HOME»情報処理安全確保支援士掲示板»29年春午後I 問1 設問3(1)
投稿する
»[0764] 実務経験を聞きたい!!! 投稿数:5
»[0763] S/MIME証明書で暗号化および複合もできるのです 投稿数:5
[0766] 29年春午後I 問1 設問3(1)
ともさん(No.1)
IPAの公式解答には、
PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから
とありますが、
PCセグメントからサーバ管理セグメント間に通信が流れなくなるから
では駄目でしょうか。
私の解答の理由として
表5FWのフィルタリングルールの項番6で防いでいるからだと思いました。
確かにサーバセグメント->PCセグメントは、表5の項番24で防いでいるし、
公式解答の様に通信が流れなくなるのはわかるのですが、
図3の6は、PCセグメント-サーバ管理セグメント間の話なのに、
なぜサーバ間(サーバセグメント)の通信の話が
出てくるのかがわかりませんでした。
勘違いしている所があるかもしれませんが、皆様、教えてください。
PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから
とありますが、
PCセグメントからサーバ管理セグメント間に通信が流れなくなるから
では駄目でしょうか。
私の解答の理由として
表5FWのフィルタリングルールの項番6で防いでいるからだと思いました。
確かにサーバセグメント->PCセグメントは、表5の項番24で防いでいるし、
公式解答の様に通信が流れなくなるのはわかるのですが、
図3の6は、PCセグメント-サーバ管理セグメント間の話なのに、
なぜサーバ間(サーバセグメント)の通信の話が
出てくるのかがわかりませんでした。
勘違いしている所があるかもしれませんが、皆様、教えてください。
2021.12.25 11:12
hisashiさん(No.2)
IPAの回答は、図4のようにサーバ管理セグメントとPCセグメントに分離すれば、
管理用PCとサーバセグメント間の通信がARPポイズニング攻撃の影響を受けないので、
PCセグメント上の感染したPCを経由することがなくなるということだと思います。
本題の問題は、管理用PCがPCセグメント内で他のPCと同一セグメントであることです。
これに対し、図4のようにセグメントで区分けすればPCセグメント上のARPフレームが管理用PCに
届かなくなるので、管理用PCは、ARPポイズニング攻撃の影響を受けません。
ちなみに図3の6で実施されている内容は、図3の2と同様にARPポイズニング攻撃で表2・表3のように
管理用PCとFWのARPテーブルを自分のPCに向けさせるように書き換え、管理PCとFW間の通信をAさんのPCが経由する形になります。
<盗聴時の通信経路>
(往路)
管理用PC→AさんのPC→FW→サーバセグメント
(復路)
サーバセグメント→FW→AさんのPC→管理用PC
・SSH通信を宛先ポートから特定し、当該通信の送信元IPアドレスから管理PCを特定
・管理PCからのldap通信を盗聴しY主任のID・パスを窃取
余談ですが、図3の7は、表5の項番8で対策されています。
管理用PCとサーバセグメント間の通信がARPポイズニング攻撃の影響を受けないので、
PCセグメント上の感染したPCを経由することがなくなるということだと思います。
本題の問題は、管理用PCがPCセグメント内で他のPCと同一セグメントであることです。
これに対し、図4のようにセグメントで区分けすればPCセグメント上のARPフレームが管理用PCに
届かなくなるので、管理用PCは、ARPポイズニング攻撃の影響を受けません。
ちなみに図3の6で実施されている内容は、図3の2と同様にARPポイズニング攻撃で表2・表3のように
管理用PCとFWのARPテーブルを自分のPCに向けさせるように書き換え、管理PCとFW間の通信をAさんのPCが経由する形になります。
<盗聴時の通信経路>
(往路)
管理用PC→AさんのPC→FW→サーバセグメント
(復路)
サーバセグメント→FW→AさんのPC→管理用PC
・SSH通信を宛先ポートから特定し、当該通信の送信元IPアドレスから管理PCを特定
・管理PCからのldap通信を盗聴しY主任のID・パスを窃取
余談ですが、図3の7は、表5の項番8で対策されています。
2021.12.25 17:55
ともさん(No.3)
hisashiさん、どうも有難うございました。
とてもわかりやすい解説に感謝です。
流れとしては、
・管理用PCとPCが同様のPCセグメントにあったため、ARPポイズニング攻撃の盗聴を受けた。
そのため、AさんのPCのARPテーブルが書き換えられた。(表2、表3)
・セグメントを分けていればARPポイズニングの影響を受けない。
・対策として、図4で管理用PCとPCセグメントを分けてARPポイズニング攻撃の影響を受けない様にした。
・これにより、管理用PC->LDAPサーバの通信ができ、AさんのPC上での通信の盗聴が防げる。
・PCセグメント内に管理用PCとサーバ間の通信が流れなくなる。
となるのですね。理解できました。
とてもわかりやすい解説に感謝です。
流れとしては、
・管理用PCとPCが同様のPCセグメントにあったため、ARPポイズニング攻撃の盗聴を受けた。
そのため、AさんのPCのARPテーブルが書き換えられた。(表2、表3)
・セグメントを分けていればARPポイズニングの影響を受けない。
・対策として、図4で管理用PCとPCセグメントを分けてARPポイズニング攻撃の影響を受けない様にした。
・これにより、管理用PC->LDAPサーバの通信ができ、AさんのPC上での通信の盗聴が防げる。
・PCセグメント内に管理用PCとサーバ間の通信が流れなくなる。
となるのですね。理解できました。
2021.12.25 22:22
hisashiさん(No.4)
>そのため、AさんのPCのARPテーブルが書き換えられた。(表2、表3)
ARPテーブルが書き換えられたのはFWと管理用PCです。
この特性を悪用し、AさんのPCはFWに対して、管理用PCになりすまし、
管理用PCに対してはFWに成りすますことができます。中間者攻撃の一種です。
他は概ねご認識のとおりです。
ネットワークエンジニアとしてのサイトのARPのページ、ARPスプーフィングの
ページを見ていただくと、この問いへの理解が深まると思います。
ARPテーブルが書き換えられたのはFWと管理用PCです。
この特性を悪用し、AさんのPCはFWに対して、管理用PCになりすまし、
管理用PCに対してはFWに成りすますことができます。中間者攻撃の一種です。
他は概ねご認識のとおりです。
ネットワークエンジニアとしてのサイトのARPのページ、ARPスプーフィングの
ページを見ていただくと、この問いへの理解が深まると思います。
2021.12.25 23:55
その他のスレッド
»[0765] 試験傾向が変化して全く出なくなった分野について 投稿数:3»[0764] 実務経験を聞きたい!!! 投稿数:5
»[0763] S/MIME証明書で暗号化および複合もできるのです 投稿数:5