HOME»情報処理安全確保支援士掲示板»午後1問2設問1(2)
投稿する

午後1問2設問1(2) [0415]

 sunearthさん(No.1) 
午後1問2設問1(2)ですが、答えは「b」ではなく「c」ではないでしょうか?
①FWのルール項番1からDNSはオフィスセグメントからDMZへアクセスするとある。項番3は項番1が優先されるので適応外。
②外部DNSサーバーはメールサーバ又はプロキシサーバーからDNSクエリを受けると書いてある。DNSプロトコルを使用する際もプロキシサーバ経由という事になる。
③FWの「動作ログ」は「アクセスログ」とは区別される。(機器保守用のログ?)
つまりDMZから外部の権威サーバに到達するにはプロキシサーバ経由でなければ到達できないことになり、アクセスログはFWではなくプロキシサーバーのアクセスログになると思いますが、如何でしょうか?
2019.10.24 23:17
ねこさん(No.2) 
この投稿は投稿者により削除されました。(2019.10.25 00:32)
2019.10.25 00:32
触媒さん(No.3) 
違うと思いますよ
2019.10.25 00:58
plさん(No.4) 
1と2は意味がよくわかりませんが、3についてはFWの動作(「許可」および「拒否」)を記録したログという意味だと思います。
2019.10.25 01:49
はるさん(No.5) 
①図2にHTTPの場合はプロキシサーバを経由と記載がありますが、DNSプロトコルの場合にはその記載がないので、マルウェアが感染したPCから直接インターネット上のパブリックDNSサービスと通信すると考えられます。ですので、項番3のルールが適用されます。

②プロキシサーバはHTTPリクエストを受けると宛先ドメインの名前解決をする必要があるため、外部DNSサーバと通信します。注1はそのための記載でDNSを中継するという意味ではないと思います。また、DNSを中継するということはプロキシサーバがDNSキャッシュサーバのように動くイメージかと思いますが、表2にそのような機能の記載はないため、プロキシサーバがDNSを中継することはできません。

③動作ログは「パケットフィルタリング動作のログ」という意味かと思います。

以上のことから答えは「b」ではないでしょうか。
2019.10.25 09:08
 sunearthさん(No.6) 
DNSプロトコルの場合はFWのルールが変わり、項番1のDNSが適用されず、項番3がてきようされるのは、FWの一般的な機能なのでしょうか?
2019.10.25 14:35
はるさん(No.7) 
FWで適用されるルールは、「送信元」「宛先」「サービス」が一致するもので優先度が一番高いルールです。
今回のマルウェアの通信は、「送信元:オフィスセグメント、宛先:インターネット、サービス:DNS」です。
項番1は宛先が違うので適用されません。
項番3が一致するので、このルールが適用されます。
2019.10.25 16:16
Sunearthさん(No.8) 
わかりやすく。ありがとうございます。
それでも、気になるのがマルウェアの宛先はインターネットと言うことはオフィスセグメントでどのように調べるのでしょう?
2019.10.25 17:10
tさん(No.9) 
若干会話が噛み合っていないような気もしますが…、FWのフィルタリングルールはこの問題では関係ないと思いますよ。

この問の構成では、PCからDNSクエリがインターネットに出ていくルートが2つあり,
①PC -> FW -> インターネット
②PC -> FM -> プロキシサーバ -> 外部DNSサーバ -> FW -> インターネット
です。
②であれば、確かにプロキシサーバにもFWにもログが残るはずです。
ただしこの問では①のルートが存在します。これが後々設問2(3)で指摘されている箇所です。
したがって、①と②のどちらのルートでもログが残るFWが正解と思われます。

宛先や送信元は、IPヘッダの中身を見るとわかります。
2019.10.25 17:23
 sunearthさん(No.10) 
みなさんご親切にご回答ありがとうございます。
回答を「C」とした文章として
①  表2のプロキシサーバの説明で「PCからインターネットにアクセスするためには利用者IDとパスワードによるBASIC認証を必須としている。」と書かれていた事
②  FWの「動作ログ」はアクセスログとは違うものと考えた事
③  PCにプロキシの設定がある事でDNSはDMZへの問い合わせとなり、FWのルールの項番1が適用されると思った事

以上ですかね。
今回、初めて試験を受けて問題文の内容に書かれていなくても推測で「その可能性がある」と言う判断が必要だとわかりました。もう少し午後の勉強が必要ですね。
勉強になりました。ありがとうございました。
2019.10.25 22:32
 sunearthさん(No.11) 
今回のこの問題では、どちらとも取れる内容が多く、問題文では曖昧で現地での再調査が必要だと思いました。
「DNSプロトコルはプロキシ認証は行わない。」とも書いてないですし。
2019.10.26 07:43
ねこさん(No.12) 
たぶん、ですが、インターネットへ直接DNSクエリを投げる、ハートビートみたいな攻撃手法について問われてるんだと思います。名前解決は求められてないのではないかと

DNSトンネリング: 攻撃者はDNSをどう悪用するのか  で検索すると出てくるページに図説されてるのが分かりやすいかと(アドレス貼れないのですが、paloalto のサイトです)
2019.10.26 08:01
tさん(No.13) 
全部プロキシ認証でブロックできるのなら、設問2(3)はどうなるのだろう
2019.10.26 10:28
 sunearthさん(No.14) 
この投稿は投稿者により削除されました。(2019.10.26 13:04)
2019.10.26 13:04
 sunearthさん(No.15) 
設問2(3)は模範解答の答えで良いのでは?
とにかくプロキシサーバ経由になれば良いと思います。
2019.10.26 13:19
Meikaiさん(No.16) 
sunearthさんってド素人さんかな?
実務経験があるならこんな質問でないと思います。
試しに5chで聞いてみてもいいかも。
2019.10.27 00:43
5chさん(No.17) 
5chから逃げてここに質問に来ている模様
2019.10.27 08:39
あささん(No.18) 
DNSって難しくないですか?

安牌のセキュアプログラミングが無くて仕方なしに問2選んで数問解きましたが、途中から雲行きが怪しくなりそうだったんで15分位経過してたけど、問1・問3に切り替えました。

問1はSMTPでしたが、最後の問題以外は何とか・・・問3は簡単でした。
2019.10.28 18:16
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop