基本情報&応用情報 問題と解説

アクセスカウンタ

zoom RSS H21_haru_AP_PM Q09 Ans.

<<   作成日時 : 2011/01/23 02:49   >>

面白い ブログ気持玉 1 / トラックバック 0 / コメント 0

平成21年 春期 応用情報技術者 午後 問9
解答例・解答の要点
設問 1
a  (DMZ)
b  (インターネット)
f  (インターネット)
g  (社内LAN)

設問 2
c 220.1xx.2xx.4
d 210.2yy.1yy.100
j RADIUSサーバ

設問 3
h 社内LAN上にある機器のアドレス情報を隠ぺいする
k 認証情報の一元的な管理

設問 4
e  (IPスプーフィング)
i  (ポートスキャン)

解説
設問 1
[ファイアウォール1の設定]
(1) 静的パケットフィルタリング機能
インターネットから [  ]への通信、及び社内LANからインターネットへの通信は、いずれも送信先IPアドレス、送信先ポート番号及びプロトコルを参照して、アクセスを制御している。
また、[  ]から社内LANへの通信は、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断する。

[情報セキュリティポリシ]
インターネットからは、自社のWebサーバ及びメールゲートウェイサーバあての通信のほか、社内LANからインターネット上のWebサーバを参照したときの応答の通信を通過させる。

インターネット → Webサーバ及びメールゲートウェイサーバあて
社内LAN   → Webサーバ

a,b
図1の「Q社のネットワーク構成」では、
Webサーバ及びメールゲートウェイサーバはDMZに設定されているので、
インターネットからDMZへの通信は、許可することが必要となる。

したがって
a  (DMZ)
b  (インターネット)

f,g
[ファイアウォール2の設定]
静的パケットフィルタリング機能
メールゲートウェイサーバとメールサーバの間の通信は、双方向とも許可する。
それ以外の通信は、[  ]及びDMZ上のサーバから[  ]へは、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断し、[  ]からは、いずれも送信先IPアドレス、送信元ポート番号及びプロトコルを参照して許可するか遮断するかを決定する。

[情報セキュリティポリシ]
インターネットからは、自社のWebサーバ及びメールゲートウェイサーバあての通信のほか、社内LANからインターネット上のWebサーバを参照したときの応答の通信を通過させる。
社内LANからは、電子メールを送受信するための通信及びインターネット上のWebサイトを参照するための通信だけを許可する。
インターネットへ送信する電子メールは、メールサーバからメールゲートウェイサーバを経由して送信される。
また、インターネットから受信した電子メールは
メールゲートウェイサーバを経由し、直ちにメールサーバに転送される。
このため
インターネットおよびDMZから、社内LANへの通信は、
動的パケットフィルタリング機能によって通過させるもの以外、
すべて遮断される。
したがって
f  (インターネット)
g  (社内LAN)

設問 2

(3) IPアドレスの変換機能
社内LANからインターネットへの同時複数通信を可能にするために、NAPTを利用して、プライベートIPアドレスからグローバルIPアドレスへ変換する。
このことより
社内LANのクライアントPCから、WebサーバAにアクセスするには、まず、ファイアウォール2でグローバルIPアドレスの”220.1xx.2xx.4”に変換される。

ファイアウォール1のルールとして、
送信元IPアドレスを”220.1xx.2xx.4”とし、送信先ポート番号が”80”のIPパケットは通過を許可している。
したがって
c 220.1xx.2xx.4


送信先ポート番号が”80”のIPパケットが、WebサーバAにアクセスし、
TCPコネクションが確立されると、行番号15のルールが追加される。
画像

したがって
d 210.2yy.1yy.100


[携帯電話を経由したリモートアクセス接続計画]
複数の営業員からの同時接続を可能にするために、
ダイヤルアップ接続に利用するリモートアクセスサーバをDMZに3台設置する。
同サーバには認証機能をもたせず、社内LANに設置されている[  ]で認証を行う。

認証機能を持つサーバは、
RADIUS(Remote Authentication Dial In User Service) サーバである。
したがって
j RADIUSサーバ

DNS(Domain Name System)
     ドメインアドレスをIPアドレスに変換する
DHCP(Dynamic Host Configuration Protocol)
     各クライアントに対して、IPアドレスを自動的に付加する

設問 3

[  ]には、NAPT(Network Address Port Translation)を利用することによって、社内LANのセキュリティを維持するのに有効な機能に関する字句が入る。

NAPTを利用すると、インターネット側に流れるIPアドレスは、NAPTを行った装置のIPアドレスだけとなり、社内LAN上にある機器のIPアドレスが外部ネットワークに流れることはない。
このため、
社内LANのセキュリティを維持するのに有効であるといわれている。
したがって
h 社内LAN上にある機器のアドレス情報を隠ぺいする


[携帯電話を経由したリモートアクセス接続計画]
複数の営業員からの同時接続を可能にするために、
ダイヤルアップ接続に利用するリモートアクセスサーバをDMZに3台設置する。
同サーバには認証機能をもたせず、社内LANに設置されている[  ]で認証を行う。
これによって、認証情報の安全性を確保するとともに、[  ]を可能にする。

仮に、リモートアクセスサーバで認証を行った場合、
リモートアクセスサーバは公衆通信網から直接アクセスされるので、認証情報の安全性が保てない。
また、認証情報を変更すると、3台とも修正しなければならないという手間もかかる。
しかし、
[  ](RADIUSサーバ)で認証を行えば、RADIUSサーバにアクセスできるのは、リモートアクセスサーバに限定できるほか認証情報の変更についても、RADIUSサーバ1台だけですむ。
したがって
k 認証情報の一元的な管理

設問 4
ア IPスプーフィング
   攻撃元を隠ぺいするために、自分自身がもつIPアドレスとは
   別の(偽造した)IPアドレスを使ってパケットを送ること。
   Dos攻撃などに利用される。
イ SQLインジェクション
   データベースをアクセスするプログラムと連動したWebページ上で、
   入力フィールドにSQL文の一部を入力することにより、
   データベースの不正閲覧や改ざん、削除を行う攻撃
ウ クロスサイトスクリプティング
   入力した内容をもとに動的にWebページを生成する
   アプリケーションを対象とした攻撃
   入力データ処理の欠陥を悪用し、悪意のあるスクリプトを埋め込み実行する
エ パスワードクラッキング
   辞書攻撃やブルートフォース攻撃(総当たり攻撃)などの手法を使って、
   パスワードを見破ること。
オ ポートスキャン
   送信先でどのようなポートが開いている
   (どのようなサービスが行われている)かを調べる行為


ステートフルインスペクション機能
社内LANからインターネット上のサイトを参照したときの応答のパケットを通過させる際に、パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認させる。

動的パケットフィルタリングでは、TCPコネクションが確立している間、
送信元IPアドレスが一致すれば、応答を通過させている。
このため、
攻撃者がIPパケットを盗聴し、その送信元IPアドレスに設定されているIPアドレスを使用すれば、ファイアウォールを通過してしまう。
そこで、
ステートフルインスペクション機能を用いて、IPスプーフィングの攻撃を防御する。
したがって
e  (IPスプーフィング)


図2の「アクセス分析レポート」を見ると、送信元と送信元IPアドレスが同一で、
しかも、送信先ポート番号が1から65535まで連続的に変化させてアクセスしている。
これは、送信先でどのようなポートが開いている(どのようなサービスが行われている)かを調べるポートスキャンと呼ばれる攻撃手法である。
したがって
i  (ポートスキャン)

一覧に戻る

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 1
面白い

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
H21_haru_AP_PM Q09 Ans. 基本情報&応用情報 問題と解説/BIGLOBEウェブリブログ
文字サイズ:       閉じる