投稿する

H31春午後2 問1 [1054]

 yukiさん(No.1) 
FW2のルールで問い合わせ用pcから全ての宛先の全てのサービスの接続が拒否されているのに
問い合わせ用PCからC&Cサーバに向けてHTTPSと思われるセッションが確立していた
となっているのはなぜでしょうか?
2023.03.26 15:02
pixさん(No.2) 
SC ダイヤモンドマイスター
P4 表3 提供された情報(抜粋)
送信元IPアドレス:aaaa.bbb.ccc.ddd
とあります。
[aaaa.bbb.ccc.ddd]はプロキシサーバのIPアドレスです。

この時のアクセス経路は
[問い合わせPC]->[FW2(項番2:許可)]->[FW1(項番7:許可)]->[プロキシサーバ]->
  [FW1(項番8:許可)]->[インターネット(C&Cサーバ)]
です。
C&CサーバへHTTPS通信のセッションが確立していたのは、問合せPCが直接ではなく、
プロキシサーバ経由でアクセスしていたからです。
2023.03.26 15:25
 yukiさん(No.3) 
??
プロキシサーバで中継されるのはわかっているのですが、、
FW2のルールで問い合わせ用pcから全ての宛先の全てのサービスの接続が拒否されているので問い合わせ用pcからプロキシサーバへもFW2で拒否されるから通信できないのではないですか?
2023.03.27 09:14
pixさん(No.4) 
SC ダイヤモンドマイスター
P3 表1 FW1のルール
内部IP 注1)「N社で使用している全てのプライベートIPアドレスを示す。」
とあります。この注1はFW1、FW2共通と読み取れます。
そのため、問合せPCも内部IPに含まれると読み取れます。

P4 表2 FWのルール
項番2
  送信元:内部IP
  宛先:プロキシサーバ
  サービス:代替HTTP
  動作:許可
  ログ取得:する
このルールで内部IP(問い合わせPC含む)からプロキシサーバの通信が許可されます。

又、P4 表1 FW2のルール
注記「項番が小さいルールから順に、最初に合致したルールが適用される。」
とあります。
そのため、「問合せPC->プロキシサーバ」の通信は項番2の許可ルールが適用され、
その時点でFWのルールの評価は終了します。項番6の拒否ルールは適用されません。
2023.03.27 12:11
 yukiさん(No.5) 
ありがとうございます。
一応理解できました。

ただ、そんなやらしい書き方あります?、、、、
問い合わせPCのFWルールはIPAによる引っかけのためだけの記載と思えばいいですか?
2023.03.27 21:38
pixさん(No.6) 
SC ダイヤモンドマイスター
すみません。特にいやらしいとは思いませんでした。

一般的にFWやACLやパケットフィルタリングは記述ルールとして
・ファーストマッチ
  設定を上から検査し、一番最初にマッチしたものが適用される。
・ラストマッチ
  設定を上から検査し、一番最後にマッチしたものが適用される。
の2種類があります。
これらは製品によって異なるので、対象となるものがどちらなのかを区別することは
重要です。
特に大手のクラウドのセキュリティ設定はこれらが入り乱れるので、苦労することが
多いです。

ファーストマッチパーンの設定の基本として、
上に「特化:個別の細かい設定」
下に「汎化:全体にマッチする大きな設定(上の特化をすり抜けたものを補足する)」
というのが典型的な設定になると思われます。
この「特化-汎化」パターンについて押さえておけば、FWのルールを見たときに
イメージしやすいと思われます。
2023.03.27 21:52
 yukiさん(No.7) 
なるほど!
ありがとうございます。
今後FW見るときは参考にさせて頂きます!
2023.03.28 20:05
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop