HOME»情報処理安全確保支援士掲示板»平成25年度秋期 午後2 問1 設問4(3)
投稿する

平成25年度秋期 午後2 問1 設問4(3) [1025]

 everythingさん(No.1) 
こちの解答ですがブラックリストにC&CサーバのURLを設定すると答えましたが公式解答はプロキシで利用者の認証を有効にするでした。私の解答では間違いでしょうか?
2023.02.26 22:34
GinSanaさん(No.2) 
SC ブロンズマイスター
この時代だからなのかFWのACL(フィルタリングのリスト)が書いてないのでなんともな、な部分はありますが、

マルウェアからFWを直で経由してHTTP通信をやられちゃたまらんわけで、元々ふつうのウェブ接続だってプロキシを経由するわけなので、FWのACLには、宛先がANYで送信元がプロキシのHTTP(orHTTPS  昔はHTTPだけだったが)なルールがあるわけです。
そんな中で、当然マルウェアも直じゃ通信が出来ないんじゃプロキシを噛ませに来るわけですので、認証をして弾かないとなとなるわけなので、模範解答に至るわけです。
C2サーバのURLを書くだけだと、元を断てないんですよね。
2023.02.26 22:49
pixさん(No.3) 
SC ダイヤモンドマイスター
補足させて頂きます。
ブラックリストでの対応では、
・既知のマルウェアでURLが判明している必要がある
・既知のマルウェアでもURLが変化した場合は対応できない(Fast Flux法等)
・未知のマルウェアは対応できない
という弱点・欠点があります。

P13 K主任の発言「マルウェアPも含め、多くのマルウェア」とあります。
この発言は、マルウェア一般に対して有効な手段を講じる必要があることを
示唆しています。
また、P5 表3の内容に不自然に「(現状は無効)」という記述があります。
これは対応として、出題者が暗にこの機能を利用してほしいというヒントと
なっております。

これらを踏まえると「プロキシで利用者の認証を有効にする。」が一番適切な
解答と考えられます。

>私の解答では間違いでしょうか?
この掲示板でも度々語られていますが「IPAに別解なし」です。
別解を求めるのではなく、どういう思考で解答にたどり着くかを検討することが
重要です。
2023.02.26 22:58
GinSanaさん(No.4) 
SC ブロンズマイスター
この投稿は投稿者により削除されました。(2023.02.26 23:03)
2023.02.26 23:03
GinSanaさん(No.5) 
SC ブロンズマイスター
たしかに、認証しないプロキシなんか今まで出てきたためしがないだろ、と言われるとまあね・・・となる(自分が遠い昔にみた限りではそうだった  というか当たり前すぎて書いてなかった?)んですが、プロキシで止めるとしたら認証ブロックくらいしかない+(現状は無効)があるのでもうそれしかない。IPA特有と言えば特有ですが、マイナスな記述はうさんくささ満載です。ネスペとかでもそう。
C2のURL変えてたらいたちごっこにしかならんので。
2023.02.26 23:03
 everythingさん(No.6) 
GinSanaさん pixさんご回答ありがとうございました。
大変参考になりました。
2023.02.27 08:11
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop