HOME»基本情報技術者平成21年春期問題»午後問4
基本情報技術者過去問題 平成21年春期 午後問4
⇄問題文と設問を画面2分割で開く⇱問題PDF問4 情報セキュリティ
パケットフィルタリングに関する次の記述を読んで,設問1,2に答えよ。
X社では,図に示すネットワークを構築し,インターネットへのWebサイトの公開と 電子メール(以下,メールという)の送受信を行っている。
X社のネットワークは二つのファイアウォールによって,DMZ及び社内LANの二つのセグメントに分けられている。Webサーバ,メールサーバ及び データベースサーバ(以下,DBサーバという)は,それぞれ次の役割を果たしている。
ネットワーク上で使われるプロトコルとポート番号を表1に示す。
X社では,図に示すネットワークを構築し,インターネットへのWebサイトの公開と 電子メール(以下,メールという)の送受信を行っている。
- Webサーバ
Webサイトとして,自社の情報をインターネットに公開する。Webサーバ上では,社外との取引情報を処理するプログラムが動作する。このプログラムが 利用するデータはDBサーバ上に格納される。 - メールサーバ
社外とのメールの送受信を行う。また,取引先に対してメールを自動配信するプログラムが動作する。メール配信のためのデータはDBサーバ上に格納される。 - DBサーバ
Webサーバ及びメールサーバで利用するデータを格納する。
ネットワーク上で使われるプロトコルとポート番号を表1に示す。
設問1
次の記述中の に入れる正しい答えを,解答群の中から選べ。解答は重複して選んでもよい。
インターネットとDMZをつなぐファイアウォールAのパケットフィルタリングの設定を表2に示す。 また,DMZと社内LANをつなぐファイアウォールBのパケットフィルタリングの設定を表3に示す。
フィルタリングの設定ルールは,送信元のIPアドレス,あて先のIPアドレス及び接続先ポート番号を指定して通信の許可/拒否を制御する。設定は上の行のルールから調べて,最初に条件が合致した行の動作を実行する。 また,応答パケットについては動的フィルタリング機能によって自動的に許可されるので設定は不要なものとする。
インターネットとDMZをつなぐファイアウォールAのパケットフィルタリングの設定を表2に示す。 また,DMZと社内LANをつなぐファイアウォールBのパケットフィルタリングの設定を表3に示す。
フィルタリングの設定ルールは,送信元のIPアドレス,あて先のIPアドレス及び接続先ポート番号を指定して通信の許可/拒否を制御する。設定は上の行のルールから調べて,最初に条件が合致した行の動作を実行する。 また,応答パケットについては動的フィルタリング機能によって自動的に許可されるので設定は不要なものとする。
a,c に関する解答群
- DBサーバ
- Webサーバ
- 管理用PC
- メールサーバ
- 任意
b,d に関する解答群
- 22
- 25
- 80
- 110
- 1999
解答選択欄
- a:
- b:
- c:
- d:
解答
- a=エ
- b=イ
- c=エ
- d=エ
解説
〔a,bについて〕
ファイアウォールAはインターネットとDMZを隔てる位置にあります。各サーバの役割が記述されている(1)~(3)には、インターネット-DMZ間での通信が必要となる以下の3つの機能について説明されています。
表2のフィルタリングの設定を見ると、1行目が「インターネット上の端末からDMZ上のWebサーバへのHTTP通信(ポート80)」、2行目が「インターネット上のメールサーバからDMZ上のメールサーバへのSMTP通信(ポート25)」を許可するルールということが分かります。つまりa,bがある3行目には残る「DMZ上のメールサーバからインターネット上のメールサーバへのSMTP通信」を許可するルールが入ることになります。
したがって3行目のルールには送信元がメールサーバ、あて先が(インターネット上の)任意、ポート番号はSMTP通信を示す25を指定するのが適切です。
∴a=エ:メールサーバ
b=イ:25
〔c,dについて〕
c,dが含まれるフィルタリングルールは送信元が管理用PCになっているため、送信元が管理用PCである通信だけに注目します。「社内LANに接続された管理用PCからは,…」から始まる文章中では管理用PC-DMZ間で以下の通信が行われると記述されています。
