情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

ARPポイズニングとFWについて気になったことがあるので質問させてください。

FWについて
FWのルールでサービスごとにフィルタリングしているのですが
FWはどうやって通信の種別を判断しているのですか？
例えばこれはHTTPでこれはLDAPこれはSSHのように
宛先ポート番号でしょうか、それともパケットの中身を見て判断するのでしょうか？

ARPポイズニングについて
ARPポイズニングで汚染可能なのは同一セグメント内の機器のみですか？
たとえばこの問いの図1、図4ではFWを境にセグメント分割していますが、
セグメント分けなければここに表記してあるすべての機器に対しARPポイズニングを
行うことができるのでしょうか？(FWのルールは一旦ないものとして）

問3(2)
FWにARPポイズニングをしかけ管理用PCのIPアドレスにAさんのPCのMACアドレスを紐づければ通信はC→A   A→Cのように戻ってくるような気がするのですがどうなんでしょうか？
問題はARPポイズニングされてもFWのルールにより通信が遮断されるから防ぐことが出来ると言っているのでしょうか？
あとここでFWの疑問ともつながってくるのですがFWは宛先、送信元はなにで判断するのですか？IPアドレス？MACアドレス？


お詳しい方教えていただけると助かります。
よろしくお願いいたします。

>例えばこれはHTTPでこれはLDAPこれはSSHのように
>宛先ポート番号でしょうか、それともパケットの中身を見て判断するのでしょうか？
このFWは宛先ポート番号で通信の種別を判断しています。

>セグメント分けなければここに表記してあるすべての機器に対しARPポイズニングを
>行うことができるのでしょうか？(FWのルールは一旦ないものとして）
ARPポイズニングで汚染可能なのは同一セグメント内の機器のみです。
複数NICをもつFWはルータとしても機能していますので、おのずとセグメントが
分割されます。NIC全てを同じセグメントにすることは原則無理と思われます。

>FWにARPポイズニングをしかけ管理用PCのIPアドレスにAさんのPCのMACアドレスを
>紐づければ通信はC→A   A→Cのように戻ってくるような気がするのですが
>どうなんでしょうか？
ARPテーブルはNIC毎に管理されます。
FWのPCセグメントNIC用のARPテーブルがARPポイズニングで汚染されたとしても、
FWのサーバ管理セグメントNIC用のARPテーブルは汚染されていません。
FWで通信に使用するNICは宛先IPアドレスとルーティングテーブルで決定されます。
サーバセグメントからの戻りパケットの宛先IPアドレスは管理用PCのIPアドレス
ですので、ルーティングテーブルからサーバ管理セグメントに接続されている
NICが使用されます。
その際にサーバ管理セグメントNIC用のARPテーブルが参照され、管理用PCの
MACアドレスへ通信が行われます。

ここまでの説明はおおむね正しいはずですが、OSの仕様やFWの仕様により
若干異なる場合があります。


>問題はARPポイズニングされてもFWのルールにより通信が遮断されるから防ぐことが
>出来ると言っているのでしょうか？
このケースでは、FWのルールは関係ないと思われます。
純粋にルーティングとARPテーブルのみで決定されます。


>あとここでFWの疑問ともつながってくるのですがFWは宛先、送信元はなにで判断
>するのですか？IPアドレス？MACアドレス？
OSI参照モデルのL3、L2の基本的な通信についての知識です。
ここはOSI参照モデルは通信にL3、L2の複合構成をしています。
ここを理解していないと疑問が発生すると思います。
説明が長くなりますが、ご容赦ください。

理解するにはセグメント（ホストアドレス）と
自分で送信（直接通信）・他人が送信（間接通信）のイメージが必要です。

例えると、L3は外線電話、L2は内線電話のイメージです。
セグメントは同じ建物のイメージです。

IPアドレスが同じホストアドレスならば、同じ建物で内線電話を使う
イメージです。
内線電話なので、内線電話番号があります。それがMACアドレスに該当します。
MACアドレスがわかれば、自分自身で直接通信が可能です。

IPアドレスが別ホストアドレスならば、別の建物で外線電話を使う
イメージです。
別のセグメントなのでMACアドレスでの直接通信ができません。そのため、
中継器（ルータ）に通信を中継してもらいます。
この時PCとルータはMACアドレスで通信していますが、その先は複数のルータを
経由します。最終的に到達するルータは宛先IPアドレスで決まります。
最終的に到達したルータと宛先IPアドレスの機器は同じセグメントなので
MACアドレスで通信することになります。

ここまでが、基本知識になります。
FWは複数NICをもったルータになります。とあるNICから入ってきた通信を
どのNICへ出すかはFWのルーティングテーブルで決定されます。
出すNICが決まった場合、今度はそのNICのarpテーブルを参照して、MACアドレスを
知り、MACアドレスで通信を行います。

まあ、2週間前だからどうこうってわけじゃないんですが、ほんとはL2、L3、L4をネスペとかである程度理解した上で
SCに入らないとこういう疑問が消化されないのかもしれないなあ、とは思いました。応用のネットワークだと、ほんとに
そういうもん、くらいの扱いだからほっとかれたのかもしれませんね

総合格闘技みたいな側面の試験で、応用の次ってなると、結構そこらへんが雑なまま、なのは多いような
気がしますね

＞FWのPCセグメントNIC用のARPテーブルがARPポイズニングで汚染されたとしても、
＞FWのサーバ管理セグメントNIC用のARPテーブルは汚染されていません。

なるほど、では図4のFW内には3つのNICがあり内部でルーティングされているのですね
FWにルーターのような機能があることを知りませんでした、、、

改めて調べさせてもらったので少しまとめてみました。
あっているのか見てもらえると嬉しいです。

大前提としてARPポイズニングではARPテーブル(IPアドレスとMACアドレスの対応表)を改ざん

LDAPサーバ及びCRMサーバから管理用PCへの通信の流れ
①宛先IPアドレス(管理用PC)を確認しセグメントが異なるため、
ルーテイングテーブルを確認し転送先を調べる
載っていなければデフォルトゲートウェイであるFWに転送
②FWに転送するためにMACアドレスが必要なのでARPテーブルを確認
載っていなけれARPリクエストして確認する。(ここにARPポイズニングの危険がある)
③FWは宛先IPアドレスを確認しルーテイングテーブルに載っている自身のサーバーセグメント側NICに転送
④ARPテーブルを確認し管理用サーバのMACアドレスへ転送
(このARPテーブルはセグメントがPCセグメントと異なるので改ざんされない)

よって通信はARPポイズニングされてもC→A   A→Bとなる
質問した時はARPポイズニングによってFWのすべての情報が改ざんされると思っていました。

>なるほど、では図4のFW内には3つのNICがあり内部でルーティングされているのですね
>FWにルーターのような機能があることを知りませんでした。
インターネットもあるのでNICは全部で4つでした。

>LDAPサーバ及びCRMサーバから管理用PCへの通信の流れ
>①宛先IPアドレス(管理用PC)を確認しセグメントが異なるため、
>ルーテイングテーブルを確認し転送先を調べる
>載っていなければデフォルトゲートウェイであるFWに転送
はい。

>②FWに転送するためにMACアドレスが必要なのでARPテーブルを確認
>載っていなけれARPリクエストして確認する。(ここにARPポイズニングの危険がある)
サーバセグメント-FW間の通信です。このセグメントには不審なPCは存在しないので、
ARPポイズニングの危険性はありません。

>③FWは宛先IPアドレスを確認しルーテイングテーブルに載っている自身の
>サーバーセグメント側NICに転送
ここは「サーバセグメント側NIC」ではなくて「サーバ管理セグメント側NIC」の
間違いと思われます。

>④ARPテーブルを確認し管理用サーバのMACアドレスへ転送
>(このARPテーブルはセグメントがPCセグメントと異なるので改ざんされない)
はい。「管理用サーバ」ではなくて「管理用PC」と思われます。

＞②
ARP要求に対する不正な返信を行いARPポイズニングが行われると書きたかったので、
その時点では危険はないことは理解しております。

＞③
おっしゃる通りサーバ管理セグメント側NICの書き間違いです。

＞④
管理用PCの書き間違いです。

大枠は理解できました。
pix様のおかげです。
ありがとうございます！