HOME»情報処理安全確保支援士掲示板»H30秋PM1問3設5(2) スレNO433に関し
投稿する
H30秋PM1問3設5(2) スレNO433に関し [0607]
フワさん(No.1)
スレNO433に関係します。
私もこの問題をスレ主さん(No.1)の様に回答しました。理由も大体同じです。
(最後にスレ主さんが妙に納得してしまったのがどうも・・)
あるWEBの解説で、
「ハードウェア型WAFは通信を復号してそのままEサーバに渡せばいいですが、例えばクラウド型では復号し解析した後に、さらに暗号化する必要があるなど、前後の動作が異なるため、ハードウェア型に限定した設問となっていると思われます。」
⇒エエッ、そうなの?
Eサーバは、上りリクエストはHTTPで受け、下りレスポンスはHTTPSで送出と、こんなこと矛盾無く処理できるのでしょうか。問題文には、Eサーバを改造するとか設定変更するとか、書かれていません。
それだったら、クラウド型はなぜ復号したままではダメなのかもわかりません。
どなたかお助けを!
私もこの問題をスレ主さん(No.1)の様に回答しました。理由も大体同じです。
(最後にスレ主さんが妙に納得してしまったのがどうも・・)
あるWEBの解説で、
「ハードウェア型WAFは通信を復号してそのままEサーバに渡せばいいですが、例えばクラウド型では復号し解析した後に、さらに暗号化する必要があるなど、前後の動作が異なるため、ハードウェア型に限定した設問となっていると思われます。」
⇒エエッ、そうなの?
Eサーバは、上りリクエストはHTTPで受け、下りレスポンスはHTTPSで送出と、こんなこと矛盾無く処理できるのでしょうか。問題文には、Eサーバを改造するとか設定変更するとか、書かれていません。
それだったら、クラウド型はなぜ復号したままではダメなのかもわかりません。
どなたかお助けを!
2021.02.21 17:57
takeさん(No.2)
この設問では、いわゆるSSLアクセラレーションの事を言っているのではないかと思います。
SSLアクセラレータは専用機器だったりLBに入っていたりする事も多いですがWAFに内蔵されている場合もあります。
WebサーバとSSLアクセラレータ(WAF)間は、リクエストもレスポンスも全てhttpで行われ、暗号化と複合はSSLアクセラレータに一任されるのが一般的な気がします。
クラウド型の方は詳しい事はわかりませんが、片方だけhttpというのは考えにくいので、リクエストがhttpsならレスポンスもhttpsで返している(そもそも同一セッションでレスポンスだけSSLの暗号化をしないというのは無理ではないでしょうか?)のではないでしょうか
SSLアクセラレータは専用機器だったりLBに入っていたりする事も多いですがWAFに内蔵されている場合もあります。
WebサーバとSSLアクセラレータ(WAF)間は、リクエストもレスポンスも全てhttpで行われ、暗号化と複合はSSLアクセラレータに一任されるのが一般的な気がします。
クラウド型の方は詳しい事はわかりませんが、片方だけhttpというのは考えにくいので、リクエストがhttpsならレスポンスもhttpsで返している(そもそも同一セッションでレスポンスだけSSLの暗号化をしないというのは無理ではないでしょうか?)のではないでしょうか
2021.02.21 19:45
昭和62年さん(No.3)
ハードウェア型WAFを採用した場合
WAFで復号しチェック後平文でEサーバへ送信する
DMZ内なので平文でかまわない。
Eサーバは平文で応答し、暗号化はWAFが実行する。
クラウド型WAFの場合
技術的には平文のままでもよいが、クラウドからB社へ至る経路はインターネットなので、
暗号化しないことはありえない。
だと思います。
WAFで復号しチェック後平文でEサーバへ送信する
DMZ内なので平文でかまわない。
Eサーバは平文で応答し、暗号化はWAFが実行する。
クラウド型WAFの場合
技術的には平文のままでもよいが、クラウドからB社へ至る経路はインターネットなので、
暗号化しないことはありえない。
だと思います。
2021.02.21 20:24
フワさん(No.4)
takeさん、昭和62年さん、早々回答ありがとうございます。
昭和62年さんのDMZ内とインターネットの違いで使い方、理解しました。なるほど。
takeさん、昭和62年さんのリクエストもレスポンスもHTTPか又はHTTPS、同感です。
ですが、
つまり、今までEサーバはリクエストもレスポンスもHTTPSで受送信していたのに、
ハードウェア型WAFを入れたら、問題なくHTTPをOKとするのでしょうか。
それとも、設定変更程度なら書かれてなくても常識の範囲なのでしょうか。
さらに、
IPA解答は「インターネットからのHTTPS通信を復号する機能」で、
これは、上りリクエストのみしか言及しておらず、下りレスポンスがHTTPできたらスルーしていいの?
ハードウェア型WAFがクラウド型WAFと同じ機能(SSLアクセラレータ相当機能)なら悩まないのに。
スレNO433のスレ主さん(No.7)で「余分なことを付け加えると、×か大幅減点ですね」と纏めていますが、う~ン、そうかも、そうでないかも。
昭和62年さんのDMZ内とインターネットの違いで使い方、理解しました。なるほど。
takeさん、昭和62年さんのリクエストもレスポンスもHTTPか又はHTTPS、同感です。
ですが、
>問題文に、Eサーバを改造するとか設定変更するとか、書かれていません。
つまり、今までEサーバはリクエストもレスポンスもHTTPSで受送信していたのに、
ハードウェア型WAFを入れたら、問題なくHTTPをOKとするのでしょうか。
それとも、設定変更程度なら書かれてなくても常識の範囲なのでしょうか。
さらに、
IPA解答は「インターネットからのHTTPS通信を復号する機能」で、
これは、上りリクエストのみしか言及しておらず、下りレスポンスがHTTPできたらスルーしていいの?
ハードウェア型WAFがクラウド型WAFと同じ機能(SSLアクセラレータ相当機能)なら悩まないのに。
スレNO433のスレ主さん(No.7)で「余分なことを付け加えると、×か大幅減点ですね」と纏めていますが、う~ン、そうかも、そうでないかも。
2021.02.21 23:23
昭和62年さん(No.5)
設問5は、「リスク軽減策の検討について答えよ」です。
この時点では検討しているだけでWAFを導入していないので、
Webサーバの設定変更について触れていないのでしょう。
逆に設定変更しなくてよいとも書かれていません。
「インターネットからのHTTPS通信を復号する機能」には、
レスポンスを暗号化(HTTPS化)する機能が暗黙に含まれます。
この時点では検討しているだけでWAFを導入していないので、
Webサーバの設定変更について触れていないのでしょう。
逆に設定変更しなくてよいとも書かれていません。
「インターネットからのHTTPS通信を復号する機能」には、
レスポンスを暗号化(HTTPS化)する機能が暗黙に含まれます。
2021.02.22 06:13
フワさん(No.6)
昭和62年さん、
「WAFの暗号通信に関する機能について述べよ」だから、
Eサーバの設定変更の要不要を考慮する必要はなく、
必要機能だけを述べればよいとのことですね。
しかもハード型WAFがL2SWとEサーバの間に置かれるインライン型なので、
「インターネットからのHTTPS通信を復号する機能」となりEサーバとはHTTP通信する。
皆さん、ありがとうございました。勉強になりました。
「WAFの暗号通信に関する機能について述べよ」だから、
Eサーバの設定変更の要不要を考慮する必要はなく、
必要機能だけを述べればよいとのことですね。
しかもハード型WAFがL2SWとEサーバの間に置かれるインライン型なので、
「インターネットからのHTTPS通信を復号する機能」となりEサーバとはHTTP通信する。
皆さん、ありがとうございました。勉強になりました。
2021.02.22 13:32