平成31年春午後Ⅱ問1設問5(3)
広告
akiさん
(No.1)
窃取した情報を外部に持ち出す方法を二つ問われている問題で、令和元年秋午後Ⅰ問2の問題を解いた時のことを思い出しながら、解答の一つを「情報を分割しD N Sクエリのホスト部に偽装して送信する方法」としました。I P Aの模範解答はメールを利用する方法と攻撃者が用意するアクセスポイントを経由する方法が挙げられており、それぞれ納得いくものでした。
ただ、この設問の場合は別解があってもよさそうに思いましたが、私の解答は正解になると考えて良いでしょうか。
ただ、この設問の場合は別解があってもよさそうに思いましたが、私の解答は正解になると考えて良いでしょうか。
2023.04.10 21:26
pixさん
★SC ダイヤモンドマイスター
(No.2)
>私の解答は正解になると考えて良いでしょうか。
本設問では正解にはならないと思われます。
令和元年秋午後Ⅰ問2 設問2(5)はDNSトンネリングについての問題でした。
この問題は、FWのフィルタリングルールのDNSの弱い部分ををつく前提です。
したがって、設問として成り立たせるために、わざと不適切なFWのフィルタリング
ルールが掲載されているということです。
具体的にはFWのフィルタリングルールの項番1より、オフィスセグメントのPCがDMZの
外部DNSサーバに直接DNSクエリを投げられるからこそ成り立っています。
平成31年春午後Ⅱ問1 設問5(3)はFW2のフィルタリングルールからはDNSの弱い部分が
見当たらないので、DNSトンネリングが実現できるという根拠はありません。
そのため、DNSトンネリングについては正解にはならないと考えられます。
2023.04.10 21:55
akiさん
(No.3)
DNSトンネリングが成立する条件について十分理解できていなかったようです。それ以前に内部DNSと外部DNSの関係もよくわかっていないかもしれません。少し補足していただきたいのですが、平成31年春午後Ⅱ問1のネットワーク図及びFWの設定を見る限り、インターネット上のWEBサーバの名前解決をするためのDNSサービスの通信ルートは、確かに明記されていないとおもいました。あらためて考えると…で隠れている中に許可設定として何らかのDNS通信の記載があるものと推測しています。
解いてみたときは思い込みもあり、内部IPからDMZの外部DNSサーバに直接DNSクエリを投げられると考えていました。pixさまにご指摘いただいた、内部IPからDMZの外部DNSサーバに直接DNSクエリを投げられないケースを考えたとき、例えば内部IPから内部DNS、内部DNSから外部DNSを経由するという経路が想定されるということでしょうか。またその場合、DNSトンネリングは成立しないということなのでしょうか。
また内部PC(オフィスセグメントのPC)がDMZの外部DNSサーバに直接DNSクエリを投げられる設定は実務的にも「不適切」な設定とされているのでしょうか。
基本的な質問かもしれませんがご教示いただけますと幸いです。
解いてみたときは思い込みもあり、内部IPからDMZの外部DNSサーバに直接DNSクエリを投げられると考えていました。pixさまにご指摘いただいた、内部IPからDMZの外部DNSサーバに直接DNSクエリを投げられないケースを考えたとき、例えば内部IPから内部DNS、内部DNSから外部DNSを経由するという経路が想定されるということでしょうか。またその場合、DNSトンネリングは成立しないということなのでしょうか。
また内部PC(オフィスセグメントのPC)がDMZの外部DNSサーバに直接DNSクエリを投げられる設定は実務的にも「不適切」な設定とされているのでしょうか。
基本的な質問かもしれませんがご教示いただけますと幸いです。
2023.04.11 13:38
pixさん
★SC ダイヤモンドマイスター
(No.4)
IPAの過去問を演習していると、過去に似た問題があると、同じようなものと認識し、
間違ってしまうケースが、多々あります。
記憶しているところでは、過去問でDNS以外にもデータフォレンジックの問題で似た
問題につられて誤答してしまうケースがよくありました。
IPAの過去問を解くときは、過去の似た問題ははあくまで参考程度で、別物と捉えて
取り組んだほうがよろしいと思います。
過去の問題の例から推測するにインターネット上のWEBサーバにアクセスするのは、
プロキシサーバで、名前解決もプロキシサーバが外部DNSサーバに対して行うと
想定されます。
したがって、FWのルールの"…"で隠れている部分に設定があるわけではないと
考えられます。
はい。上にも書きましたが、インターネットのWEBサーバはプロキシ経由でアクセス
