R2午後2問1設問1a

やきとりさん  
(No.1)
FWの穴あけに関する問題なのですが、セキスペ全般的にインバウンド/アウトバウンドは明記しない問題が多いのでしょうか?LDAP-Pはそのとおりで納得なのですが、LDAP-Q、LDAP-RはそれぞれのFW-Q,FW-Rに設定すべきでは?と思いました。アウトバウンド通信なので許可は必要なのですが、aに「LDAP-P、LDAP-Q、LDAP-R」と横並びに書くことに違和感です。まぁこういうものと覚えるしかないのか、そもそも考え方が違うのかアドバイスありましたらよろしくお願いします。
2023.03.21 13:50
pixさん 
SC ダイヤモンドマイスター
(No.2)
本問は度々質問が挙がる問題となっており、少々厄介なものです。

>FWの穴あけに関する問題なのですが、
>セキスペ全般的にインバウンド/アウトバウンドは明記しない問題が多いのでしょうか?
P5 「表2 変更後のFW-Pのルール 注記1」
「FW-Pは、ステートフルパケットインスペクション型である。」とあります。
これにより、通信を開始する方向のみ許可を記述すれば、その通信が有効の間
インバンド/アウトバウンド両方向の通信が許可されます。
したがって片方向のみの許可で十分となります。

>LDAP-Pはそのとおりで納得なのですが、
>LDAP-Q、LDAP-RはそれぞれのFW-Q,FW-Rに設定すべきでは?と思いました。
P3 「図1 機器集約後のネットワーク構成(抜粋) 注記」
「FW-1では、サイトP、Q、R相互間の通信を禁止している。」とあります。
そのため、別サイトのLDAPへの通信は図の下側のL2SWを経由することになります。

WEB-PからLDAPアクセスは、
・WEB-PからLDAP-P
  [WEB-P]->[FW-P]->[LDAP-P]
・WEB-PからLDAP-Q
  [WEB-P]->[FW-P]->[L2SW]->[FW-Q]->[LDAP-Q]
・WEB-PからLDAP-R
  [WEB-P]->[FW-P]->[L2SW]->[FW-R]->[LDAP-R]
以上のような経路になります。
またWeb-Q,Web-Rも[L2SW]->[FW-P]->[LDAP-P]とアクセスにくるので、
「表2 変更後のFW-Pのルールの項番2」の設定が必要になります。
これらFW-Pと同等の設定が、FW-Q、FW-Rにも設定されていることになります。

>アウトバウンド通信なので許可は必要なのですが、
>aに「LDAP-P、LDAP-Q、LDAP-R」と横並びに書くことに違和感です。
>まぁこういうものと覚えるしかないのか、
>そもそも考え方が違うのかアドバイスありましたらよろしくお願いします。
「表2 変更後のFW-Pのルールの項番1」の宛先で「Web-P,LDAP-P」を2つの項目を横に
列挙しています。これが暗に解答方法のヒントとなっており、このFWの設定では
「LDAP-P、LDAP-Q、LDAP-R」のような横に列挙する設定を書いてもOKであると
判断できます。

SCのFWのルールの穴埋め問題は、既存の設定方法を踏襲するのが定番のパターンと
なっています。FWの問題についてはそういった傾向を押さえておく必要があります。

SCの問題はかならずどこかに根拠があります。根拠が見つけられない解答は不正解の
場合が多いので、注意してください。
2023.03.21 15:09
やきとりさん  
(No.3)
お忙しいところ丁寧な回答ありがとうございます!

>  「FW-Pは、ステートフルパケットインスペクション型である。」とあります。
ここ見逃していました。そもそも私のFWの認識がAWSのSGの認識しかなく、例えばCloud上のEC2にssh接続したい場合は
そのEC2のSGに対してインバウンド22を許可するのみでしたが、ステートフルパケットインスペクションではない場合、どうやらアウトバウンドも必要と
いうことが新しくわかりました。ありがとうございます。

>  「FW-1では、サイトP、Q、R相互間の通信を禁止している。」とあります。
ここもよく見ていなかったです。すなわちインターネット経由での通信はNGでありL2SW2のみしか方法がないことを再認識しました、

>  「表2 変更後のFW-Pのルールの項番1」の宛先で「Web-P,LDAP-P」を2つの項目を横に列挙しています。これが暗に解答方法のヒント
正直ここはインバウンドの通信なので、この書き方に納得しちゃいました。

これらを踏まえまして、やはり表2は少し感覚と違うんですよね・・;
項番2は
送信元:Web-Q,Web-R,Web-Pと送信元に「Web-P」を追加すべきで
項番3は
宛先:LDAP-Q,LDAP-Rの、まぁプロトコルはLDAP
がスマートな気がするんですよね・・;
2023.03.21 20:18
pixさん 
SC ダイヤモンドマイスター
(No.4)
半分は感性で、もう半分はルール設定方法の統一の問題と思われます。
やきとりさんの設定案でも、設定としては行けると思います。

しかし、FWの設定ポリシーとして
・送信元を基準に考える
・送信元に機器を一度だけ出現させる
がFWのルールとしての単純性・分かりやすさを確保すると思われます。
DBのエンティティ的に考えれば、送信元と宛先が常に1対1または1対多で記述される
イメージです。
送信元をみれば、どこと通信が許可されているか一目でわかります。
管理面からみても、送信元を基準としてアクセス許可を与える方が、
後々運用でルールの追加、削除を行う際に1行に対して操作を行うだけで済み、
メリットがあると思われます。

やきとりさんの案を採用すると、FWルール内で送信元と宛先の関係が、多対多になり、
若干分かりやすさが低下すると思われます。
特に、送信元:Web-Pが2行に分かれてしまうところがややもどかしいです。

このあたりは実際の運用で自身が設定する時にどのように設定するかもあると思います。
ですので、上記はご参考までにお願いします。
2023.03.21 21:00

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop