信される。また、インターネットから受信した電子メールはメールゲートウェイサーバを経由し、直ちにメールサーバに転送される。
-
ファイアウォール 1 及び 2 のアクセスログを毎日チェックし、異常なアクセスがあ れば、その対応策を検討するとともに、ファイアウォールの設定を変更などを行う。
ファイアウォール 1 及び 2 における通信制御のための設定は、次のとおりである。
【ファイアウォール 1 の設定】 (1) 静的パケットフィルタリング機能 インターネットから a
の通信、及び社内 LAN からインターネットへの通信は、いずれも送信先 IP アドレス、送信先ポート番号及びプロトコルを参照して、アクセスを制御している。また、b
から社内 LAN への通信は、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断する。
(2) 動的パケットフィルタリング機能 社内 LAN 上のクライアント PC から、TCP を使ったインターネット上の Web サイトを参照に関しては、フィルタリングテーブルが表のように設定されている。クライアント PC から図 1 の Web サーバ A を参照した際の応答のパケットを通過させるために、例えばクライアント PC (192.168.10.5) からフィルタリングテーブルの行 番号 10 によって許可されるパケットを送信すると、動的パケットフィルタリング機 能では行番号 10 と行番号 20 の間に行番号 15 の行を挿入する。行番号 15 の行は、 TCP セッションの終了パケット受信後に削除する。
表 フィルタリングテーブル (抜粋)
番号 | 向き | 送信元 IP アドレス | 送信先 IP アドレス | プロトコル | 送信元 ポート番号 | 送信先 ポート番号 | 備考 |
---|---|---|---|---|---|---|---|
10 | OUT | anywhere | anywhere | TCP | any | 80 | |
20 | OUT/IN | anywhere | anywhere | TCP | 80 | any | |
15 | IN | 220.1xx.2xx.4 | 220.1xx.1xx.1 | TCP | 80 | 1024 |
注) anywhere は任意の IP アドレスを示す。 “OUT/IN” は OUT と IN のいずれかを、それぞれ示している。
(3) ステートフルインスペクション機能
社内 LAN からインターネット上のサイトを参照したときの応答のパケットを通過させる際に、パケットの標準を確認する TCP ヘッダのシーケンス番号の妥当性を確認して通過させる。これによって、e
の脅威からネットワークを防御する。
【ファイアウォール 2 の設定】
(1) 静的パケットフィルタリング機能
メールゲートウェイサーバとメールサーバ間の通信は、双方からを許可する。それ以外の通信は、f
及び DMZ 上のサーバから g
へ、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断し、8
からは、いずれも送信先 IP アドレス、送信先ポート番号及びプロトコルを参照して許可する通信を決定する。
(2) 動的パケットフィルタリング機能
ファイアウォールの設定と同様の設定を適用する。
(3) IP アドレス変換機能
社内 LAN からインターネットへの同時複数通信を可能にするために、NAPT を利用して、プライベート IP アドレスからグローバル IP アドレスへ変換する。これは、グローバル IP アドレスの不足を解消するとともに、h
という効果も発揮している。
【アクセスログの監視機能強化】
アクセスログを基に、ある日にファイアウォール 1 で通過された通信を送信元 IP アドレス別に分析し、図 2 のようなレポートを作成したものだ。この結果から、i
の危険性が認められるので、ファイアウォールの設定を見直した。
送信元 IP アドレス | 送信先 IP アドレス | プロトコル | 送信元ポート番号 | 送信先ポート番号 | 通信件数 |
---|---|---|---|---|---|
220.2zz.1zz.40 | 220.1xx.2xx.1 | TCP | 80 | 211 | 2 |
220.2zz.1zz.10 | 220.1xx.2xx.1 | TCP | 80 | 211 | 2 |
220.2zz.1zz.1 | 220.1xx.2xx.1 | TCP | 1024 | 65535 | 3 |
図 2 アクセスログ分析レポート
【携帯電話を経由したリモートアクセス接続計画】
Q 社では、営業活動の効率を上げるために、営業員にノート PC を携帯させ、携帯電話を経由して社内 LAN にアクセスできる環境を構築することを計画している。その際のセキュリティ対策は、次のとおりである。
- 複数の営業員らの同時接続を可能にするために、ダイヤルアップ接続を利用するリモートアクセスサーバを DMZ に 3 台設置する。 同サーバには認証機能をもたせず、社内 LAN に設置されている
k
で認証を行う。これによって、認証情報の安全性を確保するとともに、k
を可能にする。 - ファイアウォールでは、リモートアクセスサーバへ
i
及びリモートアクセスを許可された社内 LAN 上のサーバとの通信を許可するように、パケットフィルタリングの設定を追加する。
設問1 次文中の a
から g
に入れる適切な字句を解答群の中から選び、記号で答えよ。解答は複数選択して選んでもよい。
解答群 ア DMZ イ インターネット ウ 社内 LAN
設問2 次文中の c
, d
, j
に入れる適切な字句を答えよ。 ある、調査によれば、図1 中にあるサーバの名前は c
と d
である。 認証の k
は、ファイアウォール上にセキュリティを維持するために有効な機能に関する h
によって k
が含まれていることを確認する手段を示す。 認証情報を転送するために j
にはいる適切な 2 文字以内で答えよ。
設問3 次文中の e
から i
に入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群 ア IP アドレスフィルタ イ SQL インジェクション ウ パケットフィルタリング エ パスワードクラッキング オ ポートスキャン
(1) a DMZ b 社内LAN g 社内LAN fインターネット
問1はファイアウォール 1 の設定に関する設問である
(1) 静的パケットフィルタリング機能 インターネットから
a
の通信、及び社内 LAN からインターネットへの通信は、いずれも送信先 IP アドレス、送信先ポート番号及びプロトコルを参照して、アクセスを制御している。また、b
から社内 LAN への通信は、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断する。
とあるので、静的パケットフィルタリング機能の対象がaに入るものとなる
aの後ろの文章は社内 LAN からインターネットへの通信とあるので、こちらは逆について話していると類推できるので、ファイアウォール1が守っているインターネットからDMZ間となるので、答えはDMZとなる
b
は動的フィルタリング機能に関する説明をしているので、インターネットとの接続監視するFWに関する記載となるので、答えはインターネットとなる。
f
及び DMZ 上のサーバからg
へ、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断し、8
からは、いずれも送信先 IP アドレス、送信先ポート番号及びプロトコルを参照して許可する通信を決定する。
こちらも通過させるパケットの設定について記載がある。インターネットやDMZから入るパケットに関する記載となるので、インターネット、社内LANとなる。
2) c220.1xx.2xx.4 d 210.2yy.1yy.100 j RADIUSサーバ
フィルタリングテーブルに関する設問となる。
Cで問われているのは、クライアントPCからport80のWebサーバへの通信と考えればよい。送信元アドレスはFWによって個別PCのアドレスは隠蔽されるので、FW2のIPアドレスを設定する必要がある
dについては、Webサーバからの応答をどう受け取るかと考えると分かりやすい
210.2yy.1yy.100からの通信は許可しないとWebサーバのResponseは受け取ることができない
jについては、Remote認証ができるサーバを答えさせる問題なので、
この中でその役割をできるのは、RADIUSサーバしかいない。
設問3 hグローバルIPからプライベートIPに変換することで社内LANの端末を特定できない k一元的な認証情報管理
hはNAPTの機能でかつ社内LANのセキュリティ維持をするのに有効な機能とある。
プライベート IP アドレスからグローバル IP アドレスに変化する効果を記載する必要がある。NAPTはLinux世界ではIPマスカレードという名称の機能だが大きく2つの役割がある
①プライベートIPからグローバルIPに変換することでIPv4の枯渇の解消
②グローバルIPからプライベートIPに変換することで社内LANの端末を特定できない
という意味の逆の視点を記載することが答えとなる。
答えは、社内LAN上にある機器の情報を隠蔽する
とのこと
社内 LAN からインターネットへの同時複数通信を可能にするために、NAPT を利用して、プライベート IP アドレスからグローバル IP アドレスへ変換する。これは、グローバル IP アドレスの不足を解消するとともに、
h
という効果も発揮している。
- 複数の営業員らの同時接続を可能にするために、ダイヤルアップ接続を利用するリモートアクセスサーバを DMZ に 3 台設置する。 同サーバには認証機能をもたせず、社内 LAN に設置されている
k
で認証を行う。これによって、認証情報の安全性を確保するとともに、k
を可能にする。
RADIUS(Remote Authentication Dial In User Service)とは、ネットワーク上のサーバで認証やログ管理を一元的に担う
kに入るのは、一元的な認証情報管理
(1) e IPスプーフィング i ポートスキャン
選択肢
設問3 次文中の
e
からi
に入れる適切な字句を解答群の中から選び、記号で答えよ。解答群 ア IP アドレスフィルタ イ SQL インジェクション ウ パケットフィルタリング エ パスワードクラッキング オ ポートスキャン
eの問題は
(3) ステートフルインスペクション機能
社内 LAN からインターネット上のサイトを参照したときの応答のパケットを通過させる際に、パケットの標準を確認する TCP ヘッダのシーケンス番号の妥当性を確認して通過させる。これによって、
e
の脅威からネットワークを防御する。
IPを偽装して攻撃を行うIPスプーフィングが正解となる。
iはアクセスログを見ると、Portを総当たり攻撃されていることがわかる
答えはポートスキャンとなる