H30年度春PM1問3設3j)k)のある解説内容

こりんさん  
(No.1)
センタの解答
j):低い
k):FW2によって感染活動を遮断できるから

配信サーバを(い)に設置した場合、研究開発PCが感染したとすると、配信サーバが感染するリスク(高いか低いか)を問うている。

ある解説書には理由として、
★「FW2で配信サーバから研究開発PCへの更新ファイルの配信のみを許し、その逆の研究開発PCから配信サーバへのマルウェアγの配信はFW2で拒否できるから」
この説明は適切なのだろうか。

先ず、
研究開発PCから配信サーバへの正規の通信では、間のFW2の設定は<研究開発PCから配信サーバへの通信は許可>となってなければならない。
なぜなら、研究開発PCから配信サーバへアクセスし、レスポンスで更新ファイルを取得するという、研究開発PC主導であり、配信サーバ主導ではないからだ。
このことは、問題文に「更新ファイル提供サービスと同じ動作をする配信サーバを用意する」とあること、表1の最後の更新ファイル提供サービスの説明に
「PCがHTTP通信でこのサービスにアクセスし取得する」とある。つまり、PC主導であることが書かれている。
だから、FW2の設定は<研究開発PCから配信サーバへの通信は許可>となっているはずだ。

一方感染については、「マルウェアγが能動的に配信サーバを感染する」とあり、感染したPC主導で他に感染を広げる。
以上から★は、更新ファイルの配信では配信サーバ主導を想起させ、適切ではない。

ではどうして、センタの解答のようになるのか。
それは、正規の更新ファイルの取得はHTTP通信であり、マルウェアγが能動的に配信サーバを感染はファイル共用プロトコルの通信であるから。これら問題文に書いてある。
これらはポート番号が違うで、前者のみFW2のポート番号80を許可すれば、他は遮断できるのだ。

ついでに似たような感染経路も見てみよう。
表4の項番1の右欄の最初の文章に、
「事務PCからファイル転送サーバが感染する」とある。間にはFW1があるが、<事務PCからファイル転送サーバへの必用な通信は許可>となっている。なので、マルウェアαが能動的に事務PCからファイル転送サーバを感染したと読める。
この場合は「正規の通信」も「事務PCからファイル転送サーバが感染の通信」もHTTP通信と書いてあるから、FW1を通過し感染したのだ。

以上の理解で間違いないでしょうか。
2020.07.17 18:54
okomeさん 
(No.2)
(あ)と(い)の対比だと考えました。そんなに難しく考えることではないと思います。

こりんさんはファイル転送とファイル共有を混同してしまっているのではないでしょうか。

研究開発部と事務部がファイルをやり取りするために使用するのがファイル転送プロトコルです。
研究開発部内や事務部内でファイルのやり取りに使われるのがファイル共有プロトコルです。
更新ファイルの配信に使われるのはまた別のプロトコルです。(表4に明記されている)

こりんさんがご覧になった解説書は誤解を招く書き方がされていますね。
配信サーバに対してファイルの配信を行えるのはOSの作成元やセキュリティソフトの作成元だけです。
WindowsであればWindows Server Update Services ( WSUS) を用いてパッチの配信を行いますが、これもまた、配信サーバへの配信はPCからは(配信サーバの設定により)できません。

「FW2で配信サーバから研究開発PCへの更新ファイルの配信のみを許し、その逆の研究開発PCから配信サーバへのマルウェアγの"共有"はFW2で拒否できるから」と読み替えると簡単に理解できると思います。

研究開発部内で使用するファイル共有のプロトコルと配信サーバからの配信で使用するプロトコルが違えば、当然使用するポートも違うものになります。ファイアウォールはポートごとに接続可否を決定するためブロック可能というわけです(ファイル共有プロトコルはブロック、配信サーバのプロトコルは通過)。マルウェアyはファイル共有プロトコルのみを利用して感染拡大するため、ファイアウォールによってブロックできない同じLAN内ではいくらでも感染できますが、ファイアウォールが間に入ればかなり感染を防げるというわけです。

ファイアウォールで防げるのであればそもそも研究開発部まで届かないのではと思われがちがそれは違います。最初の感染時にはメールの添付ファイルなどでLAN内に侵入し感染が可能だからです。
2020.09.15 10:11

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop