HOME»情報処理安全確保支援士掲示板»令和2年度秋期 午後1 問3設問1(3)
投稿する
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?
ネットワークからという文言は、純粋にFWの外を指していると思います。
ここでいう内部が管理LAN内かDMZ上を指すかは判らないので、他から判断するしかないと思います。
<a>は表2にも記載があり、
表2の診断内容-診断1を拝見する限り、攻撃者がインターネットから本番Webサーバを攻撃し、本番DBサーバの秘密情報を搾取する脅威を想定とあるので、
Webサーバからみてインターネット側から診断するのが適切ではないでしょうか?
443は開いていないでしょ
Windowsサーバかも知れないよ
ご指摘頂きありがとうございます。
SSLアクセラレータが途中にあるので、開いているのは80/tcpのみです。
22/tcp,3389/tcpのほうが適切ですね。
»[1034] 平成28年度秋期 午後2 問1 設問4(2) 投稿数:5
»[1033] H25秋 午後2 問1 設問4(3) 投稿数:3
令和2年度秋期 午後1 問3設問1(3) [1036]
yukiさん(No.1)
診断PCの接続箇所を問う問題なのですがなぜこの解答なのでしょうか?
bかなと思ったのですがbではなぜダメなのでしょうか?
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
bかなと思ったのですがbではなぜダメなのでしょうか?
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
2023.03.14 20:20
pixさん(No.2)
★SC ダイヤモンドマイスター
一見(b)でもよさそうに見えます。
しかし、このネットワーク図から本文中に書いていない設定を想定すると、
(a)が適切と思われます。
(b)がNGな理由ですが、ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット向けのサービス用NIC (a)側
・管理LAN向けの管理用NIC (b)側
インターネットサービス(80,443/tcp)はサービス用NICのみでLISTENしており、
管理LAN向けの管理用NICは管理に必要なポート(例 22/tcpなど)のみ
許可で、サービス用ポート(80,443/tcp)は閉塞している可能性があります。
そのため純粋に内部からのWeb診断、PF診断をするのであれば(a)が適切と
考えられます。
しかし、このネットワーク図から本文中に書いていない設定を想定すると、
(a)が適切と思われます。
(b)がNGな理由ですが、ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット向けのサービス用NIC (a)側
・管理LAN向けの管理用NIC (b)側
インターネットサービス(80,443/tcp)はサービス用NICのみでLISTENしており、
管理LAN向けの管理用NICは管理に必要なポート(例 22/tcpなど)のみ
許可で、サービス用ポート(80,443/tcp)は閉塞している可能性があります。
そのため純粋に内部からのWeb診断、PF診断をするのであれば(a)が適切と
考えられます。
2023.03.14 21:14
yukiさん(No.3)
ごめんなさいわからないです。
インターネットからのPF診断だけではなく内部のネットワークからのPF診断も実施すべきとのことで
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?
内部からの通信でなおかつFWによって止められないbが最適かなと思うのですが、、、
インターネットからのPF診断だけではなく内部のネットワークからのPF診断も実施すべきとのことで
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?
内部からの通信でなおかつFWによって止められないbが最適かなと思うのですが、、、
2023.03.14 21:57
pixさん(No.4)
★SC ダイヤモンドマイスター
この投稿は投稿者により削除されました。(2023.03.14 22:36)
2023.03.14 22:36
hisashiさん(No.5)
★SC ブロンズマイスター
>インターネットからのPF診断だけではなく内部のネットワークからのPF診断も実施すべきとのことで
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?
ネットワークからという文言は、純粋にFWの外を指していると思います。
ここでいう内部が管理LAN内かDMZ上を指すかは判らないので、他から判断するしかないと思います。
<a>は表2にも記載があり、
表2の診断内容-診断1を拝見する限り、攻撃者がインターネットから本番Webサーバを攻撃し、本番DBサーバの秘密情報を搾取する脅威を想定とあるので、
Webサーバからみてインターネット側から診断するのが適切ではないでしょうか?
2023.03.14 22:35
pixさん(No.6)
★SC ダイヤモンドマイスター
この問題は一般的な脆弱性診断の知識・経験が必要です。
脆弱性診断の経験がないと理解しずらいかと思います。
本文中には「インターネット側(のNIC)」とは書いてありません。
書いてあるのは「インターネットから(外部)」です。
また、内部とは「管理LAN」だけのことではありません。
内部とは以下の3つをまとめたL社環境全体です。
・本番環境(DMZ、DB-LAN)
・ステージング環境(ステージングLAN)
・管理LAN
脆弱性診断には以下2種類があります。
・Web診断(Webアプリケーションの脆弱性診断
TLSのバージョン調査、暗号スイート調査、
XSS、CSRF、ディレクトリトラバーサル、
OSコマンドインジェクション、SQLインジェクションなどの検査)
・PF診断
(OSの不正ログイン、不要なポートが開いてないかなどの検査)
実施場所は以下2種類あります
・インターネット(リモートから)
・内部
インターネット経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->(インターネット)->
[FW1]->[SSLアクセラレータ]->[N-IPS]->[L2SW]->[本番Webサーバ]
内部経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->[L2SW]->[本番Webサーバ]
ですので、(a)の接続点は内部からの診断になります。
Web診断は以下のような観点で実施されます
・インターネットから
N-IPSで不正なアクセスがブロックされるか
・内部から
Webプリケーションに潜在的な脆弱性が存在しないか
PF診断は以下のような観点で実施されます
・インターネットから
FWで不正なポートアクセスがブロックされるか
・内部から
OSで不要なポートがオープンしていないか
脆弱性診断の経験がないと理解しずらいかと思います。
>接続点を変更しているのにaの接続点ではインターネット側になるのでは
>ないでしょうか?
本文中には「インターネット側(のNIC)」とは書いてありません。
書いてあるのは「インターネットから(外部)」です。
また、内部とは「管理LAN」だけのことではありません。
内部とは以下の3つをまとめたL社環境全体です。
・本番環境(DMZ、DB-LAN)
・ステージング環境(ステージングLAN)
・管理LAN
脆弱性診断には以下2種類があります。
・Web診断(Webアプリケーションの脆弱性診断
TLSのバージョン調査、暗号スイート調査、
XSS、CSRF、ディレクトリトラバーサル、
OSコマンドインジェクション、SQLインジェクションなどの検査)
・PF診断
(OSの不正ログイン、不要なポートが開いてないかなどの検査)
実施場所は以下2種類あります
・インターネット(リモートから)
・内部
インターネット経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->(インターネット)->
[FW1]->[SSLアクセラレータ]->[N-IPS]->[L2SW]->[本番Webサーバ]
内部経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->[L2SW]->[本番Webサーバ]
ですので、(a)の接続点は内部からの診断になります。
Web診断は以下のような観点で実施されます
・インターネットから
N-IPSで不正なアクセスがブロックされるか
・内部から
Webプリケーションに潜在的な脆弱性が存在しないか
PF診断は以下のような観点で実施されます
・インターネットから
FWで不正なポートアクセスがブロックされるか
・内部から
OSで不要なポートがオープンしていないか
2023.03.14 22:48
boyonboyonさん(No.7)
横から失礼します。
ここでの診断は、
と書いてあるので、2つの診断の目的を次のように考えました。
・インターネットから、本番WebサーバにPF診断、Web診断。
FW、SSLアクセラレータ、NーIPSをくぐり抜けて本番Webサーバを攻撃する。
くぐり抜けるところも合わせて(or主にかな)診断できる。
・接続点□から、本番WebサーバにPF診断、Web診断。
こちらは、本番Webサーバ自体の診断中心。
だから、すぐ側にPCをつなげる。
(a)と(b)が近いけれど、(b)は管理LANからなので、攻撃になるのかな?と思いました。
よって、(a)が適当だと思いました。(ちょうどくぐり抜けた後の場所なので)
ここでの診断は、
>攻撃者がインターネットから本番Webサーバを攻撃し、・・・
と書いてあるので、2つの診断の目的を次のように考えました。
・インターネットから、本番WebサーバにPF診断、Web診断。
FW、SSLアクセラレータ、NーIPSをくぐり抜けて本番Webサーバを攻撃する。
くぐり抜けるところも合わせて(or主にかな)診断できる。
・接続点□から、本番WebサーバにPF診断、Web診断。
こちらは、本番Webサーバ自体の診断中心。
だから、すぐ側にPCをつなげる。
(a)と(b)が近いけれど、(b)は管理LANからなので、攻撃になるのかな?と思いました。
よって、(a)が適当だと思いました。(ちょうどくぐり抜けた後の場所なので)
2023.03.15 00:53
pixさん(No.8)
★SC ダイヤモンドマイスター
為念、もう一度No.2と同様の内容を投稿いたします。
一見(b)でもよさそうに見えます。
しかし、このネットワーク図から本文中に書いていませんが、以下のような
ネットワーク設定が想定されます。
ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット側のサービス用NIC (a)側
オープンしていると想定されるポート:80,443/tcp(HTTP、HTTPS)、
これ以外のポートはクローズ
・管理LAN側の管理用NIC (b)側
オープンしていると想定されるポート:22/tcp(SSH)、
これ以外のポートはクローズ
以上のように(a)と(b)ではポートの開け方に違いがあり、(b)からでは
計画通りWeb診断、PF診断を行えないと思われます。
したがって、内部からのWeb診断、PF診断をするのであれば(a)が
適切と考えられます。
一見(b)でもよさそうに見えます。
しかし、このネットワーク図から本文中に書いていませんが、以下のような
ネットワーク設定が想定されます。
ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット側のサービス用NIC (a)側
オープンしていると想定されるポート:80,443/tcp(HTTP、HTTPS)、
これ以外のポートはクローズ
・管理LAN側の管理用NIC (b)側
オープンしていると想定されるポート:22/tcp(SSH)、
これ以外のポートはクローズ
以上のように(a)と(b)ではポートの開け方に違いがあり、(b)からでは
計画通りWeb診断、PF診断を行えないと思われます。
したがって、内部からのWeb診断、PF診断をするのであれば(a)が
適切と考えられます。
2023.03.15 03:51
PAC3さん(No.9)
> オープンしていると想定されるポート:80,443/tcp(HTTP、HTTPS)、
443は開いていないでしょ
> オープンしていると想定されるポート:22/tcp(SSH)、
Windowsサーバかも知れないよ
2023.03.15 06:24
pixさん(No.10)
★SC ダイヤモンドマイスター
>PAC3さん
ご指摘頂きありがとうございます。
>443は開いていないでしょ
SSLアクセラレータが途中にあるので、開いているのは80/tcpのみです。
>Windowsサーバかも知れないよ
22/tcp,3389/tcpのほうが適切ですね。
2023.03.15 07:25
yukiさん(No.11)
皆様ご丁寧にありがとうございます。
実務経験が全くないのでそのような発想ができませんでした。
皆様の意見をよく読みもう一度考えてみたいと思います。
ありがとうございます。
実務経験が全くないのでそのような発想ができませんでした。
皆様の意見をよく読みもう一度考えてみたいと思います。
ありがとうございます。
2023.03.15 21:04
助かりましたさん(No.12)
私もわかりませんでした。丁寧な解説ありがとうございます!ここしかこの問題の解説してないので、貴重。
2023.03.25 04:10
その他のスレッド
»[1035] 令和4年春午後1問3設問2(1)と設問3(2) 投稿数:5»[1034] 平成28年度秋期 午後2 問1 設問4(2) 投稿数:5
»[1033] H25秋 午後2 問1 設問4(3) 投稿数:3