HOME»情報処理安全確保支援士令和元年秋期»午前Ⅰ 問12
情報処理安全確保支援士令和元年秋期 午前Ⅰ 問12
問12
インターネットとの接続において,ファイアウォールのNAPT機能によるセキュリティ上の効果はどれか。
- DMZ上にある公開Webサーバの脆弱性を突く攻撃からWebサーバを防御できる。
- インターネットから内部ネットワークへの侵入を検知し,検知後の通信を遮断できる。
- インターネット上の特定のWebサービスを利用するHTTP通信を検知し,遮断できる。
- 内部ネットワークからインターネットにアクセスする利用者PCについて,インターネットからの不正アクセスを困難にすることができる。
- [出典]
- 応用情報技術者
令和元年秋期 問37と同題
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
エ
解説
NAPT(Network Address Port Translation)は、プライベートIPアドレスとグローバルIPアドレスを1対1で相互変換するNATの考え方に、ポート番号でのクライアント識別を組み合わせた技術です。
NAPTが有効になっている場合、利用者PCがインターネットにアクセスしようとすると、NAPT機能をもつ機器等はプライベートIPアドレスをグローバルIPアドレスに変換すると同時に、送信元ポート番号を未使用の別の番号に書き換えてからインターネットに送出します(②)。そしてインターネットから内部ネットワークへのパケットが返ってくると、その送信先ポート番号を見て、送信先IPアドレスと送信先ポート番号を適切に書き換えて利用者PCに届けます(⑤)。NAPT機能をもつ機器では、インターネット接続に使用中のポート番号を記憶しています。このため攻撃者が内部ネットワークへの不正アクセスを試みても、記憶しているポート番号以外に宛てたパケットは宛先不明としてすべて破棄されます。しかもNAPTで割り振られるポート番号は数万種あり、セッション確立の度に異なるため、攻撃者がピンポイントでポート番号を指定して利用者PCに不正アクセスすることは困難です。このように、NAPT機能には内部ネットワークを秘匿できるというセキュリティ上の副次的効果があります。
したがって「エ」の記述が適切です。
NAPTが有効になっている場合、利用者PCがインターネットにアクセスしようとすると、NAPT機能をもつ機器等はプライベートIPアドレスをグローバルIPアドレスに変換すると同時に、送信元ポート番号を未使用の別の番号に書き換えてからインターネットに送出します(②)。そしてインターネットから内部ネットワークへのパケットが返ってくると、その送信先ポート番号を見て、送信先IPアドレスと送信先ポート番号を適切に書き換えて利用者PCに届けます(⑤)。NAPT機能をもつ機器では、インターネット接続に使用中のポート番号を記憶しています。このため攻撃者が内部ネットワークへの不正アクセスを試みても、記憶しているポート番号以外に宛てたパケットは宛先不明としてすべて破棄されます。しかもNAPTで割り振られるポート番号は数万種あり、セッション確立の度に異なるため、攻撃者がピンポイントでポート番号を指定して利用者PCに不正アクセスすることは困難です。このように、NAPT機能には内部ネットワークを秘匿できるというセキュリティ上の副次的効果があります。
したがって「エ」の記述が適切です。