HOME»情報処理安全確保支援士掲示板»29年春午後I 問1 設問3(1)

情報処理安全確保支援士掲示板

掲示板検索:

[0766]29年春午後I 問1 設問3(1)

 ともさん(No.1) 
IPAの公式解答には、
PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから

とありますが、

PCセグメントからサーバ管理セグメント間に通信が流れなくなるから
では駄目でしょうか。

私の解答の理由として
表5FWのフィルタリングルールの項番6で防いでいるからだと思いました。
確かにサーバセグメント->PCセグメントは、表5の項番24で防いでいるし、
公式解答の様に通信が流れなくなるのはわかるのですが、
図3の6は、PCセグメント-サーバ管理セグメント間の話なのに、
なぜサーバ間(サーバセグメント)の通信の話が
出てくるのかがわかりませんでした。

勘違いしている所があるかもしれませんが、皆様、教えてください。
2021.12.25 11:12
hisashiさん(No.2) 
IPAの回答は、図4のようにサーバ管理セグメントとPCセグメントに分離すれば、
管理用PCとサーバセグメント間の通信がARPポイズニング攻撃の影響を受けないので、
PCセグメント上の感染したPCを経由することがなくなるということだと思います。

本題の問題は、管理用PCがPCセグメント内で他のPCと同一セグメントであることです。
これに対し、図4のようにセグメントで区分けすればPCセグメント上のARPフレームが管理用PCに
届かなくなるので、管理用PCは、ARPポイズニング攻撃の影響を受けません。

ちなみに図3の6で実施されている内容は、図3の2と同様にARPポイズニング攻撃で表2・表3のように
管理用PCとFWのARPテーブルを自分のPCに向けさせるように書き換え、管理PCとFW間の通信をAさんのPCが経由する形になります。

<盗聴時の通信経路>
(往路)
管理用PC→AさんのPC→FW→サーバセグメント
(復路)
サーバセグメント→FW→AさんのPC→管理用PC


・SSH通信を宛先ポートから特定し、当該通信の送信元IPアドレスから管理PCを特定
・管理PCからのldap通信を盗聴しY主任のID・パスを窃取


余談ですが、図3の7は、表5の項番8で対策されています。
2021.12.25 17:55
 ともさん(No.3) 
hisashiさん、どうも有難うございました。
とてもわかりやすい解説に感謝です。
流れとしては、
・管理用PCとPCが同様のPCセグメントにあったため、ARPポイズニング攻撃の盗聴を受けた。
  そのため、AさんのPCのARPテーブルが書き換えられた。(表2、表3)
・セグメントを分けていればARPポイズニングの影響を受けない。
・対策として、図4で管理用PCとPCセグメントを分けてARPポイズニング攻撃の影響を受けない様にした。
・これにより、管理用PC->LDAPサーバの通信ができ、AさんのPC上での通信の盗聴が防げる。
・PCセグメント内に管理用PCとサーバ間の通信が流れなくなる。

となるのですね。理解できました。
2021.12.25 22:22
hisashiさん(No.4) 
 >そのため、AさんのPCのARPテーブルが書き換えられた。(表2、表3)

ARPテーブルが書き換えられたのはFWと管理用PCです。

この特性を悪用し、AさんのPCはFWに対して、管理用PCになりすまし、
管理用PCに対してはFWに成りすますことができます。中間者攻撃の一種です。


他は概ねご認識のとおりです。

ネットワークエンジニアとしてのサイトのARPのページ、ARPスプーフィングの
ページを見ていただくと、この問いへの理解が深まると思います。
2021.12.25 23:55

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop