令和元年 秋期 午後Ⅰ問2  別解はあり得ますか?

ラストスパートさん  
(No.1)
設問2の(3)についてです。
FWのフィルタリングルールを変更し、C&CサーバへのDNS通信を遮断するという問題ですが、
IPAの解答は以下です。

送信元:DMZ
宛先:インターネット
動作:許可

私は以下と考えてしまったのですが、

送信元:オフィスセグメント
宛先:インターネット
動作:拒否

内部サーバセグメントからインターネットの通信についてはそもそも項番7で遮断されているという理解でして、上記2つの解答の差分が分かりません。

お詳しい方ご教示いただけませんでしょうか。

問題↓
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
2022.04.09 09:00
pixさん 
SC ダイヤモンドマイスター
(No.2)
変更前のルールは
項番:3
送信元:全て
宛先:インターネット
サービス:DNS
動作:許可
この設定では[全て]->[インターネット]でDNSを許可します。

IPAの解答は以下であり
項番:3
★送信元:DMZ
宛先:インターネット
サービス:DNS
動作:許可
この設定により[DMZ]->[インターネット]のみのDNSを許可にかわりました。

もし書き込みのように
項番:3
★送信元:オフィスセグメント
宛先:インターネット
サービス:DNS
★動作:拒否
と設定した場合、[オフィスセグメント]->[インターネット]のDNSは拒否されます。
しかし、項番:3の変更の副作用により、
[全て]->[インターネット]:[DNS]:[許可]がなくなったため、
それに含まれていた(部分集合)であった
[DMZ]->[インターネット]:[DNS]:[許可]が消滅し、DMZからのDNS通信不可に
なります。
故に、意図しない部分まで拒否する誤った設定となっています。

このFWの設定が原則禁止ポリシーに基づいて設定されております。
すべての通信を拒否して、必要あるものだけを明示的に許可する
というものです。
ですので、途中で拒否設定を入れるのは混乱を招く可能性があるので
十分注意してください。
2022.04.09 09:58

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop