HOME»応用情報技術者試験掲示板»H26秋午後 問1 設問1 について
投稿する

[1477] H26秋午後 問1 設問1 について

 haruさん(No.1) 
FWでは防げない攻撃を選択する問題です。
(ア)外部からDNSサーバ(DMZ内)への攻撃
(イ)外部からWebサーバ(DMZ内)への攻撃
(ウ)外部から内部Webサーバ(内部セグメント内)への攻撃
(エ)外部からファイルサーバ(内部セグメント内)への攻撃
(オ)外部からプロキシサーバ(DMZ内)への攻撃

解答では,「DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている」と書かれているので,インターネット向けに提供されているDNSサーバとインターネットとの通信を遮断することはできず,(ア)が防げないとあります。
しかしながら,同じDMZ内に存在するプロキシサーバへの攻撃は,インターネットからプロキシサーバへの通信を遮断すればいいので,(オ)は防げるとあります。

(ア)の防げない理由が,「インターネット向けのサーバなので,インターネットとの通信は遮断できない」なのに,(オ)の防げる理由が「インターネットとの通信を遮断すればよい」なのが理解できず困っています。

"DNSサーバとプロキシサーバの使用用途の違い"から判断している方も他の質問で見かけましたが,この問題は事前知識(DNSサーバとプロキシサーバの使用用途)を知らないと解けないのでしょうか?
ご教授いただけると幸いです。
2019.03.04 13:24
さん(No.2) 
この投稿は投稿者により削除されました。(2019.03.04 17:31)
2019.03.04 17:31
さん(No.3) 
「>(オ)の防げる理由が「インターネットとの通信を遮断すればよい」」
すいません、これは何かの教材に書いてあったのでしょうか?
インターネットとの通信を遮断すると社内から出れなくなりますが・・ 

こちらのサイトでは以下のように書かれていました

「X社のセキュリティ要件」の1.2「業務上必要がない通信は全て禁止すること」、およびプロキシサーバの用途は「内部ネットワークからのHTTPアクセスを代理する」ことに限られているので、プロキシサーバへはHTTP以外の通信を許可する必要がありません。さらにHTTP通信に関しても、内部ネットワークからのHTTPリクエストに対応するHTTPレスポンスだけをFWで通過させればよいため、送信元IPアドレス、宛先ポート番号、通信の向きが合致するHTTPレスポンスだけを許可し、他のプロキシサーバ宛てのHTTP通信は全て遮断してしまっても問題は生じません。
以上より、プロキシサーバに対するポートスキャンのパケットは全てFWで防げると判断できます。
2019.03.04 17:34
双葉さん(No.4) 
これは、DNSサーバとプロキシサーバの用途を予め知っておかないと間違える問題です。

DNSサーバは名前解決に使用されるサーバです。名前解決では、ブラウザのURL欄に
人間の覚えにくいIPアドレスでなく、ドメイン名を入力すればDNSがドメイン名と
IPアドレスを対応させてくれます。WEBサーバのIPアドレスとドメイン名を
紐づける必要があり、DNSサーバを外部から接続できるようにしておかないと
この名前解決は使えません。外部から接続できるようにFWを設定しなくては
ならないので、攻撃を防げないということになります。

プロキシサーバは、社内のPCからインターネットに接続する際に、各PCの
代理をして接続するサーバです。社内のPCは、個別にWEBページを相手のサーバに
リクエストするのではなく、プロキシサーバがWEBページをリクエストします。
リクエストを受けた相手側のサーバは、要求に応じてプロキシサーバにWEBページの
内容データを送信するわけです。この場合、プロキシサーバに対するFWの設定は
外部からの接続を遮断しても問題ありません。ただし、全ての通信を遮断してしまうと、
インターネットに接続できなくなってしまうので、社内からのWEBページのリクエストと
相手からの応答だけを通すようにFWを設定します。攻撃者が攻撃を
仕掛けてきても、リクエストの応答以外のパケットはFWで遮断されるので
攻撃を防げます。
2019.03.04 22:12
双葉さん(No.5) 
すいません、社内からのWEBページへのリクエストというのは、
プロキシサーバからのリクエストのことで、各PCからのリクエストでは
ありません。FWの設定問題がでると間違えかねないので、補足しておきます。

この問題の場合、プロキシサーバを経由せずにインターネットに接続することは
禁止なので、社内の各PCから直接WEBページにリクエストを送るような
パケットはFWで遮断です。
2019.03.04 22:25
 haruさん(No.6) 
> ?さん
ありがとうございます!
無知なもので解答を簡潔に書きすぎて,必要な情報を省いてしまっていたようで申し訳ありません。
いま使っている問題集"平成30-01年度 応用情報技術者 試験によくでる問題集【午後】"には,「プロキシサーバは社内のPCから社外のWebサイトへのHTTP通信に使用するサーバです。したがって,FWにおいてインターネットからプロキシサーバへの通信を禁止(遮断)すれば,プロキシサーバを狙ったポートスキャンパケットは全て遮断できます。」とありました。
今回のような状況では,プロキシサーバは"社内⇒社外"が前提で,その応答だけの道を確保しておけばいいので,全ての道を片っ端から通信して,抜け道を探していくポートスキャン攻撃は効かないよ!っということですね。
ものすごくすっきりと理解することができました!本当に助かりました!
2019.03.05 09:22
 haruさん(No.7) 
> 双葉さん
やはり,用途を知っておく必要はあるのですね、、
ネットワークや機器に関する単語の理解が皆無なので,どうにか問題文だけから解いていけるかなと思ったのですが,おとなしく1つずつ確認していこうと思います。
教えていただいた内容は,言葉足らずな部分はあると思いますが「DNSサーバはインターネット上の何がくるかわからない相手のドメイン名をIPアドレスに変換しなければいけないので,FWで必要な道だけを確保しておくことが難しい。」,「プロキシサーバは社内⇒社外への通信が前提としてあって,その応答用の道だけさえあれば,今回の場合は困らないので,FWで応答用の道だけを許可して,それ以外の道は遮断してしまってもかまわない。」ということだと解釈しました。
本当に丁寧にわかりやすい解説をありがとうございました!
本当に助かりました!
2019.03.05 09:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop