R5秋午後Ⅰ問2 設問1
広告
SUPERARMORさん
(No.1)
専門学校でSCを教えている教師です。過去問解説のため質問します。
表1のFWログから、項番1-234でDBサーバと製造管理サーバでFTPのデータコネクションが確立しています。
DBサーバはDMZ上、製造管理サーバは工場LANにあり、そのサーバ間でデータの送受信が行われていると判断出来るかと思うのですが、のちに
「攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。」と締めている理由が分かりません。
直接問題に関連する場所ではなく蛇足の部分になりますが、ぜひ教えて頂きたいです。
表1のFWログから、項番1-234でDBサーバと製造管理サーバでFTPのデータコネクションが確立しています。
DBサーバはDMZ上、製造管理サーバは工場LANにあり、そのサーバ間でデータの送受信が行われていると判断出来るかと思うのですが、のちに
「攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。」と締めている理由が分かりません。
直接問題に関連する場所ではなく蛇足の部分になりますが、ぜひ教えて頂きたいです。
2024.09.20 17:45
SUPERARMORさん
(No.2)
記事の修正方法が分からないのですが、正しくはR5春の問題でした。
誤 R5秋午後Ⅰ問2 設問1
正 R5春午後Ⅰ問2 設問1
誤 R5秋午後Ⅰ問2 設問1
正 R5春午後Ⅰ問2 設問1
2024.09.20 17:48
pixさん
★SC ダイヤモンドマイスター
(No.3)
以下は私の独自の解釈になります。多少IPAの意図とは違う点があるかもしれません
のでご了承ください。
スレ主様の疑問である
「攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。」
の部分について解説します。
ここで問われているのは
『【攻撃者による】DMZと工場LANとの間のファイルの送受信』
です。
『【通常の】DMZと工場LANとの間のファイルの送受信』
ではありません。
本件の発端ですが、受付サーバからDBサーバとメールサーバに対して
1分間に10回以上のログイン失敗が発生したことです。
一般論になりますが、手動でのログインで1分間に10回以上ログイン失敗
することは考えずらいです。
この段階で、受付サーバがなんらかのマルウェアに感染し、自動でログイン試行
しているものと判断されます。
次の段階で、FWのログの確認で、受付サーバが工場LANのサーバにポートスキャンを
実行していることを発見します。
これも手動ではなく、マルウェアによるものと判断されます。
これらの調査から受付サーバは外部の攻撃者により侵害されたという結論に
達しました。
P8のFWのログ調査結果をまとめてみます。
DMZと工場LANとの間のファイルの送受信があったと仮定するならば、
FWのログに受付サーバから工場LANのサーバに対して
・SSH接続が成功している
または
・FTP接続が成功し、かつFTPのデータコネクションが成功している
が記録されると想定されます。
いずれのログもFWに記録されていないため、
「【攻撃者による】DMZと工場LANとの間のファイルの送受信はないと推測した。」
と結論付けたと読み取れます。
のでご了承ください。
スレ主様の疑問である
「攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。」
の部分について解説します。
ここで問われているのは
『【攻撃者による】DMZと工場LANとの間のファイルの送受信』
です。
『【通常の】DMZと工場LANとの間のファイルの送受信』
ではありません。
本件の発端ですが、受付サーバからDBサーバとメールサーバに対して
1分間に10回以上のログイン失敗が発生したことです。
一般論になりますが、手動でのログインで1分間に10回以上ログイン失敗
することは考えずらいです。
この段階で、受付サーバがなんらかのマルウェアに感染し、自動でログイン試行
しているものと判断されます。
次の段階で、FWのログの確認で、受付サーバが工場LANのサーバにポートスキャンを
実行していることを発見します。
これも手動ではなく、マルウェアによるものと判断されます。
これらの調査から受付サーバは外部の攻撃者により侵害されたという結論に
達しました。
P8のFWのログ調査結果をまとめてみます。
・受付サーバから工場LANのIPアドレスに対してポートスキャンが行われた。
1-232,1-286,1-287,1-327,1-328
・受付サーバから製造管理サーバに対してFTP接続が行われた。
1-286:FTP接続
※FTP接続はあったが、FTPのデータコネクションはなし
これはポートスキャンで21/TCPにアクセスしたためログに記録されたと考えられる
・受付サーバと他のサーバとの間ではFTPのデータコネクションはなかった。
受付サーバと他のサーバ間で Any/TCP-Any/TCP のログがないことから判断
・DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから
製造管理サーバにFTPの[a:パッシブ]モードでのデータコネクションがあった。
1-233:FTP接続
1-234:FTPのデータコネクション
受付サーバは外部の攻撃者により侵害されたという前提を基に、攻撃者による1-232,1-286,1-287,1-327,1-328
・受付サーバから製造管理サーバに対してFTP接続が行われた。
1-286:FTP接続
※FTP接続はあったが、FTPのデータコネクションはなし
これはポートスキャンで21/TCPにアクセスしたためログに記録されたと考えられる
・受付サーバと他のサーバとの間ではFTPのデータコネクションはなかった。
受付サーバと他のサーバ間で Any/TCP-Any/TCP のログがないことから判断
・DBサーバから製造管理サーバに対してFTP接続が行われ、DBサーバから
製造管理サーバにFTPの[a:パッシブ]モードでのデータコネクションがあった。
1-233:FTP接続
1-234:FTPのデータコネクション
DMZと工場LANとの間のファイルの送受信があったと仮定するならば、
FWのログに受付サーバから工場LANのサーバに対して
・SSH接続が成功している
または
・FTP接続が成功し、かつFTPのデータコネクションが成功している
が記録されると想定されます。
いずれのログもFWに記録されていないため、
「【攻撃者による】DMZと工場LANとの間のファイルの送受信はないと推測した。」
と結論付けたと読み取れます。
2024.09.20 18:58
pixさん
★SC ダイヤモンドマイスター
(No.4)
一点補足です。
受付サーバと同じDMZにあるDBサーバとメールサーバですが、受付サーバからの
ログイン試行がすべて失敗しています。
このことから、DBサーバとメールサーバは攻撃者による侵害を受けていないと
判断されています。
受付サーバと同じDMZにあるDBサーバとメールサーバですが、受付サーバからの
ログイン試行がすべて失敗しています。
このことから、DBサーバとメールサーバは攻撃者による侵害を受けていないと
判断されています。
2024.09.20 19:21
SUPERARMORさん
(No.5)
ありがとうございます!
2024.09.26 11:34
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告