HOME»情報処理安全確保支援士掲示板»令和3年春午後Ⅱ問1設問4(5)
投稿する

令和3年春午後Ⅱ問1設問4(5) [1374]

 太郎さん(No.1) 
標題について、解答は「FW2の設定において、インターネットからのインバウンド通信はN社とV社からの通信だけを許可する」とありますが、私は「"etc/hosts.allow"ファイルの設定において、HTTP接続もN社とV社に限定するよう設定する」と回答しました。

上記だと間違いな理由と、上記が実現可能かどうかも併せて教えていただけますと幸いです。
2024.02.26 10:14
pixさん(No.2) 
SC ダイヤモンドマイスター
OSの種類について書かれておりませんが、"(/)etc/hosts.allow"を利用しているため
一般的なLinuxと想定します。

>私は「"etc/hosts.allow"ファイルの設定において、HTTP接続もN社とV社に限定するよう
>設定する」と回答しました。
>上記だと間違いな理由と、上記が実現可能かどうかも併せて教えていただけますと
>幸いです。
LinuxにはTCP Wrapperとよばれるアクセス制御機能があります。
"(/)etc/hosts.allow"にアクセス許可するIPアドレスを記述するというものです。
TCP Wrapperを利用するにはそれぞれのサーバプログラムがTCP Wrapperに対応している
必要があります。
一般的にはSSHサーバプログラムはTCP Wrapperに対応しています。
しかしHTTPサーバプログラムはTCP Wrapperに対応していません。
そのため、スレ主様の解答は間違いとなります。

余談ですが、現状TCP Wrapperは古くなっておりRHEL8以降は利用ができなくなって
おります。
もし、現在FWではなくOS側でHTTPサーバプログラムのIPアドレス制御を行いたいので
あれば、
・firewalld(OS内部のファイアウォールサービス)
・Apacheのコンフィグファイルでのアクセス制御(Requireディレクティブ)
などを利用する必要があります。
2024.02.26 10:59
 太郎さん(No.3) 
TCP Wrapperは初めて聞きましたが調べてみると確かに「"(/)etc/hosts.allow"」がでてきますね。回答には下記を知っておく必要があるんですね。

> 一般的にはSSHサーバプログラムはTCP Wrapperに対応しています。
> しかしHTTPサーバプログラムはTCP Wrapperに対応していません。

ご回答ありがとうございました。
2024.02.26 11:51
Cebollaさん(No.4) 
私も勉強中の身ですが、TCP Wrapperは既に古い話になっているみたいです。

TCP WrapperのWrapperってどいう言う意味なのかいまだ判然としていないです…。
よくWrapperって言葉を聞くんですが、包むってことが語源なんですかね…。
2024.02.26 12:16
pixさん(No.5) 
SC ダイヤモンドマイスター
>TCP WrapperのWrapperってどいう言う意味なのかいまだ判然としていないです…。
>よくWrapperって言葉を聞くんですが、包むってことが語源なんですかね…。
コンピューター用語で「wrapper(ラッパー)」とは、その名のとおり包み込む、
転じて後付けで機能を追加するという意味になります。

TCP Wrapperの場合ですが、本来SSHサーバプログラムにはアクセス制御機能が
ありませんでした。
TCP Wrapperの機能をSSHサーバプログラムに追加(イメージ的に包むような感じ)する
ことで、後付けでアクセス制御機能が追加できるようになりました。

過去にはTELNET,FTPサーバプログラムなどもTCP Wrapperによってアクセス制御機能を
後付けすることができました。
2024.02.26 12:30
Cebollaさん(No.6) 
Pix様

いつもお早いお返事ありがとうございます。
理解が深まりました。識者のお話は説得力があって助かります。
2024.02.26 13:07
橙色文書さん(No.7) 
スレ主さんの答案には「どの機器」に措置をするか記述がありません。
仮に手法が正解であったとしても大きく減点される可能性があります。

実務にも通じることですが、日本語では省略されがちな5W1Hを意識しましょう。
2024.02.27 20:19
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop