H31春 PM2 問1 設6(2)の解説お願い
ぴかさん
(No.1)
「図4の流れの中で、FW1は、社内PCが持っているクライアント証明書に対応した秘密鍵を利用することができない。」
とありますが、社外のサーバーでクライアント証明書の提示が必要なサーバーにアクセスしたとき、
社内PCと社外のサーバーで直接(透過的に)コネクションを張るのではないでしょうか?
また、クライアント証明書って、クライアント側は、秘密鍵を保持しておいて、サーバーやFW1は、クライアントの
公開鍵で正規のクライアントか確認(検証)すると思いますが、なぜ、ここでFW1がクライアントに対する秘密鍵を利用する
ことができないといっているのでしょうか?
とありますが、社外のサーバーでクライアント証明書の提示が必要なサーバーにアクセスしたとき、
社内PCと社外のサーバーで直接(透過的に)コネクションを張るのではないでしょうか?
また、クライアント証明書って、クライアント側は、秘密鍵を保持しておいて、サーバーやFW1は、クライアントの
公開鍵で正規のクライアントか確認(検証)すると思いますが、なぜ、ここでFW1がクライアントに対する秘密鍵を利用する
ことができないといっているのでしょうか?
2020.02.02 07:52
わっつさん
(No.2)
>社内PCと社外のサーバーで直接(透過的に)コネクションを張るのではないでしょうか?
プロキシサーバを経由するようなTLS通信の場合は「CONNECT」メソッドを利用して書かれているように透過的な暗号化通信を実施します。
ところが,暗号化されているため,途中の装置(プロキシサーバやFWなど)でマルウェアの判定ができなくなるというセキュリティリスクが生じることになります。
※このリスクへの対応が"対策1"になります。
>FW1がクライアントに対する秘密鍵を利用することができないといっているのでしょうか?
図4および図5のようにFW1はクライアントとFW1間,FW1と外部Webサーバ間でそれぞれTLSコネクションを構築します。
表5の項番1のケースでは,外部Webサーバはクライアント認証のためにクライアントの公開鍵を利用しますが,FW1はクライアントの秘密鍵を持つことができないため認証に失敗します。
※通常の不特定なインターネットアクセスではクライアント認証を公開鍵認証方式で実行しないため,このような制約は発生しません。
この制約を回避するため,「クライアント認証が必要な外部Webサーバ宛の通信」についてはFW1で復号しない「例外リスト」という仕組みを利用しています。(P11.表5以下の文章)
2020.02.02 12:52
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告