HOME»情報処理安全確保支援士掲示板»FWの設定に関する質問
投稿する
問題の趣旨を読み違えています。
FWの設定で許可するのは
「Webサーバ->DBサーバのみ許可」です。
53portはDNSで関係ないです。
これならば、DMZに配置されているサーバでDBサーバにアクセスできるのは
Webサーバのみです。
攻撃者によってDNSサーバが不正侵入されたとしても、DBサーバへはアクセスできません。
より分かりやすい例を挙げます。
DMZにサーバが100台あると仮定します。
その場合でも、
「Webサーバ->DBサーバのみ許可」
にすれば、DBサーバへアクセスできるのはDMZにあるWebサーバ1台だけです。
その他99台のサーバはDBサーバへはアクセスできません。
はい。
本設問の題意は、DMZに配置されたサーバが不正侵入された場合に以下に
被害を軽減するかです。
FWはOSI参照モデルのトランスポート層(L4)で動作します。
これにより、TCP/IPレベルでの不正な通信を遮断することができます。
しかし、SQLインジェクションはHTTPのSQLクエリ中に不正なクエリを
混入した攻撃です。通常のFWでは遮断できません。
HTTPはOSI参照モデルのアプリケーション層(L7)で動作してします。
そのため、SQLインジェクションを防ぐにはL7ファイアウォールである
WAFでないと防ぐことができません。
本設問のような問を解くとき、攻撃がOSI参照モデルのどのレイヤで
動作しているかを正確に把握する必要があります。
また、その前提としてOSI参照モデルについて、正確に理解しておく
必要があります。
はい。その認識であっっております。
あと表現として「仕方がない」というのは少々ネガティブです。
「DNSサーバに不正侵入されてもDBサーバは影響がない」というように捉えてた
ほうがよいです。
はい。問は「最も有効な設定はどれか。」と聞いています。
完全に侵入を防ぐ方法ではありません。
FWの設定に関する質問 [1586]
八王子さんさん(No.1)
https://www.sc-siken.com/s/kakomon/22_aki/am2_6.html
上記問題についてです。
答えのアは「FWの設定で、Webサーバ→DBサーバ(53port)のみ許可」という事だと思いますが、これで攻撃は防げるのでしょうか?
問題文に「DMZを経由してなされる〜」とあることから、攻撃内容としては最初に「外部→Webサーバ(DMZ)」に不審なリクエスト(DBに関連する攻撃:SQLインジェクション等)を送信し、その後リクエストに答えるため「Webサーバ→DBサーバ」の通信が発生して攻撃が成立するものだと考えられます。
であれば、アの答えでも攻撃が成立するのではないでしょうか?
攻撃者がDBのIPアドレスを直接指定して攻撃しようとしているのであれば、アで防げるのは理解できるのですが……(そもそもDBは内部NWにあるためグローバルIPは割り振られておらず不可能だとは思います)
上記問題についてです。
答えのアは「FWの設定で、Webサーバ→DBサーバ(53port)のみ許可」という事だと思いますが、これで攻撃は防げるのでしょうか?
問題文に「DMZを経由してなされる〜」とあることから、攻撃内容としては最初に「外部→Webサーバ(DMZ)」に不審なリクエスト(DBに関連する攻撃:SQLインジェクション等)を送信し、その後リクエストに答えるため「Webサーバ→DBサーバ」の通信が発生して攻撃が成立するものだと考えられます。
であれば、アの答えでも攻撃が成立するのではないでしょうか?
攻撃者がDBのIPアドレスを直接指定して攻撃しようとしているのであれば、アで防げるのは理解できるのですが……(そもそもDBは内部NWにあるためグローバルIPは割り振られておらず不可能だとは思います)
2024.05.26 08:34
pixさん(No.2)
★SC ダイヤモンドマイスター
>答えのアは「FWの設定で、Webサーバ→DBサーバ(53port)のみ許可」という事だと
>思いますが、これで攻撃は防げるのでしょうか?
問題の趣旨を読み違えています。
FWの設定で許可するのは
「Webサーバ->DBサーバのみ許可」です。
53portはDNSで関係ないです。
これならば、DMZに配置されているサーバでDBサーバにアクセスできるのは
Webサーバのみです。
攻撃者によってDNSサーバが不正侵入されたとしても、DBサーバへはアクセスできません。
より分かりやすい例を挙げます。
DMZにサーバが100台あると仮定します。
その場合でも、
「Webサーバ->DBサーバのみ許可」
にすれば、DBサーバへアクセスできるのはDMZにあるWebサーバ1台だけです。
その他99台のサーバはDBサーバへはアクセスできません。
2024.05.26 09:53
八王子さんさん(No.3)
ありがとうございます。DMZやらDNSやらでゴチャゴチャになっていました。53portに関する発言はご放念下さい。
しかし、やはり引っ掛かります。
例えばDBで不正な操作をさせるSQLインジェクション攻撃を行う場合はDMZのWebサーバを経由して行われませんか?
