基本情報&応用情報 問題と解説

アクセスカウンタ

zoom RSS H21_haru_AP_PM Q09 Qus.

<<   作成日時 : 2011/01/23 02:23   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

平成21年 春期 応用情報技術者 午後 問9

問9 ファイヤウォールの設定に関する次の記述を読んで、設問1〜4に答えよ。

Q社のネットワーク構成を図1に示す。
なお、図中のリモートアクセスサーバは、現在はまだ設置されていない。
また、WebサーバAは、外部のサーバである。
画像

Q社では、次の情報セキュリティポリシに基づいて、ファイアウォールの設定などを行っている。

[情報セキュリティポリシ]
インターネットからは、自社のWebサーバ及びメールゲートウェイサーバあての通信のほか、社内LANからインターネット上のWebサーバを参照したときの応答の通信を通過させる。
社内LANからは、電子メールを送受信するための通信及びインターネット上のWebサイトを参照するための通信だけを許可する。
インターネットへ送信する電子メールは、メールサーバからメールゲートウェイサーバを経由して送信される。
また、インターネットから受信した電子メールはメールゲートウェイサーバを経由し、直ちにメールサーバに転送される。
ファイアウォール1及び2のアクセスログを毎日チェックし、異常なアクセスがあれば、その対応策を検討するとともに、ファイアウォールの設定変更などを行う。

ファイアウォール1及び2における通信制御のための設定は、次のとおりである。

[ファイアウォール1の設定]
(1) 静的パケットフィルタリング機能
インターネットから  への通信、及び社内LANからインターネットへの通信は、いずれも送信先IPアドレス、送信先ポート番号及びプロトコルを参照して、アクセスを制御している。
また、  から社内LANへの通信は、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断する。
(2) 動的パケットフィルタリング機能
社内LAN上のクライアントPCから、TCPを使ったインターネット上のWebサイト参照に関しては、フィルタリングテーブルが表のように設定されている。
クライアントPCから図1のWebサーバAを参照した際の応答のパケットを通過させるために、例えば、クライアントPC(192.168.10.5)からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると、動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。
行番号15の行は、TCPセッションの終了パケット受信後に削除する。

表 フィルタリングテーブル (抜粋)
画像

注 anywhereは任意のIPアドレス、any任意のポート番号、”OUT/IN”はOUTとINのいずれかを、それぞれ意味している。

(3) ステートフルインスペクション機能
社内LANからインターネット上のサイトを参照したときの応答のパケットを通過させる際に、パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認させる。
これによって、  の脅威からネットワークを防御する。

[ファイアウォール2の設定]
(1) 静的パケットフィルタリング機能
メールゲートウェイサーバとメールサーバの間の通信は、双方向とも許可する。
それ以外の通信は、  及びDMZ上のサーバから  へは、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断し、  からは、いずれも送信先IPアドレス、送信元ポート番号及びプロトコルを参照して許可するか遮断するかを決定する。
(2) 動的パケットフィルタリング機能
ファイアウォール1の設定と同様の設定を適用する。
(3) IPアドレスの変換機能
社内LANからインターネットへの同時複数通信を可能にするために、NAPTを利用して、プライベートIPアドレスからグローバルIPアドレスへ変換する。
グローバルIPアドレス数の不足を解消するとともに、  という効果も実現している。

[アクセスログの監視記録]
アクセスログを基に、ある日にファイアウォール1で遮断された通信を送信元IPアドレス別に分析し、図2のようなレポートを作成した。
この結果から  の危険性が認められるので、ファイアウォールの設定を見直した。
画像

[携帯電話を経由したリモートアクセス接続計画]
Q社では、営業活動の効率を上げるために、営業員にノートPCを携帯させ、携帯電話を経由して社内LANにアクセスできる環境を構築することを計画している。
その際のセキュリティ対策は、次のとおりである。
複数の営業員からの同時接続を可能にするために、
ダイヤルアップ接続に利用するリモートアクセスサーバをDMZに3台設置する。
同サーバには認証機能をもたせず、社内LANに設置されている。
これによって、認証情報の安全性を確保するとともに、  を可能にする。
ファイアウォール2では、リモートアクセスサーバと  及び
リモートアクセスを許可された社内LAN上のサーバとの通信を許可するように、
パケットフィルタリングの設定を追加する。

設問 1
本文中の  ,  ,  ,  に入れる適切な字句を解答群の中から選び、記号で答えよ。
解答は重複して選んでもよい。

解答群
ア DMZ
イ インターネット
ウ 社内LAN

設問 2
本文中の  ,  ,  に入れる適切な字句を答えよ。
なお、  には、図1中にあるサーバの名前が入る。

設問 3
本文中の  には、社内LANセキュリティを維持するのに有効な機能に関する字句が、  には、 が果たすべき役割に関する字句がそれぞれ入る。
 に入れる適切な30字以内で、
 に入れる適切な20字以内で答えよ。

設問 4
本文中の  と  に入れる攻撃方法を解答群の中から選び、記号で答えよ。

解答群
ア IPスプーフィング
イ SQLインジェクション
ウ クロスサイトスクリプティング
エ パスワードクラッキング
オ ポートスキャン

解答例・解答の要点

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
H21_haru_AP_PM Q09 Qus. 基本情報&応用情報 問題と解説/BIGLOBEウェブリブログ
文字サイズ:       閉じる