HOME»情報処理安全確保支援士掲示板»平成29年春期午後T問1 下線4について  
投稿する

[0835] 平成29年春期午後T問1 下線4について  

 sunnyさん(No.1) 
平成29年春期午後T問1 について、    
まず、大前提の質問ですが、
図1のネットワーク構成の時、図3の8の「SSHのログインに成功する」というのは、SSHでログインする過程で、TCPコネクションの確立にも成功しているということで正しいでしょうか?


その前提が正しいとして、
下線4の周辺では、「図4のようにネットワーク構成を変えたため、TCPコネクションの確立を防げる」となっており、
設問3(2)を解いた後、「SYN-ACKが管理サーバーのほうにいく(AさんPCに行かない)から、防げるのか」、と理解したのですが、

「SYN-ACKが管理サーバーのほうにいく」というのは図1のネットワーク構成でも同じじゃないでしょうか?そのため、TCPの確立ができず、図1のネットワーク構成でも図3の8でSSHのログインが成功しないのではないでしょうか?


SYN-ACKがAさんのPCに行かなくても、AさんPCからSYNを送ればいいとも思ったのですが、これは図4のネットワーク構成でも可能だと思いました。

なぜ、図1の構成だとSSH成功(TCPコネクションの確立に成功)し、図4だとTCPコネクションの確立に失敗するのでしょうか?
2022.03.27 13:03
rhさん(No.2) 
3ウェイハンドシェイクなので、
TCPコネクションの確立のためには、以下3工程を達成する必要があります。

@管理者PCがSYNパケットをLDAPサーバに送る
ALDAPサーバがSYN-ACKパケットを管理者PCに送る
B管理者PCがACKパケットをLDAPサーバに送る

図1の構成だと、汚染されたAさんPCが@を管理者PCを詐称して送り、Aを盗聴して、Bを返すことが可能です。
図4の構成だと、Aを盗聴できない(下線3に図3の6を防ぐことができる旨記載)ので、仮に図3の6と異なる方法で@を成功させたとしても、Bを返せないのでTCPコネクションを確立することができません。
2022.03.27 13:40
 sunnyさん(No.3) 
この投稿は投稿者により削除されました。(2022.03.27 14:32)
2022.03.27 14:32
 sunnyさん(No.4) 
rhさん、ご返信ありがとうございます。
たしかに、図4では、
AのSYN-ACKパケットを盗聴ができなさそうです。

「SYN-ACKを盗聴できないと、ACKが送れないのか?」疑問に思ったのですが、
ACKパケットのAckの値には、SYN-ACKの「Seq番号+1」を入れる必要があるのですね。
ありがとうございました。
2022.03.27 14:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop