令和2年秋期 午後Ⅰ 問3 Webシステムのセキュ
広告
ykさん
(No.1)
令和2年秋期 午後Ⅰ 問3 Webシステムのセキュリティ診断
設問2-4
web管理pcから本番DBサーバーの警告灯対策なのに、DB管理PCからの通信を許可するにしても、web管理pcから本番DBサーバーは影響しないので以前と同じく警告灯がなるのではないでしょうか?
答えがおかしくないですか?
設問2-4
web管理pcから本番DBサーバーの警告灯対策なのに、DB管理PCからの通信を許可するにしても、web管理pcから本番DBサーバーは影響しないので以前と同じく警告灯がなるのではないでしょうか?
答えがおかしくないですか?
2022.09.16 15:49
pixさん
★SC ダイヤモンドマイスター
(No.2)
過去様々なIPAの問題を精査してきましたが、IPAの問題は
高度に構成・推敲されています。
問題・解答がおかしいということはないです。
P15 図2 ホスト型IPSの概要 1.に
「ホワイトリストには、現在、本番WebサーバとDB管理PCの
IPアドレスだけが、登録されている」とあります。
FW2は以前、管理PCセグメントから本番DBサーバへの通信を
許可していました。
そのため、FW2はWeb管理PCから本番DBサーバへの通信を許可
してしまい、本番DBサーバのホスト型IPSに検知され警告灯が
点灯してしまいました。
「【 d 】からの通信だけを」と『だけ』と明記されています。
不用意に警告灯を点灯させないためには、FW2で管理PCセグメント
から本番DBサーバへのアクセスをDB管理PC『だけ』を許可する
必要があります。それ以外の通信は全て禁止されます。
それにより、Web管理PCから本番DBサーバへの通信は禁止される
ことになります。
これが、設問2-(4)の解答になります。
高度に構成・推敲されています。
問題・解答がおかしいということはないです。
P15 図2 ホスト型IPSの概要 1.に
「ホワイトリストには、現在、本番WebサーバとDB管理PCの
IPアドレスだけが、登録されている」とあります。
FW2は以前、管理PCセグメントから本番DBサーバへの通信を
許可していました。
そのため、FW2はWeb管理PCから本番DBサーバへの通信を許可
してしまい、本番DBサーバのホスト型IPSに検知され警告灯が
点灯してしまいました。
>web管理pcから本番DBサーバーは影響しないので以前と同じく
>警告灯がなるのではないでしょうか?
「【 d 】からの通信だけを」と『だけ』と明記されています。
不用意に警告灯を点灯させないためには、FW2で管理PCセグメント
から本番DBサーバへのアクセスをDB管理PC『だけ』を許可する
必要があります。それ以外の通信は全て禁止されます。
それにより、Web管理PCから本番DBサーバへの通信は禁止される
ことになります。
これが、設問2-(4)の解答になります。
2022.09.16 16:31
ykさん
(No.3)
>Web管理PCから本番DBサーバへの通信は禁止されることになります。
Web管理PCから本番DBサーバへの通信は禁止されるのは分かります。
聞いているのは警告灯が点灯する再発防止です。
問題には
””通信が拒否されると... 警告灯を点灯させる””
とあるので、蛍光灯はなりますよね?
2022.09.17 12:19
pixさん
★SC ダイヤモンドマイスター
(No.4)
>””通信が拒否されると... 警告灯を点灯させる””
>とあるので、蛍光灯はなりますよね?
それはミスリードです。
警告灯の点灯は本番DBサーバに導入されたホスト型IPSの機能です。
P15 図2 ホスト型IPSの概要で
「執務室内にある警告灯を点灯させる。」とあります。
そもそも警告灯を点灯させたい理由ですが、本番DBに
侵入されたことを通報させたいがための機能です。
逆をいえば、本番DBに到達する前にFW2で通信を
拒否されただけでは警告灯は点灯しません。
2022.09.17 12:31
ykさん
(No.5)
ミスリードではありません。
記載しているとおりです。
記載しているとおりです。
2022.09.17 14:30
pixさん
★SC ダイヤモンドマイスター
(No.6)
初期の状態ですが
P15 FW2の概要にあるとおり、
「管理PCセグメントから本番DBサーバ、・・・」とあり、
FW2で管理PCセグメント(Web管理PC、DB管理PC)から本番DBサーバへの
通信が許可されています。
しかし、本番DBサーバのホスト型IPSで許可されている通信は、
本番WebサーバとDB管理PCのIPアドレスだけです。
この時の管理PCセグメントから本番DBサーバへの通信は以下です。
・DB管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで許可され、正規の通信とみなされる)
しかし、
・Web管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで拒否され、警告灯が点灯)
というように意図せず警告灯が点灯してしまいました。
この状況を望む状態へ修正するために、FW2のルールを修正する
ことになりました。管理PCセグメントからはDB管理PCからのみ
本番DBサーバ許可するように修正しました。
・DB管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで許可され、正規の通信とみなされる)
この通信は修正前とかわりはないです。
・Web管理PC
-> FW2(拒否され、本番DBサーバへ到達しなくなる)
というようになります。
これによりWeb管理PCが意図せず本番DBサーバへアクセスすることが
できなくなります。
その結果本番DBサーバのホスト側IPSで検知されなくなり、
これが警告灯が誤って点灯する件の再発防止となっています。
P15 FW2の概要にあるとおり、
「管理PCセグメントから本番DBサーバ、・・・」とあり、
FW2で管理PCセグメント(Web管理PC、DB管理PC)から本番DBサーバへの
通信が許可されています。
しかし、本番DBサーバのホスト型IPSで許可されている通信は、
本番WebサーバとDB管理PCのIPアドレスだけです。
この時の管理PCセグメントから本番DBサーバへの通信は以下です。
・DB管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで許可され、正規の通信とみなされる)
しかし、
・Web管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで拒否され、警告灯が点灯)
というように意図せず警告灯が点灯してしまいました。
この状況を望む状態へ修正するために、FW2のルールを修正する
ことになりました。管理PCセグメントからはDB管理PCからのみ
本番DBサーバ許可するように修正しました。
・DB管理PC
-> FW2(許可される)
-> 本番DBサーバ(ホスト型IPSで許可され、正規の通信とみなされる)
この通信は修正前とかわりはないです。
・Web管理PC
-> FW2(拒否され、本番DBサーバへ到達しなくなる)
というようになります。
これによりWeb管理PCが意図せず本番DBサーバへアクセスすることが
できなくなります。
その結果本番DBサーバのホスト側IPSで検知されなくなり、
これが警告灯が誤って点灯する件の再発防止となっています。
2022.09.17 15:03
ykさん
(No.7)
答えになっていません
2022.09.17 16:02
pixさん
★SC ダイヤモンドマイスター
(No.8)
>Web管理PCから本番DBサーバへの通信は禁止されるのは分かります。
おっしゃるとおり、Web管理PCから本番DBサーバへの通信はFW2に
よって禁止されるようになりました。
>聞いているのは警告灯が点灯する再発防止です。
警告灯は本番DBサーバへ不正アクセスがあった場合、点灯します。
>問題には
>””通信が拒否されると... 警告灯を点灯させる””
>とあるので、蛍光灯はなりますよね?
本番DBサーバのホスト型IPSに拒否されると警告灯は点灯します。
しかし、FW2によってWeb管理PCから本番DBサーバへ通信は禁止されました。
重要なのはFW2によって通信が禁止されても警告灯は点灯しません。
これによりWeb管理PCからDBサーバへの不用意なアクセスによって
警告灯が誤点灯する事象の再発防止となりました。
すみませんがあとなにが解答として不足しているのでしょうか?
「警告灯が点灯する再発防止」の部分が不明なのでしょうか?
警告灯は本当に悪意ある不正侵入が本番DBサーバへ発生した場合は
点灯するのが正規の動作です。この場合は正常に警告灯が点灯しなければ
いけません。
再発防止したいのは、作業ミスによる悪意のない不用意な
Web管理PCから本番DBサーバへのアクセスでの誤点灯です。
不明点を具体的に教えていただけますか?
2022.09.17 16:35
橙色文書さん
(No.9)
>聞いているのは警告灯が点灯する再発防止です。
>問題には
>””通信が拒否されると... 警告灯を点灯させる””
>とあるので、蛍光灯はなりますよね?
FW2も警告灯を点灯させるのですか。
その記述があるのは何ページの何行目?
2022.09.17 19:56
nonameさん
(No.10)
己の読解力不足を棚に上げて、丁寧に説明をしてくれている人に対して、お礼の一言もなく、「答えになっていません」って何様なんでしょうか..苦笑 みっともなさすぎて、見ていて本当に不快です。資格云々以前に人としてのマナーを勉強しましょう。
2022.09.18 15:04
管理人
(No.11)
悪質なので荒らし行為の可能性があります。アクセス制限しておいたので返信はないかもしれません。
本スレッドに回答を寄せてくださった方々にはスレ主に代わってお礼申し上げます。
本スレッドに回答を寄せてくださった方々にはスレ主に代わってお礼申し上げます。
2022.09.18 15:10
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。