HOME»情報処理安全確保支援士掲示板»H23秋 午後1問3 設問1(2)HTTPS
投稿する
»[0712] 平成29年春午後Ⅰ 問1の設問2について 投稿数:12
»[0711] H26年春午後1問2設問2 投稿数:9
H23秋 午後1問3 設問1(2)HTTPS [0714]
疑問さん(No.1)
H23秋 午後1問3 設問1(2)は、HTTPSで暗号化される範囲が問われていると解釈しました。
項番1と4の内容がなぜ暗号化されないのか知りたいです。
どなたか解説お願いします。。。
項番1と4の内容がなぜ暗号化されないのか知りたいです。
どなたか解説お願いします。。。
2021.09.14 14:47
わいわいさん(No.2)
少々解釈に誤りがあると思われます
通信データ自体はHTTPSで暗号化されております
問題の趣旨は暗号化時に影響を受ける・受けないについての区別となります
(1)はHTTPS通信を開始する前のプロキシサーバに対する認証です
HTTPS通信を開始する前に、CONNECTメソッドで通信経路を
生成する必要があります
Proxy-AuthorizationはこのCONNECTメソッド内部のヘッダで
CONNECTメソッド時にユーザ認証を行います
(4)はHTTPS時にはホワイトリストを使用するとあります
対象はFDQNとあります
HTTPS通信で暗号化されるのは通信データの中で対象サーバ名
(FQDN)は暗号化されないのでフィルタが可能です
通信データ自体はHTTPSで暗号化されております
問題の趣旨は暗号化時に影響を受ける・受けないについての区別となります
(1)はHTTPS通信を開始する前のプロキシサーバに対する認証です
HTTPS通信を開始する前に、CONNECTメソッドで通信経路を
生成する必要があります
Proxy-AuthorizationはこのCONNECTメソッド内部のヘッダで
CONNECTメソッド時にユーザ認証を行います
(4)はHTTPS時にはホワイトリストを使用するとあります
対象はFDQNとあります
HTTPS通信で暗号化されるのは通信データの中で対象サーバ名
(FQDN)は暗号化されないのでフィルタが可能です
2021.09.14 16:59
昭和62年さん(No.3)
項番(4)もCONNECTメソッドのパラメタを見ているのではないでしょうか?
2021.09.14 17:38
受験生さん(No.4)
そもそもなぜHTTPS通信が禁止されているか(設問1 (1)の内容)は、エンドツーエンドの暗号化、つまり宛先Webサーバとブラウザ間の認証・暗号化のため、アプリケーションゲートウェイであるプロキシが通信内容を解析したり、横取りしたりできないからです。解析しようとしても復号鍵はWebサーバおよびブラウザしか持っておらず、横取りしようにもセッション認証ではじかれて通信ができません。
このプロキシは通信ログを取得することを念頭に設置されていますので、設問1 (1)の答えは「ログが取得できないから」といったところでしょうか。
さて、設問1 (2)の内容ですが
・(1)について
UプロキシにはSSL Decryptionが搭載されていないので、Webサーバとブラウザの間で暗号化されているHTTP通信の内容は確かに解釈できません。しかし、解釈できなければプロキシサーバに対して認証を行うこともできませんので、現状そもそも通信が開始できません。したがって、「認証」という機能は失われていないので問題ないのです。
・(4)について
これは単純にプロキシのフィルタリングルールの話です。HTTPS通信しようとしたらフィルタリング機能が働いてブロックするようになっているので、何の問題もなく機能していると思いますが。
このプロキシは通信ログを取得することを念頭に設置されていますので、設問1 (1)の答えは「ログが取得できないから」といったところでしょうか。
さて、設問1 (2)の内容ですが
・(1)について
UプロキシにはSSL Decryptionが搭載されていないので、Webサーバとブラウザの間で暗号化されているHTTP通信の内容は確かに解釈できません。しかし、解釈できなければプロキシサーバに対して認証を行うこともできませんので、現状そもそも通信が開始できません。したがって、「認証」という機能は失われていないので問題ないのです。
・(4)について
これは単純にプロキシのフィルタリングルールの話です。HTTPS通信しようとしたらフィルタリング機能が働いてブロックするようになっているので、何の問題もなく機能していると思いますが。
2021.09.14 17:39
わいわいさん(No.5)
No.3さん
それでいいと思います
HTTPS通信時にCONNECTメソッド内のFQDNでフィルタされると思います
逆にURLパス部分はデータとして暗号化されるため、URLパスを含む
フィルタリングはできないです
項番(4)に明示的にFQDNでと書いてあるのは、単なるフィルタリングだと
URLパスまで含むのかどうか不明になって問題として曖昧になるからだと
考えられます
>項番(4)もCONNECTメソッドのパラメタを見ているのではないでしょうか?
それでいいと思います
HTTPS通信時にCONNECTメソッド内のFQDNでフィルタされると思います
逆にURLパス部分はデータとして暗号化されるため、URLパスを含む
フィルタリングはできないです
項番(4)に明示的にFQDNでと書いてあるのは、単なるフィルタリングだと
URLパスまで含むのかどうか不明になって問題として曖昧になるからだと
考えられます
2021.09.14 18:26
疑問さん(No.6)
皆さんありがとうございました。
(1)と(4)は最初に通信するCONNECTメソッド(HTTP)を参照するから暗号化されていないということですね。
納得しました。
私も受験生さんと同じような根拠で解いたような気がします。(現状のシステムで問題なく機能しているから、きっとHTTPSの影響を受けないのだろう。という考え方)
(1)と(4)は最初に通信するCONNECTメソッド(HTTP)を参照するから暗号化されていないということですね。
納得しました。
私も受験生さんと同じような根拠で解いたような気がします。(現状のシステムで問題なく機能しているから、きっとHTTPSの影響を受けないのだろう。という考え方)
2021.09.15 00:10
その他のスレッド
»[0713] 平成22年春 午後1 問2 設問3 TPMについて 投稿数:6»[0712] 平成29年春午後Ⅰ 問1の設問2について 投稿数:12
»[0711] H26年春午後1問2設問2 投稿数:9