されると想定されます。そのため、PCがインターネットのWEBサーバにアクセスする
際には名前解決は発生しないと考えられます。
又、内部DNSと外部DNS間でDNSクエリをやり取りする場合は、FW1、FW2のルールに
内部DNSと外部DNS間でDNSを許可するルールが存在すると思われます。
それがないということは内部DNSと外部DNSは完全に独立していると考えられます。
また別の問題では内部DNSと外部DNS間でDNSクエリをやり取りする場合は本文中に
その旨が明記されておりました。
内部DNSが存在するのにもかからわず、外部DNSへ直接DNSクエリを投げるのは
好ましくないと思われます。
その際はPCからはDNSサーバとして内部DNSを設定し、内部DNSは
・内部に対する権威DNSサーバ
・外部のDNS問い合わせを処理するキャッシュDNSサーバ
として動作するのが良いかと思われます。
間違ってしまうケースが、多々あります。
記憶しているところでは、過去問でDNS以外にもデータフォレンジックの問題で似た
問題につられて誤答してしまうケースがよくありました。
IPAの過去問を解くときは、過去の似た問題ははあくまで参考程度で、別物と捉えて
取り組んだほうがよろしいと思います。
>少し補足していただきたいのですが、平成31年春午後Ⅱ問1のネットワーク図及びFWの
>設定を見る限り、インターネット上のWEBサーバの名前解決をするためのDNSサービスの
>通信ルートは、確かに明記されていないとおもいました。
>あらためて考えると…で隠れている中に許可設定として何らかのDNS通信の記載が
>あるものと推測しています。
過去の問題の例から推測するにインターネット上のWEBサーバにアクセスするのは、
プロキシサーバで、名前解決もプロキシサーバが外部DNSサーバに対して行うと
想定されます。
したがって、FWのルールの"…"で隠れている部分に設定があるわけではないと
考えられます。
>解いてみたときは思い込みもあり、内部IPからDMZの外部DNSサーバに直接DNSクエリを
>投げられると考えていました。pixさまにご指摘いただいた、内部IPからDMZ
>の外部DNSサーバに直接DNSクエリを投げられないケースを考えたとき、例えば内部IPから
>内部DNS、内部DNSから外部DNSを経由するという経路が想定されるということでしょうか。
>またその場合、DNSトンネリングは成立しないということなのでしょうか。
はい。上にも書きましたが、インターネットのWEBサーバはプロキシ経由でアクセス
されると想定されます。そのため、PCがインターネットのWEBサーバにアクセスする
際には名前解決は発生しないと考えられます。
又、内部DNSと外部DNS間でDNSクエリをやり取りする場合は、FW1、FW2のルールに
内部DNSと外部DNS間でDNSを許可するルールが存在すると思われます。
それがないということは内部DNSと外部DNSは完全に独立していると考えられます。
また別の問題では内部DNSと外部DNS間でDNSクエリをやり取りする場合は本文中に
その旨が明記されておりました。
>また内部PC(オフィスセグメントのPC)がDMZの外部DNSサーバに直接DNSクエリを
>投げられる設定は実務的にも「不適切」な設定とされているのでしょうか。
>基本的な質問かもしれませんがご教示いただけますと幸いです。
内部DNSが存在するのにもかからわず、外部DNSへ直接DNSクエリを投げるのは
好ましくないと思われます。
その際はPCからはDNSサーバとして内部DNSを設定し、内部DNSは
・内部に対する権威DNSサーバ
・外部のDNS問い合わせを処理するキャッシュDNSサーバ
として動作するのが良いかと思われます。
2023.04.11 14:12
akiさん
(No.5)
pixさまありがとうございます。
色々な分野で知識が不足しているのですが、どうやらプロキシサーバを介したWEBサーバとの通信についても勘違いしていたように思います。プロキシサーバを経由する場合であっても、内部IP(PC)がDNSクライアントとなり名前解決要求するものだと思っておりましたが違うみたいですね。
確かに私の解答は正解にならないと理解しました。
色々な分野で知識が不足しているのですが、どうやらプロキシサーバを介したWEBサーバとの通信についても勘違いしていたように思います。プロキシサーバを経由する場合であっても、内部IP(PC)がDNSクライアントとなり名前解決要求するものだと思っておりましたが違うみたいですね。
確かに私の解答は正解にならないと理解しました。
2023.04.11 15:34
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告