令和2年度秋期 午後1 問3設問1(3)

yukiさん  
(No.1)
診断PCの接続箇所を問う問題なのですがなぜこの解答なのでしょうか?
bかなと思ったのですがbではなぜダメなのでしょうか?
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
2023.03.14 20:20
pixさん 
SC ダイヤモンドマイスター
(No.2)
一見(b)でもよさそうに見えます。
しかし、このネットワーク図から本文中に書いていない設定を想定すると、
(a)が適切と思われます。

(b)がNGな理由ですが、ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット向けのサービス用NIC (a)側
・管理LAN向けの管理用NIC (b)側
インターネットサービス(80,443/tcp)はサービス用NICのみでLISTENしており、
管理LAN向けの管理用NICは管理に必要なポート(例 22/tcpなど)のみ
許可で、サービス用ポート(80,443/tcp)は閉塞している可能性があります。

そのため純粋に内部からのWeb診断、PF診断をするのであれば(a)が適切と
考えられます。
2023.03.14 21:14
yukiさん  
(No.3)
ごめんなさいわからないです。
インターネットからのPF診断だけではなく内部のネットワークからのPF診断も実施すべきとのことで
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?
内部からの通信でなおかつFWによって止められないbが最適かなと思うのですが、、、
2023.03.14 21:57
pixさん 
SC ダイヤモンドマイスター
(No.4)
この投稿は投稿者により削除されました。(2023.03.14 22:36)
2023.03.14 22:36
hisashiさん 
(No.5)
>インターネットからのPF診断だけではなく内部のネットワークからのPF診断も実施すべきとのことで
接続点を変更しているのにaの接続点ではインターネット側になるのではないでしょうか?

ネットワークからという文言は、純粋にFWの外を指していると思います。
ここでいう内部が管理LAN内かDMZ上を指すかは判らないので、他から判断するしかないと思います。

<a>は表2にも記載があり、
表2の診断内容-診断1を拝見する限り、攻撃者がインターネットから本番Webサーバを攻撃し、本番DBサーバの秘密情報を搾取する脅威を想定とあるので、
Webサーバからみてインターネット側から診断するのが適切ではないでしょうか?
2023.03.14 22:35
pixさん 
SC ダイヤモンドマイスター
(No.6)
この問題は一般的な脆弱性診断の知識・経験が必要です。
脆弱性診断の経験がないと理解しずらいかと思います。

>接続点を変更しているのにaの接続点ではインターネット側になるのでは
>ないでしょうか?
本文中には「インターネット側(のNIC)」とは書いてありません。
書いてあるのは「インターネットから(外部)」です。

また、内部とは「管理LAN」だけのことではありません。
内部とは以下の3つをまとめたL社環境全体です。
・本番環境(DMZ、DB-LAN)
・ステージング環境(ステージングLAN)
・管理LAN

脆弱性診断には以下2種類があります。
・Web診断(Webアプリケーションの脆弱性診断
  TLSのバージョン調査、暗号スイート調査、
  XSS、CSRF、ディレクトリトラバーサル、
  OSコマンドインジェクション、SQLインジェクションなどの検査)
・PF診断
  (OSの不正ログイン、不要なポートが開いてないかなどの検査)

実施場所は以下2種類あります
・インターネット(リモートから)
・内部

インターネット経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->(インターネット)->
  [FW1]->[SSLアクセラレータ]->[N-IPS]->[L2SW]->[本番Webサーバ]
内部経由のWeb診断・PF診断は以下の経路になります。
[診断PC]->[L2SW]->[本番Webサーバ]
ですので、(a)の接続点は内部からの診断になります。

Web診断は以下のような観点で実施されます
・インターネットから
  N-IPSで不正なアクセスがブロックされるか
・内部から
  Webプリケーションに潜在的な脆弱性が存在しないか

PF診断は以下のような観点で実施されます
・インターネットから
  FWで不正なポートアクセスがブロックされるか
・内部から
  OSで不要なポートがオープンしていないか
2023.03.14 22:48
boyonboyonさん 
(No.7)
横から失礼します。

ここでの診断は、
>攻撃者がインターネットから本番Webサーバを攻撃し、・・・
と書いてあるので、2つの診断の目的を次のように考えました。
・インターネットから、本番WebサーバにPF診断、Web診断。
  FW、SSLアクセラレータ、NーIPSをくぐり抜けて本番Webサーバを攻撃する。
  くぐり抜けるところも合わせて(or主にかな)診断できる。

・接続点□から、本番WebサーバにPF診断、Web診断。
  こちらは、本番Webサーバ自体の診断中心。
  だから、すぐ側にPCをつなげる。
  (a)と(b)が近いけれど、(b)は管理LANからなので、攻撃になるのかな?と思いました。
  よって、(a)が適当だと思いました。(ちょうどくぐり抜けた後の場所なので)
2023.03.15 00:53
pixさん 
SC ダイヤモンドマイスター
(No.8)
為念、もう一度No.2と同様の内容を投稿いたします。

一見(b)でもよさそうに見えます。
しかし、このネットワーク図から本文中に書いていませんが、以下のような
ネットワーク設定が想定されます。

ネットワーク図を見ると本番Webサーバは2つのNICを
もっています。
・インターネット側のサービス用NIC (a)側
  オープンしていると想定されるポート:80,443/tcp(HTTP、HTTPS)、
                                      これ以外のポートはクローズ
・管理LAN側の管理用NIC (b)側
  オープンしていると想定されるポート:22/tcp(SSH)、
                                      これ以外のポートはクローズ

以上のように(a)と(b)ではポートの開け方に違いがあり、(b)からでは
計画通りWeb診断、PF診断を行えないと思われます。
したがって、内部からのWeb診断、PF診断をするのであれば(a)が
適切と考えられます。
2023.03.15 03:51
PAC3さん 
(No.9)
>  オープンしていると想定されるポート:80,443/tcp(HTTP、HTTPS)、
443は開いていないでしょ

>  オープンしていると想定されるポート:22/tcp(SSH)、
Windowsサーバかも知れないよ
2023.03.15 06:24
pixさん 
SC ダイヤモンドマイスター
(No.10)
>PAC3さん
ご指摘頂きありがとうございます。

>443は開いていないでしょ
SSLアクセラレータが途中にあるので、開いているのは80/tcpのみです。

>Windowsサーバかも知れないよ
22/tcp,3389/tcpのほうが適切ですね。
2023.03.15 07:25
yukiさん  
(No.11)
皆様ご丁寧にありがとうございます。
実務経験が全くないのでそのような発想ができませんでした。
皆様の意見をよく読みもう一度考えてみたいと思います。
ありがとうございます。
2023.03.15 21:04
助かりましたさん 
(No.12)
私もわかりませんでした。丁寧な解説ありがとうございます!ここしかこの問題の解説してないので、貴重。
2023.03.25 04:10

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop