やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

【境界防御ーパケットフィルタリング】平成21年春 基本情報技術者試験 午後 問4

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「境界防御」の「パケットフィルタリング」を取り上げた「平成21年春 基本情報技術者試験 午後 問4」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成21年春 基本情報技術者試験 午後 問4

問4 パケットフィルタリングに関する次の記述を読んで、設問1、2に答えよ。

 X社では、図に示すネットワークを構築し、インターネットへのWebサイトの公開と電子メール(以下、メールという)の送受信を行っている。

f:id:aolaniengineer:20200111155139p:plain

 X社のネットワークは二つのファイアウォールによって、DMZ及び社内LANの二つのセグメントに分けられている。Webサーバ、メールサーバ及びデータベースサーバ(以下、DBサーバ)は、それぞれ次の役割を果たしている。

(1)Webサーバ

 Webサイトとして、自社の情報をインターネットに公開する。Webサーバ上では、社外との取引情報を処理するプログラムが動作する。このプログラムが利用するデータはDBサーバ上に格納される。

(2)メールサーバ

 社外とのメールの送受信を行う。また、取引先に対してメールを自動配信するプログラムが動作する。メール配信のためのデータはDBサーバ上に格納される。

(3)DBサーバ

 Webサーバ及びメールサーバで利用するデータを格納する。

 社内LANに接続された管理用PCからは、SSHを使った各サーバへのログイン操作と、メールサーバを介した外部とのメール送受信が可能である。管理用PCから自社Webサーバの参照はできるが、社外Webサイトの利用は許可されていない。

 ネットワーク上で使われるプロトコルとポート番号を表1に示す。

f:id:aolaniengineer:20200111155209p:plain


設問1 次の記述中の( )に入れる正しい答えを、解答群の中から選べ。解答は重複して選んでもよい。

 インターネットとDMZをつなぐファイアウォールAのパケットフィルタリングの設定を表2に示す。また、DMZと社内LANをつなぐファイアウォールBのパケットフィルタリングの設定を表3に示す。

 フィルタリングの設定ルールは、送信元のIPアドレス、あて先のIPアドレス及び接続先ポート番号を指定して通信の許可/拒否を制御する。設定は上の行のルールから調べて、最初に条件が合致した行の動作を実行する。また、応答パケットについては動的フィルタリング機能によって自動的に許可されるので設定は不要なものとする。

f:id:aolaniengineer:20200112043845p:plain

f:id:aolaniengineer:20200112043909p:plain

a:メールサーバb:25

 ファイアウォールAがあるインターネット〜DMZ間で必要な通信は以下のとおりです。

  • 自社の情報をインターネットに公開する→インターネット上の端末からDMZ上のWebサーバへのHTTP通信①
  • 社外とのメールの送受信を行う→インターネット上のメールサーバからDMZ上のメールサーバへのSMTP通信(メール受信)②と、DMZ上のメールサーバからインターネット上のメールサーバへのSMTP通信(メール送信)③
  • 取引先に対してメールを自動配信する→②と同じ

 表2の1行目は①、2行目は②を許可するルールです。3行目には③を許可するルールが入ります。

c:メールサーバb:110

 ファイアウォールBがあるDMZ〜社内LAN間で必要な通信のうち、送信元が管理用PCであるものは以下のとおりです。

  • 各サーバにSSHを使ってログインする→管理用PCからDMZ上のWebサーバへのSSH通信①、同じくメールサーバへのSSH通信②
  • メールサーバを介して外部とのメールの送受信を行う→管理用PCからDMZ上のメールサーバへのSMTP通信③、同じくPOP通信④
  • 自社Webサーバの参照→管理用PCからDMZ上のWebサーバへのHTTP通信⑤

 表3の4行目は②、5行目は③、6行目は⑤、7行目は①を許可するルールです。3行目には残りの④を許可するルールが入ります。 

 設問2 X社のネットワークでは、ファイアウォールによるパケットフィルタリングによって、インターネット接続に伴うセキュリティ上のリスクを低減しているが、パケットフィルタリングは、すべての脅威に対する防御とはならない。パケットフィルタリングによって防ぐことができるセキュリティ上のリスクとして、正しい答えを解答群の中から二つ選べ。

Webサイトとやり取りされるデータの盗聴や改ざん

WebサイトへのSQLインジェクション攻撃

インターネットからDMZ内のサーバへの許可されていないポートでの接続

インターネットから社内LANへの不正アクセスによる攻撃

・メールによる社内からのファイル流出

【出典:基本情報技術者試験 平成21年度春期午後問4(一部、加工あり)】

 パケットフィルタリングで対象とするのは、送信元/宛先IPアドレス、送信元/宛先ポート番号などになりますので、それに合致している通信での攻撃などの脅威は防ぐことができません。

Webサイトとやり取りされるデータの盗聴や改ざん

WebサイトとはHTTPで通信されるため、通信経路上での盗聴や改ざんを防ぐことはできません。

WebサイトへのSQLインジェクション攻撃

SQLインジェクション攻撃はHTTP通信上で行われるため、防ぐことはできません。

メールによる社内からのファイル流出

メール通信はSMTPで許可されその内容までは検知しないため、防ぐことはできません。