HOME»応用情報技術者試験掲示板»H26 秋 午後 問1 情報セキュリティ
投稿する
[1188] H26 秋 午後 問1 情報セキュリティ
のせさん(No.1)
10月の試験に向け、過去問を解いているのですが
H26 秋 午後 問1 情報セキュリティの設問1「FWでは防げない攻撃を選択」で
選択肢オ(プロキシサーバへのポートスキャン)が外れる理由が分かりません。
手元の参考書には「ポートスキャンは、公開しているサービスと一致しない宛先ポート番号を拒否することが出来るため、防ぐことが出来る」とあるのですが、
一致するまで攻撃するのがポートスキャンではないのですか?
解説を読んでも釈然としないため、どなたかに知恵を貸していたきたいです。
よろしくお願いします。
H26 秋 午後 問1 情報セキュリティの設問1「FWでは防げない攻撃を選択」で
選択肢オ(プロキシサーバへのポートスキャン)が外れる理由が分かりません。
手元の参考書には「ポートスキャンは、公開しているサービスと一致しない宛先ポート番号を拒否することが出来るため、防ぐことが出来る」とあるのですが、
一致するまで攻撃するのがポートスキャンではないのですか?
解説を読んでも釈然としないため、どなたかに知恵を貸していたきたいです。
よろしくお願いします。
2018.06.25 22:47
wmaplesさん(No.2)
IPAによると
ポートスキャンとは「相手ホストにダメージを与える、もしくは侵入するといったとき、事前の準備として、ポートスキャンと呼ばれる調査を行います。これは「外部から対象サーバへアクセスが可能か?」「脆弱性のあるサービスが動いていないか?」を調べる作業です。」
この問題では、ポートスキャンは、外部からアクセスできるというのはそもそもDMZにあるので論外として、2つ目の脆弱性のあるアプリケーションがあるかないかを調べる作業であると読み取れます。
で、以下はプロキシサーバーのプロキシソフトに脆弱性がないと仮定します。
プロキシソフト以外のポートが開くのはおかしいので、そのおかしいポートを開いているソフトの脆弱性を攻撃者はついてきます。
これはFWによって、プロキシソフト以外のポートを遮断することで防ぐことができます。
よって、オはFWで防げるとなると思いますがどうでしょう
ポートスキャンとは「相手ホストにダメージを与える、もしくは侵入するといったとき、事前の準備として、ポートスキャンと呼ばれる調査を行います。これは「外部から対象サーバへアクセスが可能か?」「脆弱性のあるサービスが動いていないか?」を調べる作業です。」
この問題では、ポートスキャンは、外部からアクセスできるというのはそもそもDMZにあるので論外として、2つ目の脆弱性のあるアプリケーションがあるかないかを調べる作業であると読み取れます。
で、以下はプロキシサーバーのプロキシソフトに脆弱性がないと仮定します。
プロキシソフト以外のポートが開くのはおかしいので、そのおかしいポートを開いているソフトの脆弱性を攻撃者はついてきます。
これはFWによって、プロキシソフト以外のポートを遮断することで防ぐことができます。
よって、オはFWで防げるとなると思いますがどうでしょう
2018.06.26 01:33
助け人さん(No.3)
★AP ゴールドマイスター
プロキシサーバから社外WebサイトへのHTTPリクエストに対応するHTTPレスポンスは、FWで通過させなければなりません。そのHTTPレスポンスの宛先ポート番号は、プロキシサーバが送信したHTTPリクエストの送信元ポート番号ですので、そのポート番号宛のポートスキャンをFWで通過させてしまうのでは、と考えがちです。
しかし、解説にある内容を言い換えますが、動的パケットフィルタリングによって、
外部からプロキシサーバへのパケットの送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号が、
直前に通過させたプロキシサーバから外部へのパケットの宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号と
それぞれ一致する場合のみ、その外部からのパケットを通過させ、それ以外の外部からのパケットを遮断することができますので、外部からプロキシサーバへのポートスキャンは防ぐことができます。
なお、問題文に動的パケットフィルタリングとも静的パケットフィルタリングとも書かれていませんが、特に書かれていなければ、動的パケットフィルタリングと考えていいです。
しかし、解説にある内容を言い換えますが、動的パケットフィルタリングによって、
外部からプロキシサーバへのパケットの送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号が、
直前に通過させたプロキシサーバから外部へのパケットの宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号と
それぞれ一致する場合のみ、その外部からのパケットを通過させ、それ以外の外部からのパケットを遮断することができますので、外部からプロキシサーバへのポートスキャンは防ぐことができます。
なお、問題文に動的パケットフィルタリングとも静的パケットフィルタリングとも書かれていませんが、特に書かれていなければ、動的パケットフィルタリングと考えていいです。
2018.06.26 17:22
のせさん(No.4)
wmaplesさん、ご回答ありがとうございます。
2点質問なのですが、
DMZの機器に対する外部からのアクセスは可能ではないのですか?
また、「プロキシソフトに脆弱性がないと仮定します。」とありますが、
個人的に文中に明記されていないことを仮定するのにはまだ抵抗があります…
文中にある情報から、この仮定が導けるのでしたら、どういった道筋を辿れば良いのか教えていただきたいです。
(そうすれば考察となって納得できると思うので)
2点質問なのですが、
DMZの機器に対する外部からのアクセスは可能ではないのですか?
また、「プロキシソフトに脆弱性がないと仮定します。」とありますが、
個人的に文中に明記されていないことを仮定するのにはまだ抵抗があります…
文中にある情報から、この仮定が導けるのでしたら、どういった道筋を辿れば良いのか教えていただきたいです。
(そうすれば考察となって納得できると思うので)
2018.06.27 12:40
のせさん(No.5)
助け人さん、ご回答ありがとうございます。
1点質問なのですが、
現行の技術では動的パケットフィルタリングが一般的なのでしょうか?
1点質問なのですが、
現行の技術では動的パケットフィルタリングが一般的なのでしょうか?
2018.06.27 12:40
wmaplesさん(No.6)
DMZは外部からアクセス可能です。
DMZは外部に公開するためにあるので、ポートスキャンに引っかかる前提です。脆弱性がないと仮定すれば脆弱性のつきようがないです。
また、プロキシソフトに脆弱性がないと仮定するのは、通常は脆弱性がないように設計、製作されるからです。文脈からは読み取れませんが。。。
もちろんあったら脆弱性つけますが。
DMZは外部に公開するためにあるので、ポートスキャンに引っかかる前提です。脆弱性がないと仮定すれば脆弱性のつきようがないです。
また、プロキシソフトに脆弱性がないと仮定するのは、通常は脆弱性がないように設計、製作されるからです。文脈からは読み取れませんが。。。
もちろんあったら脆弱性つけますが。
2018.06.27 15:29
助け人さん(No.7)
★AP ゴールドマイスター
のせさん
私は現場の人間ではありません。
ただ、アイテックの書籍「セキュリティ技術の教科書」に記載されているFWのフィルタリングテーブルの内容について質問したことがあり、著者から、「実際の現場の観点では、(中略)、FWによる通常の制御はダイナミックで設定するはずなので、(中略)、スタティックでは、いずれにしてもセキュアではないからです。」という回答をいただきました。
私は現場の人間ではありません。
ただ、アイテックの書籍「セキュリティ技術の教科書」に記載されているFWのフィルタリングテーブルの内容について質問したことがあり、著者から、「実際の現場の観点では、(中略)、FWによる通常の制御はダイナミックで設定するはずなので、(中略)、スタティックでは、いずれにしてもセキュアではないからです。」という回答をいただきました。
2018.06.27 18:07