HOME»情報処理安全確保支援士掲示板»H29年春  午後1問1設問3(2)について
投稿する

H29年春  午後1問1設問3(2)について [0706]

 SC初受験さん(No.1) 
TCPコネクションを確立するところで、PCセグメント側からサーバセグメント(IPA回答ではC→A)にSYNパケットが流れるのは理解できるのですが、その折り返しであるSYN-ACKパケットがサーバ管理セグメント側(IPA回答ではA→B)に流れる理由がわかりませんでした。どなたか解説いただけないでしょうか
2021.09.01 01:47
犬。さん(No.2) 
SC初受験さん、こんにちは。

図3「W氏が推測したサーバへの不正侵入手順(抜粋)」の8.には、「AさんのPC上で管理用PCのIPアドレスを詐称して、(後略)」とあります。

つまり、SYNパケットの経路は、AさんのPCの存在するPCセグメントからサーバの存在するサーバセグメント「(C)→(A)」となり、戻りのSYN-ACKパケットの経路は、サーバの存在するサーバセグメントから詐称された管理用PCのIPアドレスの存在するサーバ管理セグメント「(A)→(B)」に流れることになります。

個人的には、このFWはそれほど優秀じゃないなと感じますが(笑)
PCセグメントの存在するインターフェースからサーバ管理セグメントのIPアドレスを送信元とするSYNパケットが流れた時点で、拒否して欲しいところです(;^_^A
2021.09.01 09:27
 SC初受験さん(No.3) 
犬さん。解説ありがとうございます

うまく説明できているか不安ですが、自分なりにまとめてみました。
このような感じでよろしいですか?

①PCセグメント側で管理用PCと同じIPアドレスに詐称してTCPコネクションを確立しようとした(SYNパケット)※C→Aの部分

②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことをフィルタリングルールを通じて理解しているため、SYN-ACKパケットがサーバ管理セグメント側へ流れる  
※A→Bの部分
ちなみに②のフィルタリングルールは表5の項番4のルール
2021.09.02 01:14
犬。さん(No.4) 
SC初受験さん、ご返信ありがとうございます。

凡そその理解で大丈夫だと思います。

>②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことを
>フィルタリングルールを通じて理解しているため、SYN-ACKパケットがサーバ管理
>セグメント側へ流れる

強いて言うと、サーバからの戻りの通信に関して、「宛先IPアドレス」が
詐称している管理用PCのIPアドレスになります。
受け取ったFWは、フィルタリングルールを通じて…ではなく、ルーティング
テーブルを元にパケットをサーバ管理セグメント側に流す…が正しいかなと
思っています。

セキュリティの問題というよりは、ネットワークの問題だと考えています。
2021.09.02 09:31
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop