令和元年午後Ⅰ問2 設問2(3)
広告
雲霧さん
(No.1)
マルウェアがDNS通信を用いてC&Cサーバと通信することを遮断するための、FWのフィルタリングルールの変更の問題です。
IPAは、
送信元:DMZ 宛先:インターネット サービス:DNS 許可
と回答しておりますが、
送信元:外部DNSサーバ
ではダメなのかなと思っております。皆様のご意見いただければ幸甚です。
(そう考えた理由)
・図1の注記1)外部DNSサーバは、メールサーバまたはプロキシサーバからDNSクエリを受け、インターネット上の権威DNSサーバと通信し、名前解決を行うフルサービスリゾルバとして機能する。
・DMZに、外部DNSサーバ、メールサーバ、プロキシ、以外に存在するのは公開Webサーバだが、公開WebサーバからDNS通信を外部に行うという通信は通常考えにくい
以上より、DMZからFWを経由してインターネットへDNS通信を行うのは外部DNSサーバだけであり、その外部DNSサーバとインターネットとの間のDNS通信さえ許可しておけば足りると判断しました。
DMZ全体からの通信を許可するのは不要と思うのですが。
IPAは、
送信元:DMZ 宛先:インターネット サービス:DNS 許可
と回答しておりますが、
送信元:外部DNSサーバ
ではダメなのかなと思っております。皆様のご意見いただければ幸甚です。
(そう考えた理由)
・図1の注記1)外部DNSサーバは、メールサーバまたはプロキシサーバからDNSクエリを受け、インターネット上の権威DNSサーバと通信し、名前解決を行うフルサービスリゾルバとして機能する。
・DMZに、外部DNSサーバ、メールサーバ、プロキシ、以外に存在するのは公開Webサーバだが、公開WebサーバからDNS通信を外部に行うという通信は通常考えにくい
以上より、DMZからFWを経由してインターネットへDNS通信を行うのは外部DNSサーバだけであり、その外部DNSサーバとインターネットとの間のDNS通信さえ許可しておけば足りると判断しました。
DMZ全体からの通信を許可するのは不要と思うのですが。
2021.10.05 12:12
わいわいさん
(No.2)
No.1様 鋭い着眼点恐れ入りました
おっしゃるとおり「外部DNSサーバ」でも要件は満たしていると
思われます
ですので、私の想定する範囲で解答致します
気になりましたので過去のFWの関する問題を調べてみたところ
一定の傾向がありました
過去のFWについての問題はIPA側でヒントをFWの表内にさりげなく
示しているようです
FWについての問題はある程度専門知識が必要となるので、それに対する
配慮のように思えます
今回の問題のFWの表ですが、送信元・宛先はすべてネットワーク
単位(セグメント・インターネット)おり、この設定をヒントとして
解答させたい意図があるようです
別の年のFW問題でサーバ名を答える場合、FWの表には送信元・宛先に
ネットワーク・サーバ名が混在しておりました
もし本問でIPAが解答を「外部DNSサーバ」に限定するのであれば、IPAは
・FWの表内にサーバ名のエントリも作成する
・問題文中にサーバ名を解答せよと明示する
といった配慮が取られるように考えらえます
あと、これは完全に深読みしすぎかもしれませんが
特定のFW製品は送信元・宛先が既存にないときは新規に送信元・宛先に
設定できるようにアドレスをオブジェクトとして作成する必要があります
このケースを意識して、問題文を組み立てると
「問題あるルールを削除し、新たにルールを追加した」
という若干くどくどしい文章になるかもしれません
しかし、このような問題はIPA的にも出題はしないと思います
おっしゃるとおり「外部DNSサーバ」でも要件は満たしていると
思われます
ですので、私の想定する範囲で解答致します
気になりましたので過去のFWの関する問題を調べてみたところ
一定の傾向がありました
過去のFWについての問題はIPA側でヒントをFWの表内にさりげなく
示しているようです
FWについての問題はある程度専門知識が必要となるので、それに対する
配慮のように思えます
今回の問題のFWの表ですが、送信元・宛先はすべてネットワーク
単位(セグメント・インターネット)おり、この設定をヒントとして
解答させたい意図があるようです
別の年のFW問題でサーバ名を答える場合、FWの表には送信元・宛先に
ネットワーク・サーバ名が混在しておりました
もし本問でIPAが解答を「外部DNSサーバ」に限定するのであれば、IPAは
・FWの表内にサーバ名のエントリも作成する
・問題文中にサーバ名を解答せよと明示する
といった配慮が取られるように考えらえます
あと、これは完全に深読みしすぎかもしれませんが
特定のFW製品は送信元・宛先が既存にないときは新規に送信元・宛先に
設定できるようにアドレスをオブジェクトとして作成する必要があります
このケースを意識して、問題文を組み立てると
「問題あるルールを削除し、新たにルールを追加した」
という若干くどくどしい文章になるかもしれません
しかし、このような問題はIPA的にも出題はしないと思います
2021.10.05 14:13
雲霧さん
(No.3)
わいわいさん、ありがとうございます。
なるほど確かにFWで書かれてる単位はサーバ単位ではなく、セグメント単位ですね。
本問でのレベルの統一感という観点で言えばDMZが妥当と思うに至りました。
なるほど確かにFWで書かれてる単位はサーバ単位ではなく、セグメント単位ですね。
本問でのレベルの統一感という観点で言えばDMZが妥当と思うに至りました。
2021.10.05 14:53
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告