HOME»情報処理安全確保支援士掲示板»令和2年秋午後I問3設問1(3)
投稿する
図1から本番Webサーバは以下2つのNICがあることがわかります。
・DMZに出ているNIC
・管理LANに出ているNIC
DMZ側に出ているNICは本番WebサーバがWebサービス用に確実にListenしてます。
しかし、管理用LANにでているNICはWebサービスがListenしていないと考えるのが
一般的な構成です。
そのため、DMZ側に出ているNICにアクセスできる(a)が解答となります。
フォロー頂きありがとうございます。
本番WebサーバをLinuxと仮定します。
Webサービス(TCP 80番ポート)をListenしているのはDMZ側のみ、
SSH(TCP 22番ポート)をListenしているのは管理LAN側のみ
と想定されます。
はい。その認識でよいと思われます。
インターネットからはFWによって不要なポートへのアクセスはブロックされます。
しかし、DMZ内部にはFWのような遮蔽物はありません。
攻撃者がなんらかの方法でDMZ内部に侵入した際にも、本番Webサーバへ不正アクセス
されないように、不要なポートが解放されていないかを検査します。
»[1417] 令和4年秋 午後2 問1 設問2 投稿数:8
»[1416] 令和元年秋 午後1 問2 設問2(3) 投稿数:3
[1419] 令和2年秋午後I問3設問1(3)
だいちさん(No.1)
解答はaになりますが、解説をみてもいまいちわからないです。内部ネットワークからのPF診断を実施ということで、例えばbに診断PCを接続してもいいのではと思いました。なぜaではないとダメなのか、解説いただけますと幸いです。
2024.03.17 12:04
pixさん(No.2)
★SC ダイヤモンドマイスター
>解答はaになりますが、解説をみてもいまいちわからないです。内部ネットワークからの
>PF診断を実施ということで、例えばbに診断PCを接続してもいいのではと思いました。
>なぜaではないとダメなのか、解説いただけますと幸いです。
図1から本番Webサーバは以下2つのNICがあることがわかります。
・DMZに出ているNIC
・管理LANに出ているNIC
DMZ側に出ているNICは本番WebサーバがWebサービス用に確実にListenしてます。
しかし、管理用LANにでているNICはWebサービスがListenしていないと考えるのが
一般的な構成です。
そのため、DMZ側に出ているNICにアクセスできる(a)が解答となります。
2024.03.17 12:20
だいちさん(No.3)
ご回答ありがとうございます。Listenが関係していたんですね。すみません、それを踏まえて再度質問させてください。
listenとは「外部からの接続をポートを解放して待っている状態」だと思いますが、今回はwebサービスに加えて、管理LANのWEB管理PCから本番WEBサーバにアクセスしてリモートメンテナンスを行っていると思うので(図1参照)、管理LAN側のNICもListenの状態なのではないかと思いました。
私の拙い知識で恐縮ですが、上記に誤りの理解等ございましたらご指摘いただけますと幸いです。
listenとは「外部からの接続をポートを解放して待っている状態」だと思いますが、今回はwebサービスに加えて、管理LANのWEB管理PCから本番WEBサーバにアクセスしてリモートメンテナンスを行っていると思うので(図1参照)、管理LAN側のNICもListenの状態なのではないかと思いました。
私の拙い知識で恐縮ですが、上記に誤りの理解等ございましたらご指摘いただけますと幸いです。
2024.03.17 13:13
だいちさん(No.4)
続けて失礼します、listenとは「外部からの接続をポートを解放して待っている状態」の、「ポート」と上記のpixさまのNICはイコールと思ってしまいましたが、この理解も誤り等あれば併せてご指摘いただけますと幸いです。
2024.03.17 13:36
wrinklyさん(No.5)
横から失礼します。
listenの状態だけど、本番Webサーバとはlistenするポートが違うからでは?
(ログインなので、port 22 ?)
>listenとは「外部からの接続をポートを解放して待っている状態」だと思いますが、今回
>はwebサービスに加えて、管理LANのWEB管理PCから本番WEBサーバにアクセスしてリモート
>メンテナンスを行っていると思うので(図1参照)、管理LAN側のNICもListenの状態なのでは
>ないかと思いました。
listenの状態だけど、本番Webサーバとはlistenするポートが違うからでは?
(ログインなので、port 22 ?)
2024.03.17 14:00
pixさん(No.6)
★SC ダイヤモンドマイスター
>listenの状態だけど、本番Webサーバとはlistenするポートが違うからでは?
>(ログインなので、port 22 ?)
フォロー頂きありがとうございます。
本番WebサーバをLinuxと仮定します。
Webサービス(TCP 80番ポート)をListenしているのはDMZ側のみ、
SSH(TCP 22番ポート)をListenしているのは管理LAN側のみ
と想定されます。
2024.03.17 14:07
だいちさん(No.7)
wrinklyさま、pixさま、ご回答ありがとうございます。Listenしているポートが違う旨、理解できました。
今回のPF診断というのは、問題文から抜粋すると、「サーバやネットワーク機器に対して、すべてのポートをスキャンする。開いているポートを発見すると、そのポートを使って検査する」とあります。
つまり、DMZ側の方のポート側を検査することで、TCP 80番ポート(例)以外に不要なポートが開いていないかを調べているような理解で合いますでしょうか。
今回のPF診断というのは、問題文から抜粋すると、「サーバやネットワーク機器に対して、すべてのポートをスキャンする。開いているポートを発見すると、そのポートを使って検査する」とあります。
つまり、DMZ側の方のポート側を検査することで、TCP 80番ポート(例)以外に不要なポートが開いていないかを調べているような理解で合いますでしょうか。
2024.03.17 20:10
pixさん(No.8)
★SC ダイヤモンドマイスター
>つまり、DMZ側の方のポート側を検査することで、TCP 80番ポート(例)以外に不要な
>ポートが開いていないかを調べているような理解で合いますでしょうか。
はい。その認識でよいと思われます。
インターネットからはFWによって不要なポートへのアクセスはブロックされます。
しかし、DMZ内部にはFWのような遮蔽物はありません。
攻撃者がなんらかの方法でDMZ内部に侵入した際にも、本番Webサーバへ不正アクセス
されないように、不要なポートが解放されていないかを検査します。
2024.03.17 20:25
だいちさん(No.9)
返信遅れすみません、ご回答ありがとうございます。
なるほど、理解いたしました。
なるほど、理解いたしました。
2024.03.18 18:26
その他のスレッド
»[1418] 平成31年春 午後Ⅰ 問3 設問2(1) 投稿数:15»[1417] 令和4年秋 午後2 問1 設問2 投稿数:8
»[1416] 令和元年秋 午後1 問2 設問2(3) 投稿数:3