表3のフィルタリングの設定と必要な通信一覧を比較すると、メールサーバからメールを取り出す際に使用するPOP通信が許可されていないことが分かります。したがって4行目のルールには送信元が管理用PC、あて先がメールサーバ、ポート番号はPOP通信を示す110を指定するのが適切です。
∴c=エ:メールサーバ
d=エ:110
ファイアウォールAはインターネットとDMZを隔てる位置にあります。各サーバの役割が記述されている(1)~(3)には、インターネット-DMZ間での通信が必要となる以下の3つの機能について説明されています。
- 自社の情報をインターネットに公開する
- 社外とのメールの送受信を行う
- 取引先に対してメールを自動配信する
- 1.自社の情報をインターネットに公開する
- インターネット上の端末からDMZ上のWebサーバへのHTTP通信
- 2.社外とのメールの送受信を行う
- インターネット上のメールサーバからDMZ上のメールサーバへのSMTP通信(メール受信)、及びDMZ上のメールサーバからインターネット上のメールサーバへのSMTP通信(メール送信)
- 3.取引先に対してメールを自動配信する
- DMZ上のメールサーバからインターネット上のメールサーバへのSMTP通信(メール送信)
したがって3行目のルールには送信元がメールサーバ、あて先が(インターネット上の)任意、ポート番号はSMTP通信を示す25を指定するのが適切です。
∴a=エ:メールサーバ
b=イ:25
〔c,dについて〕
c,dが含まれるフィルタリングルールは送信元が管理用PCになっているため、送信元が管理用PCである通信だけに注目します。「社内LANに接続された管理用PCからは,…」から始まる文章中では管理用PC-DMZ間で以下の通信が行われると記述されています。
- 各サーバにSSHを使ってログインする
- メールサーバを介して外部とのメールの送受信を行う
- 自社Webサーバの参照
- 管理用PCからDMZ上のWebサーバへのSSH通信(ログイン用)
- 管理用PCからDMZ上のメールサーバへのSSH通信(ログイン用)
- 管理用PCからDMZ上のメールサーバへのSMTP通信(メール送信用)
- 管理用PCからDMZ上のメールサーバへのPOP通信(メール受信用)
- 管理用PCからDMZ上のWebサーバへのHTTP通信(参照)
∴c=エ:メールサーバ
d=エ:110
設問2
X社のネットワークでは,ファイアウォールによるパケットフィルタリングによって,インターネット接続に伴うセキュリティ上のリスクを低減しているが,パケットフィルタリングは,すべての脅威に対する防御とはならない。パケットフィルタリングによって防ぐことができるセキュリティ上のリスクとして,正しい答えを解答群の中から二つ選べ。
解答群
- Webサイトとやり取りされるデータの盗聴や改ざん
- WebサイトへのSQLインジェクション攻撃
- インターネットからDMZ内のサーバへの許可されていないポートでの接続
- インターネットから社内LANへの不正アクセスによる攻撃
- メールによる社内からのファイル流出
解答選択欄
解答
- ウ
- エ
解説
パケットフィルタリングは、パケットのヘッダー部分に含まれる「送信元/宛先IPアドレス」「送信元/宛先ポート番号」「通信の方向」などの情報を元に装置を通過するパケットを検査し、許可されたパケットのみをネットワークの内(または外)へ通過させるセキュリティ機能です。
- 設問の記述からWebサーバとクライアント間の通信は、内容が平文でやり取りされるHTTPが使われていることが分かります。このため通信経路上での盗聴・改ざんを防ぐことはできません。
- SQLインジェクション攻撃はHTTP通信を介して行われます。インターネットからWebサーバへのHTTP通信はファイアウォールAの1行目のルールで許可されているため攻撃パケットの通過を許してしまいます。
- 正しい。攻撃パケットがファイアウォールAを通過する際にポート番号をみて遮断することが可能です。
- 正しい。攻撃パケットがファイアウォールAを通過する際にポート番号をみて遮断することが可能です。
- 社内LANからのメール送信はファイアウォールBのルールで許可されています。パケットフィルタリングはヘッダー情報だけで通過の可否を判断するためメール内容に重要ファイルが含まれていようとも送信を防ぐことはできません。