HOME»情報処理安全確保支援士掲示板»H25春午後1問2
投稿する
すみませんが、かなり過去の問題なので解説が不十分または誤っている場合が
ありますのでご了承ください。
スレ主様は問題の趣旨を誤解していると思われます。
表2はIPアドレス詐称対策ルールです。偽のIPアドレスを拒否するためのルールを
設定します。
パケットフィルタリングルールではありません。
項番1はIF-1のものなので、B社からA社へ向けた通信を拒否するものとなります。
もし、スレ主様の言うようにキャッシュDNSサーバが反復問合せするのであれば、
項番7のルールで送信元としてキャッシュDNSサーバが許可され外部へ出ていきます。
戻りの通信はキャッシュDNSは【送信先】になるため、項番2で許可されます。
逆に【送信元】がキャッシュDNSでIF-1を通るパケットは、UDPで送信元IPアドレスが
【偽装された】攻撃パケットと考えられます。そのため、項番1で拒否されるべき
通信となります。
P9 「表1 Xシステムの主な機器と機能」の「機器名称:FWーA」に
「IPアドレス詐称対策機能及びパケットフィルタリング機能がある。」と明記
されています。
ここからIPアドレス詐称対策機能とパケットフィルタリング機能の2つが独立して
実装されていると読み取れます。
又、P11「表2 IPアドレス詐称対策ルール」とありますので、ここで対象となるのは
IPアドレス詐称対策機能となります。
ありがとうございます。
正直、あまり腑に落ちていないところではありますが(FW-AのIF-1がB社→A社への通信だけではなく、IF-4を経由してからのIF-1を通るケースもあり、それも(d)を"送信元"と言うのではないか、という点)、他の送信元の拒否・許可ルールを見る限り、B社→A社への通信であるというので辻褄が合いそうなので、その場合、(d)(e)(f)全てを拒否、とするので相違ないと感じました。
(ちょっと本番で出されたら回答できなさそうです)
P11 表2 注記1 「パケットが【受信された"FW-AのIF"】,・・・」と
受信されたIFと明記されています。
IF-4を経由してIF-1を通るのは、【IF-1から送信された】になります。
受信ではありません。
SCの設問は根拠となる文言が問中に存在していることがほとんどです。
特に注が設問を解くうえで重要なヒントになることが多々あります。
H25春午後1問2 [1619]
umejiro330さん(No.1)
https://www.sc-siken.com/pdf/25_haru/pm1_2.pdf
の問2 設問1(4)についてです。
FW-AのIF-1の通過を拒否されるネットワークはどれか、という問いで、答えが(d)(e)(f)になっています。
(d)についてはキャッシュDNSサーバがあり、外部メールサーバからの反復問い合わせにより外部の権威サーバに対して再帰問い合わせを行う必要があることから(d)は通過させないといけないと考えたのですが、(d)が通過拒否になっている理由を教えていただけると幸いです。
の問2 設問1(4)についてです。
FW-AのIF-1の通過を拒否されるネットワークはどれか、という問いで、答えが(d)(e)(f)になっています。
(d)についてはキャッシュDNSサーバがあり、外部メールサーバからの反復問い合わせにより外部の権威サーバに対して再帰問い合わせを行う必要があることから(d)は通過させないといけないと考えたのですが、(d)が通過拒否になっている理由を教えていただけると幸いです。
2024.07.18 20:04
pixさん(No.2)
★SC ダイヤモンドマイスター
>(d)についてはキャッシュDNSサーバがあり、外部メールサーバからの
>反復問い合わせにより外部の権威サーバに対して再帰問い合わせを行う
>必要があることから(d)は通過させないといけないと考えたのですが、
>(d)が通過拒否になっている理由を教えていただけると幸いです。
すみませんが、かなり過去の問題なので解説が不十分または誤っている場合が
ありますのでご了承ください。
スレ主様は問題の趣旨を誤解していると思われます。
表2はIPアドレス詐称対策ルールです。偽のIPアドレスを拒否するためのルールを
設定します。
パケットフィルタリングルールではありません。
項番1はIF-1のものなので、B社からA社へ向けた通信を拒否するものとなります。
もし、スレ主様の言うようにキャッシュDNSサーバが反復問合せするのであれば、
項番7のルールで送信元としてキャッシュDNSサーバが許可され外部へ出ていきます。
戻りの通信はキャッシュDNSは【送信先】になるため、項番2で許可されます。
逆に【送信元】がキャッシュDNSでIF-1を通るパケットは、UDPで送信元IPアドレスが
【偽装された】攻撃パケットと考えられます。そのため、項番1で拒否されるべき
通信となります。
2024.07.18 20:45
納豆のたれさん(No.3)
(d)のアドレスがソースアドレスになっているパケットはIF-4から入ってくるはずです。
同様に、(e)はIF-3から、(f)はIF-2から入ってくるはずです。
もしも、(d)(e)(f)のアドレスがソースアドレスに設定されているパケットが、IF-1から入ってきたらIPアドレスが詐称されていることになります。
だから、IF-1では、(d)(e)(f)がソースに設定されたパケットをブロックすればよいのです。
私はパケットフィルタリングルールだと思います。
同様に、(e)はIF-3から、(f)はIF-2から入ってくるはずです。
もしも、(d)(e)(f)のアドレスがソースアドレスに設定されているパケットが、IF-1から入ってきたらIPアドレスが詐称されていることになります。
だから、IF-1では、(d)(e)(f)がソースに設定されたパケットをブロックすればよいのです。
私はパケットフィルタリングルールだと思います。
2024.07.18 21:20
pixさん(No.4)
★SC ダイヤモンドマイスター
>納豆のたれさん
>私はパケットフィルタリングルールだと思います。
P9 「表1 Xシステムの主な機器と機能」の「機器名称:FWーA」に
「IPアドレス詐称対策機能及びパケットフィルタリング機能がある。」と明記
されています。
ここからIPアドレス詐称対策機能とパケットフィルタリング機能の2つが独立して
実装されていると読み取れます。
又、P11「表2 IPアドレス詐称対策ルール」とありますので、ここで対象となるのは
IPアドレス詐称対策機能となります。
2024.07.18 21:27
umejiro330さん(No.5)
>pixさん
ありがとうございます。
正直、あまり腑に落ちていないところではありますが(FW-AのIF-1がB社→A社への通信だけではなく、IF-4を経由してからのIF-1を通るケースもあり、それも(d)を"送信元"と言うのではないか、という点)、他の送信元の拒否・許可ルールを見る限り、B社→A社への通信であるというので辻褄が合いそうなので、その場合、(d)(e)(f)全てを拒否、とするので相違ないと感じました。
(ちょっと本番で出されたら回答できなさそうです)
2024.07.18 21:54
pixさん(No.6)
★SC ダイヤモンドマイスター
>正直、あまり腑に落ちていないところではありますが(FW-AのIF-1がB社→A社への
>通信だけではなく、IF-4を経由してからのIF-1を通るケースもあり、それも(d)を
>"送信元"と言うのではないか、という点)
P11 表2 注記1 「パケットが【受信された"FW-AのIF"】,・・・」と
受信されたIFと明記されています。
IF-4を経由してIF-1を通るのは、【IF-1から送信された】になります。
受信ではありません。
SCの設問は根拠となる文言が問中に存在していることがほとんどです。
特に注が設問を解くうえで重要なヒントになることが多々あります。
2024.07.18 22:00
納豆のたれさん(No.7)
なるほど。
初見だったので、パケットフィルタリングそのものだと思ってしまいました。
マーケティング上の観点から機能名を特別に付けたパターン?
ネスペの午前問題に同じような出題がありました。
探したら、平成22年秋期 午前Ⅱ 問20 でした。
この(ネスペの)問題を知っていたらサービス問題です。
初見だったので、パケットフィルタリングそのものだと思ってしまいました。
マーケティング上の観点から機能名を特別に付けたパターン?
ネスペの午前問題に同じような出題がありました。
探したら、平成22年秋期 午前Ⅱ 問20 でした。
この(ネスペの)問題を知っていたらサービス問題です。
2024.07.18 22:46