H30秋PM1問3設5(2) スレNO433に関し

フワさん  
(No.1)
スレNO433に関係します。
私もこの問題をスレ主さん(No.1)の様に回答しました。理由も大体同じです。
(最後にスレ主さんが妙に納得してしまったのがどうも・・)

あるWEBの解説で、
「ハードウェア型WAFは通信を復号してそのままEサーバに渡せばいいですが、例えばクラウド型では復号し解析した後に、さらに暗号化する必要があるなど、前後の動作が異なるため、ハードウェア型に限定した設問となっていると思われます。」
⇒エエッ、そうなの?
Eサーバは、上りリクエストはHTTPで受け、下りレスポンスはHTTPSで送出と、こんなこと矛盾無く処理できるのでしょうか。問題文には、Eサーバを改造するとか設定変更するとか、書かれていません。
それだったら、クラウド型はなぜ復号したままではダメなのかもわかりません。
どなたかお助けを!
2021.02.21 17:57
takeさん 
(No.2)
この設問では、いわゆるSSLアクセラレーションの事を言っているのではないかと思います。
SSLアクセラレータは専用機器だったりLBに入っていたりする事も多いですがWAFに内蔵されている場合もあります。
WebサーバとSSLアクセラレータ(WAF)間は、リクエストもレスポンスも全てhttpで行われ、暗号化と複合はSSLアクセラレータに一任されるのが一般的な気がします。

クラウド型の方は詳しい事はわかりませんが、片方だけhttpというのは考えにくいので、リクエストがhttpsならレスポンスもhttpsで返している(そもそも同一セッションでレスポンスだけSSLの暗号化をしないというのは無理ではないでしょうか?)のではないでしょうか
2021.02.21 19:45
昭和62年さん 
(No.3)
ハードウェア型WAFを採用した場合
WAFで復号しチェック後平文でEサーバへ送信する
DMZ内なので平文でかまわない。
Eサーバは平文で応答し、暗号化はWAFが実行する。

クラウド型WAFの場合
技術的には平文のままでもよいが、クラウドからB社へ至る経路はインターネットなので、
暗号化しないことはありえない。

だと思います。
2021.02.21 20:24
フワさん  
(No.4)
takeさん、昭和62年さん、早々回答ありがとうございます。

昭和62年さんのDMZ内とインターネットの違いで使い方、理解しました。なるほど。
takeさん、昭和62年さんのリクエストもレスポンスもHTTPか又はHTTPS、同感です。
  ですが、
>問題文に、Eサーバを改造するとか設定変更するとか、書かれていません。
つまり、今までEサーバはリクエストもレスポンスもHTTPSで受送信していたのに、
ハードウェア型WAFを入れたら、問題なくHTTPをOKとするのでしょうか。
それとも、設定変更程度なら書かれてなくても常識の範囲なのでしょうか。
  さらに、
IPA解答は「インターネットからのHTTPS通信を復号する機能」で、
これは、上りリクエストのみしか言及しておらず、下りレスポンスがHTTPできたらスルーしていいの?
ハードウェア型WAFがクラウド型WAFと同じ機能(SSLアクセラレータ相当機能)なら悩まないのに。

スレNO433のスレ主さん(No.7)で「余分なことを付け加えると、×か大幅減点ですね」と纏めていますが、う~ン、そうかも、そうでないかも。
2021.02.21 23:23
昭和62年さん 
(No.5)
設問5は、「リスク軽減策の検討について答えよ」です。
この時点では検討しているだけでWAFを導入していないので、
Webサーバの設定変更について触れていないのでしょう。
逆に設定変更しなくてよいとも書かれていません。

「インターネットからのHTTPS通信を復号する機能」には、
レスポンスを暗号化(HTTPS化)する機能が暗黙に含まれます。
2021.02.22 06:13
フワさん  
(No.6)
昭和62年さん、
「WAFの暗号通信に関する機能について述べよ」だから、
Eサーバの設定変更の要不要を考慮する必要はなく、
必要機能だけを述べればよいとのことですね。
しかもハード型WAFがL2SWとEサーバの間に置かれるインライン型なので、
「インターネットからのHTTPS通信を復号する機能」となりEサーバとはHTTP通信する。

皆さん、ありがとうございました。勉強になりました。
2021.02.22 13:32

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop