H25秋PM2問2この解答はダメですか
広告
こりんさん
(No.1)
設問1(2)のFW4について
IPAの解答
・Webメールサーバ メールサーバ POP3
Webメールサーバ メールサーバ SMTP
私の解答
・DMZ2 メールサーバ POP3
DMZ2 メールサーバ SMTP
私の解答が適切な理由、
確かに通信は、Webメールサーバ メールサーバ POP3/SMTP です。
ですが設問に「・・表3及び表4の記述形式に倣って・・」とある。
FW4はFW2の記述形式に倣うのがよく、いずれも対LANサーバへのFWだからです。
FW2の記述形式の1&2行目に倣えば、「DMZ2」となり、「Webメールサーバ」とするのは適切でない。
FW2の3行目に メールサーバ メールゲートウェイ SMTP があるが、なんでその様にサーバを指定した記述形式にしなければならないのかが分からない。
IPAの解答
・Webメールサーバ メールサーバ POP3
Webメールサーバ メールサーバ SMTP
私の解答
・DMZ2 メールサーバ POP3
DMZ2 メールサーバ SMTP
私の解答が適切な理由、
確かに通信は、Webメールサーバ メールサーバ POP3/SMTP です。
ですが設問に「・・表3及び表4の記述形式に倣って・・」とある。
FW4はFW2の記述形式に倣うのがよく、いずれも対LANサーバへのFWだからです。
FW2の記述形式の1&2行目に倣えば、「DMZ2」となり、「Webメールサーバ」とするのは適切でない。
FW2の3行目に メールサーバ メールゲートウェイ SMTP があるが、なんでその様にサーバを指定した記述形式にしなければならないのかが分からない。
2020.04.25 22:41
助け人さん
(No.2)
一般に、FWのルールの送信元と宛先は、FW2の3行目のように、ホスト(サーバやクライアント)を個々に指定する方がセキュリティ上、望ましいですが、複数のホストを束ねてネットワークを指定する場合があり、その例が1・2・4・5行目です。
1行目の送信元のDMZ1の内訳は、VPNサーバ1、Webメールサーバであり、
2行目の送信元のDMZ1の内訳は、VPNサーバ1、Webメールサーバ、メールゲートウェイサーバであり、
両方とも、DMZ1の全てのホストではないのにもかかわらず、DMZ1に束ねており、厳密には好ましくありません。
余談ですが、4・5行目の送信元のDMZ1は、VPNサーバ1とすべきですが、意図的に(悪意を持って)1・2行目と合わせています。
また、案2において、「FW1及びFW2の設定は表3,4と同じ」とありますが、FW2の1行目の送信元については、DMZ1からWebメールサーバが外れるので、厳密にはVPNサーバ1ですが、問題の都合上、知らんぷりをしています。
なお、「表3及び表4の記述形式に倣って」というのは、送信元と宛先とプロトコルの形式で書け、という意味であり、DMZ番号で表記せよ、という意味ではないでしょう。
このように、問題として成立させるためや間違えさせるために、やむをえずか意図的に、いろいろといやらしいことをしています。
1行目の送信元のDMZ1の内訳は、VPNサーバ1、Webメールサーバであり、
2行目の送信元のDMZ1の内訳は、VPNサーバ1、Webメールサーバ、メールゲートウェイサーバであり、
両方とも、DMZ1の全てのホストではないのにもかかわらず、DMZ1に束ねており、厳密には好ましくありません。
余談ですが、4・5行目の送信元のDMZ1は、VPNサーバ1とすべきですが、意図的に(悪意を持って)1・2行目と合わせています。
また、案2において、「FW1及びFW2の設定は表3,4と同じ」とありますが、FW2の1行目の送信元については、DMZ1からWebメールサーバが外れるので、厳密にはVPNサーバ1ですが、問題の都合上、知らんぷりをしています。
なお、「表3及び表4の記述形式に倣って」というのは、送信元と宛先とプロトコルの形式で書け、という意味であり、DMZ番号で表記せよ、という意味ではないでしょう。
このように、問題として成立させるためや間違えさせるために、やむをえずか意図的に、いろいろといやらしいことをしています。
2020.04.26 10:24
こりんさん
(No.3)
助け人さんのレスを読んで、頭が活性化してきました。ありがとうございます。
そして、自分なりに考察して以下の展開ではどうかと導きだしました。
問題文「・・スマートフォンもモバイルPCもVPNサーバ1に接続された状態では、DMZ1のネットワークセグメントのIPアドレスが割り当てられ、DMZ1に接続されているのと同じように通信できる」とある。つまり、VPNサーバ1にはDHCPの機能がある。このことから案2のDMZ2も同じと考えられる。
さらに設問1(1)の解答で「スマートフォンからメールサーバへのアクセス」は禁止すべき通信となっている。
下の私の解答は、
・DMZ2 メールサーバ POP3
・DMZ2 メールサーバ SMTP
これでは「DMZ2にいるスマートフォンが、悪意を持てば又はマルウェアに感染すれば、メールサーバにアクセスできる」ことになる。
従ってIPAの解答のように送信元をWebメールサーバに固定しなければならない。
流れを読み切れず、表3/4は正しいもの、そしてFW2の記述形式の1&2行目に拘泥しすぎました。
なお、助け人さんのレスのFW2の1,2,4,5行目の送信元は、VPNサーバ1ではなく、以下ではないでしょうか。なぜなら、スマートフォンやモバイルPCにはIPアドレスがVPNサーバ1から貸与されており、VPNサーバ1自信のIPアドレスを使うわけではないから。
1行目の送信元は、Webメールサーバ
2行目の送信元も、メールゲートウェイ、Webメールサーバ
4行目の送信元は、プロキシ
5行目の送信元も、プロキシ
表4では送信元をDMZ1としているので、余分なスマートフォン、モバイルPCやその他関係のないサーバ等が、悪意を持てば又はマルウェアに感染すれば、FWを越えてしまいます。
そして、自分なりに考察して以下の展開ではどうかと導きだしました。
問題文「・・スマートフォンもモバイルPCもVPNサーバ1に接続された状態では、DMZ1のネットワークセグメントのIPアドレスが割り当てられ、DMZ1に接続されているのと同じように通信できる」とある。つまり、VPNサーバ1にはDHCPの機能がある。このことから案2のDMZ2も同じと考えられる。
さらに設問1(1)の解答で「スマートフォンからメールサーバへのアクセス」は禁止すべき通信となっている。
下の私の解答は、
・DMZ2 メールサーバ POP3
・DMZ2 メールサーバ SMTP
これでは「DMZ2にいるスマートフォンが、悪意を持てば又はマルウェアに感染すれば、メールサーバにアクセスできる」ことになる。
従ってIPAの解答のように送信元をWebメールサーバに固定しなければならない。
流れを読み切れず、表3/4は正しいもの、そしてFW2の記述形式の1&2行目に拘泥しすぎました。
なお、助け人さんのレスのFW2の1,2,4,5行目の送信元は、VPNサーバ1ではなく、以下ではないでしょうか。なぜなら、スマートフォンやモバイルPCにはIPアドレスがVPNサーバ1から貸与されており、VPNサーバ1自信のIPアドレスを使うわけではないから。
1行目の送信元は、Webメールサーバ
2行目の送信元も、メールゲートウェイ、Webメールサーバ
4行目の送信元は、プロキシ
5行目の送信元も、プロキシ
表4では送信元をDMZ1としているので、余分なスマートフォン、モバイルPCやその他関係のないサーバ等が、悪意を持てば又はマルウェアに感染すれば、FWを越えてしまいます。
2020.04.26 14:02
助け人さん
(No.4)
問題文に「・・スマートフォンもモバイルPCもVPNサーバ1に接続された状態では、DMZ1のネットワークセグメントのIPアドレスが割り当てられ、DMZ1に接続されているのと同じように通信できる」とありますが、VPNサーバ1は、VPNクライアントとサーバLAN上のサーバの間の通信に介在します。
モバイルPC及びスマートフォンとサーバLAN上のサーバの間の通信について、関わるサーバを書き出します。
①モバイルPC-(L2TP over IPsec)-VPNサーバ1-(HTTP、HTTPS)-社内Webサーバ
②モバイルPC-(L2TP over IPsec)-VPNサーバ1-(POP3、SMTP)-メールサーバ
③スマートフォン-(L2TP over IPsec)-VPNサーバ1-(HTTP)-Webメールサーバ-(POP3、SMTP)-メールサーバ
なお、4・5行目のプロキシは、拠点LAN上のモバイルPCとインターネット上のWebサーバの間の通信を中継するものであり、リバースプロキシと書いていないことからも、モバイルPCと社内Webサーバの間の通信を中継するものではありません。
モバイルPC及びスマートフォンとサーバLAN上のサーバの間の通信について、関わるサーバを書き出します。
①モバイルPC-(L2TP over IPsec)-VPNサーバ1-(HTTP、HTTPS)-社内Webサーバ
②モバイルPC-(L2TP over IPsec)-VPNサーバ1-(POP3、SMTP)-メールサーバ
③スマートフォン-(L2TP over IPsec)-VPNサーバ1-(HTTP)-Webメールサーバ-(POP3、SMTP)-メールサーバ
なお、4・5行目のプロキシは、拠点LAN上のモバイルPCとインターネット上のWebサーバの間の通信を中継するものであり、リバースプロキシと書いていないことからも、モバイルPCと社内Webサーバの間の通信を中継するものではありません。
2020.04.26 15:46
こりんさん
(No.5)
助け人さん、ありがとうございます。
私のここ「つまり、VPNサーバ1にはDHCPの機能がある」、思いっきり間違っていますね。
スマートフォンやモバイルPCでインターネット通信するとき、(多くは)IPアドレスはインターネット・プロバイダが持つグローバルアドレスに変換されます。そしてVPNサーバ1にアクセスするので、VPNサーバ1がスマートフォンやモバイルPCにアドレス付与するのは大間違いでした。
ここも理解できました。表4の6・7行目にも気を配るべきでした。
今回、助け人さんのレスにより、大いに勉強させていただきました。
私のここ「つまり、VPNサーバ1にはDHCPの機能がある」、思いっきり間違っていますね。
スマートフォンやモバイルPCでインターネット通信するとき、(多くは)IPアドレスはインターネット・プロバイダが持つグローバルアドレスに変換されます。そしてVPNサーバ1にアクセスするので、VPNサーバ1がスマートフォンやモバイルPCにアドレス付与するのは大間違いでした。
>なお、4・5行目のプロキシは、・・
ここも理解できました。表4の6・7行目にも気を配るべきでした。
今回、助け人さんのレスにより、大いに勉強させていただきました。
2020.04.26 17:23
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。