令和元年 秋期 午後Ⅰ問2 別解はあり得ますか?
ラストスパートさん
(No.1)
設問2の(3)についてです。
FWのフィルタリングルールを変更し、C&CサーバへのDNS通信を遮断するという問題ですが、
IPAの解答は以下です。
送信元:DMZ
宛先:インターネット
動作:許可
私は以下と考えてしまったのですが、
送信元:オフィスセグメント
宛先:インターネット
動作:拒否
内部サーバセグメントからインターネットの通信についてはそもそも項番7で遮断されているという理解でして、上記2つの解答の差分が分かりません。
お詳しい方ご教示いただけませんでしょうか。
問題↓
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
FWのフィルタリングルールを変更し、C&CサーバへのDNS通信を遮断するという問題ですが、
IPAの解答は以下です。
送信元:DMZ
宛先:インターネット
動作:許可
私は以下と考えてしまったのですが、
送信元:オフィスセグメント
宛先:インターネット
動作:拒否
内部サーバセグメントからインターネットの通信についてはそもそも項番7で遮断されているという理解でして、上記2つの解答の差分が分かりません。
お詳しい方ご教示いただけませんでしょうか。
問題↓
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
2022.04.09 09:00
pixさん
★SC ダイヤモンドマイスター
(No.2)
変更前のルールは
項番:3
送信元:全て
宛先:インターネット
サービス:DNS
動作:許可
この設定では[全て]->[インターネット]でDNSを許可します。
IPAの解答は以下であり
項番:3
★送信元:DMZ
宛先:インターネット
サービス:DNS
動作:許可
この設定により[DMZ]->[インターネット]のみのDNSを許可にかわりました。
もし書き込みのように
項番:3
★送信元:オフィスセグメント
宛先:インターネット
サービス:DNS
★動作:拒否
と設定した場合、[オフィスセグメント]->[インターネット]のDNSは拒否されます。
しかし、項番:3の変更の副作用により、
[全て]->[インターネット]:[DNS]:[許可]がなくなったため、
それに含まれていた(部分集合)であった
[DMZ]->[インターネット]:[DNS]:[許可]が消滅し、DMZからのDNS通信不可に
なります。
故に、意図しない部分まで拒否する誤った設定となっています。
このFWの設定が原則禁止ポリシーに基づいて設定されております。
すべての通信を拒否して、必要あるものだけを明示的に許可する
というものです。
ですので、途中で拒否設定を入れるのは混乱を招く可能性があるので
十分注意してください。
項番:3
送信元:全て
宛先:インターネット
サービス:DNS
動作:許可
この設定では[全て]->[インターネット]でDNSを許可します。
IPAの解答は以下であり
項番:3
★送信元:DMZ
宛先:インターネット
サービス:DNS
動作:許可
この設定により[DMZ]->[インターネット]のみのDNSを許可にかわりました。
もし書き込みのように
項番:3
★送信元:オフィスセグメント
宛先:インターネット
サービス:DNS
★動作:拒否
と設定した場合、[オフィスセグメント]->[インターネット]のDNSは拒否されます。
しかし、項番:3の変更の副作用により、
[全て]->[インターネット]:[DNS]:[許可]がなくなったため、
それに含まれていた(部分集合)であった
[DMZ]->[インターネット]:[DNS]:[許可]が消滅し、DMZからのDNS通信不可に
なります。
故に、意図しない部分まで拒否する誤った設定となっています。
このFWの設定が原則禁止ポリシーに基づいて設定されております。
すべての通信を拒否して、必要あるものだけを明示的に許可する
というものです。
ですので、途中で拒否設定を入れるのは混乱を招く可能性があるので
十分注意してください。
2022.04.09 09:58
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告