つまり、
1.『外部->Webサーバ』
DMZのWebサーバで管理されているWebページの入力欄に、攻撃者がSQL文を挿入
2.『Webサーバ->DBサーバ』
リクエストを受け取ったWebサーバが、不正なSQL文をDBサーバに送信
という流れであれば、アの対策のみでは攻撃を防ぎきれないと思われます。
それとも問題文にある「DMZを経由してなされるDBサーバへの不正侵入」にSQLインジェクションなどの攻撃は含まれないという事なのでしょうか?
しかし、やはり引っ掛かります。
例えばDBで不正な操作をさせるSQLインジェクション攻撃を行う場合はDMZのWebサーバを経由して行われませんか?
つまり、
1.『外部->Webサーバ』
DMZのWebサーバで管理されているWebページの入力欄に、攻撃者がSQL文を挿入
2.『Webサーバ->DBサーバ』
リクエストを受け取ったWebサーバが、不正なSQL文をDBサーバに送信
という流れであれば、アの対策のみでは攻撃を防ぎきれないと思われます。
それとも問題文にある「DMZを経由してなされるDBサーバへの不正侵入」にSQLインジェクションなどの攻撃は含まれないという事なのでしょうか?
2024.05.26 19:41
pixさん(No.4)
★SC ダイヤモンドマイスター
>それとも問題文にある「DMZを経由してなされるDBサーバへの不正侵入」に
>SQLインジェクションなどの攻撃は含まれないという事なのでしょうか?
はい。
本設問の題意は、DMZに配置されたサーバが不正侵入された場合に以下に
被害を軽減するかです。
FWはOSI参照モデルのトランスポート層(L4)で動作します。
これにより、TCP/IPレベルでの不正な通信を遮断することができます。
しかし、SQLインジェクションはHTTPのSQLクエリ中に不正なクエリを
混入した攻撃です。通常のFWでは遮断できません。
HTTPはOSI参照モデルのアプリケーション層(L7)で動作してします。
そのため、SQLインジェクションを防ぐにはL7ファイアウォールである
WAFでないと防ぐことができません。
本設問のような問を解くとき、攻撃がOSI参照モデルのどのレイヤで
動作しているかを正確に把握する必要があります。
また、その前提としてOSI参照モデルについて、正確に理解しておく
必要があります。
2024.05.26 19:49
八王子さんさん(No.5)
ものすごく納得できました!
確かにFWはレイヤー4までしかカバーできませんもんね。(最近だとUTMなどシグネチャ検知まで出来ますが……)
つまり、この問は「必要最低限のアクセス権限を付与しよう」というスタンスであり、Webサーバが不正侵入された場合などは仕方がないという感じなのですかね?
完全に侵入を防ぐ方法を聞いている訳ではないという認識で合っていますでしょうか?
確かにFWはレイヤー4までしかカバーできませんもんね。(最近だとUTMなどシグネチャ検知まで出来ますが……)
つまり、この問は「必要最低限のアクセス権限を付与しよう」というスタンスであり、Webサーバが不正侵入された場合などは仕方がないという感じなのですかね?
完全に侵入を防ぐ方法を聞いている訳ではないという認識で合っていますでしょうか?
2024.05.27 17:15
pixさん(No.6)
★SC ダイヤモンドマイスター
>つまり、この問は「必要最低限のアクセス権限を付与しよう」というスタンスであり、
>Webサーバが不正侵入された場合などは仕方がないという感じなのですかね?
はい。その認識であっっております。
あと表現として「仕方がない」というのは少々ネガティブです。
「DNSサーバに不正侵入されてもDBサーバは影響がない」というように捉えてた
ほうがよいです。
>完全に侵入を防ぐ方法を聞いている訳ではないという認識で合っています
>でしょうか?
はい。問は「最も有効な設定はどれか。」と聞いています。
完全に侵入を防ぐ方法ではありません。
2024.05.27 17:36
八王子さんさん(No.7)
本当にありがとうございました。
お返事もとても早く助かります。
完全解決です。
お返事もとても早く助かります。
完全解決です。
2024.05.27 17:51