HOME»情報処理安全確保支援士掲示板»令和4年春期試験問題 午後Ⅰ 問2
投稿する
»[1331] XMLデジタル署名について 投稿数:3
»[1330] 平成30年春 午後II 問1 設問4(1) 投稿数:3
令和4年春期試験問題 午後Ⅰ 問2 [1333]
sorablueさん(No.1)
表2ルータAの設定内容(抜粋)について教えてください。
ファイアウォール機能はインバウンド通信をすべて拒否しています。
しかし、説明欄にはステートフルパケットインスペクション型とあります。
外からの通信をすべて拒否しているのにステートフルパケットインスペクションと
いえるのでしょうか。
ネットで調べると以下でした。
SPIでは自身を通過するパケットを監視して一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、設定された条件に適合するか否かに関わらず不審なパケットとみなして破棄する。通信の何を監視し、”どのような一貫性を求めるかは管理者が設定できるようになっている。”
ルールを自由に設定できるという点でそう呼んでいるのでしょうか。
ファイアウォール機能はインバウンド通信をすべて拒否しています。
しかし、説明欄にはステートフルパケットインスペクション型とあります。
外からの通信をすべて拒否しているのにステートフルパケットインスペクションと
いえるのでしょうか。
ネットで調べると以下でした。
SPIでは自身を通過するパケットを監視して一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、設定された条件に適合するか否かに関わらず不審なパケットとみなして破棄する。通信の何を監視し、”どのような一貫性を求めるかは管理者が設定できるようになっている。”
ルールを自由に設定できるという点でそう呼んでいるのでしょうか。
2024.01.31 21:02
sorablueさん(No.2)
すみませんリンクを貼っていませんでした。
以下URLのp9です。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm1_qs.pdf
以下URLのp9です。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm1_qs.pdf
2024.01.31 21:09
pixさん(No.3)
★SC ダイヤモンドマイスター
すみません。スレ主様の以下の具体的な疑問が汲み取れませんでした。
一般的な回答をいたします。
旧来のファイアウォールは特定の通信を許可するためには、
アウトバウンド・インバウンドの両方の通信を許可する必要がありました。
その分、設定も複雑で量も多くなります。
ステートフルパケットインスペクションは旧来のファイアウォールの機能を大幅に
改良したものです。
アウトバウンド・インバウンドのどちらか片方を許可しておけば、対になる戻りの通信
(アウトバウンドからならインバウンド、インバウンドからならアウトバウンド)を
自動的に許可するというものです。
これにより設定も簡易になり、量も少なくて済みます。
表2ルータAの設定内容(抜粋)には
・インバウンド通信:全て拒否
・アウトバウンド通信:全て許可
とあります。
この設定の場合、ステートフルパケットインスペクション型のファイアウォールは
・インターネットからA社(インバウンド通信)へのは全て拒否する
・A社からインターネット(アウトバウンド通信)は全て許可する
この通信の戻りのインターネットからA社(インバウンド通信)も
ステートフルパケットインスペクションによって自動的に許可する
という動作になります。
>外からの通信をすべて拒否しているのにステートフルパケットインスペクションと
>いえるのでしょうか。
一般的な回答をいたします。
旧来のファイアウォールは特定の通信を許可するためには、
アウトバウンド・インバウンドの両方の通信を許可する必要がありました。
その分、設定も複雑で量も多くなります。
ステートフルパケットインスペクションは旧来のファイアウォールの機能を大幅に
改良したものです。
アウトバウンド・インバウンドのどちらか片方を許可しておけば、対になる戻りの通信
(アウトバウンドからならインバウンド、インバウンドからならアウトバウンド)を
自動的に許可するというものです。
これにより設定も簡易になり、量も少なくて済みます。
表2ルータAの設定内容(抜粋)には
・インバウンド通信:全て拒否
・アウトバウンド通信:全て許可
とあります。
この設定の場合、ステートフルパケットインスペクション型のファイアウォールは
・インターネットからA社(インバウンド通信)へのは全て拒否する
・A社からインターネット(アウトバウンド通信)は全て許可する
この通信の戻りのインターネットからA社(インバウンド通信)も
ステートフルパケットインスペクションによって自動的に許可する
という動作になります。
2024.01.31 21:28
sorablueさん(No.4)
pix様
ご回答ありがとうございます。
・インバウンド通信:拒否か許可
・アウトバウンド通信:拒否か許可
を選択できることがステートフルパケットインスペクションなのですね。
勘違いしていました。インバウンドをすべて拒否したら、
問合せに対する、応答をアウトバウンドで返せないと思いました。
しかし、この場合はアウトバウンド(中から外)の一方通行の通信なのですね。
以下記載だと、インバウンドは許可するものだと勘違いしました。
SPIでは自身を通過するパケットを監視して一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、設定された条件に適合するか否かに関わらず不審なパケットとみなして破棄する。
ご回答ありがとうございます。
・インバウンド通信:拒否か許可
・アウトバウンド通信:拒否か許可
を選択できることがステートフルパケットインスペクションなのですね。
>すみません。スレ主様の以下の具体的な疑問が汲み取れませんでした。
勘違いしていました。インバウンドをすべて拒否したら、
問合せに対する、応答をアウトバウンドで返せないと思いました。
しかし、この場合はアウトバウンド(中から外)の一方通行の通信なのですね。
以下記載だと、インバウンドは許可するものだと勘違いしました。
SPIでは自身を通過するパケットを監視して一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、設定された条件に適合するか否かに関わらず不審なパケットとみなして破棄する。
2024.01.31 21:44
橙色文書さん(No.5)
まず基礎技術を理解すべきかと思いますので、DNSやパケットフィルタリング/ファイアウォールの記載があるTCP/IPの入門書を読みましょう。
基礎は不変ですから古い本であっても問題ないはずです。
基礎は不変ですから古い本であっても問題ないはずです。
2024.02.06 20:29
その他のスレッド
»[1332] 令和元年秋 午後Ⅰ 問3 設問3 (2) について 投稿数:4»[1331] XMLデジタル署名について 投稿数:3
»[1330] 平成30年春 午後II 問1 設問4(1) 投稿数:3