FWのパケットフィルタリングによるアクセス制御。(H19春ソフトウェア開発技術者午後1問1)

 今回解いてみたIT試験の過去問は、ネットワーク分野になります。IPAの平成19年春ソフトウェア開発技術者(現・応用情報技術者)午後1の問1からの出題で、ファイアウォールのパケットフィルタリング機能を用いたアクセス制御がテーマになっています。

 パケットフィルタリングについては、ネットワーク分野だけでなく、情報セキュリティ分野で出題されることもあります。

平成19年春ソフトウェア開発技術者午後1問1(ネットワーク)

平成19年春ソフトウェア開発技術者午後1(PDFファイル)

(引用ここから。解答群の整列など一部改変あり。)

問1 ファイアウォールによるアクセス制御に関する次の記述を読んで,設問1 ~3 に答えよ

M 社のネットワークは,図のような構成になっている。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2007h19_1/2007h19h_sw_pm1_qs.pdf
ネットワーク構成について。

〔インターネット側アクセス制御〕
 M社は自社のネットワーク上に,インターネットへの公開サーバを設置している。公開サーバの役割は,表1 に示すとおりである。
 M社の公開サーバは,ファイアウォールXとY に囲まれた領域に配置されている。このような構成にすることによって,外部からの不正アクセスでファイアウォールXが突破されても,社内LAN に被害が及ばないようにすることができる。二つのファイアウォールで囲まれた領域は,[a]と呼ばれる。
 ファイアウォールX及びYには,パケットフィルタリング型のファイアウォールを用いる。パケットフィルタリング型のファイアウォールは,受信したパケットに含ま れる,送信元,送信先それぞれの[b]と[c],及び通信の方向を監視 し,通信の通過,遮断を制御する。

〔社内LAN側アクセス制御〕
 社内LAN の中には,社員用LAN1,社員用LAN2 及び協力会社用LAN が存在する。社員用LAN1 及び社員用LAN2 からは,インターネットのWebへのアクセス,電子メールの送受信,及び社内LAN 全体へのアクセスを可能にする。協力会社用LAN からは,インターネットのWebへのアクセスと,グループウェアサーバへのアクセスだ けを可能にする。
 M 社で導入しているルータには,パケットフィルタリング機能が備わっている。協力会社用LANに関するアクセス制限は,[d]に装備されたパケットフィルタリング機能を用いて実現する。

〔パケットフィルタの設定〕
 表3~5は,パケットフィルタの設定のうち,[a]へ向かう通信に関する設定と,協力会社用LAN に対するアクセス制限に関する設定を抜粋したものである。
 表中のポート番号の欄には整数値が,送信元及び送信先の欄にはIPアドレスが入る。 ここで使用しているポート番号とプロトコルは,表2 のとおりである。ただし,any は任意のポート番号,anywhere は任意のIP アドレスを意味する。
 また,二つ以上の設定が当てはまる場合は,表中の上に書かれた設定内容が優先される。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2007h19_1/2007h19h_sw_pm1_qs.pdf
ファイアウォールのフィルタリング設定。

〔動的パケットフィルタリング機能によるアクセス制御〕
 社内LAN からインターネットのWebを参照する場合,ファイアウォールX及びYは,社内からインターネットに向かうアクセス要求のパケットと,インターネットから社内に向かう応答のパケットを通過させる必要がある。
 しかし,それらのパケットを常に許可するようにしていると,侵入者が外部から[l]を送りつけたと社でも,ファイアウォールX及びYは,それを通過させてしまう。それを防ぐため,ファイアウォールX及びYでは,動的パケットフィル タリング機能を用いてアクセス制御を行う。
 動的パケットフィルタリング機能を用いることで,送信したアクセス要求のパケットに対応する応答のパケットだけを通過させるように制御することができる。

設問1
本文中の[a]~[d]に入れる適切な字句を答えよ。なお,[d]は図中にある機器をーつ選んで答えよ。

設問2
表2を参照して、表3~5中の[e]~[k]に入れる適切な字句 を答えよ。なお,[a]及び[d]には,設問1の[a] ,[d] と同じ字句が入る。

設間3
本文中の[l]に入れる適切な字句を解答群の中から選び,記号で答えよ。

解答群
ア 送信先ポート番号が80,送信元ポート番号が任意で,アクセス要求に対する応答のパケットとして作成された不正パケット
イ 送信先ポート番号が80,送信元ポート番号が任意で,アクセス要求のパケットとして作成された不正パケット
ウ 送信先ポート番号が任意,送信元ポート番号が80 で,アクセス要求に対する応答のパケットとして作成された不正パケット
エ 送信先ポート番号が任意,送信元ポート番号が80 で,アクセス要求のパケットとして作成された不正パケット

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2007h19_1/2007h19h_sw_pm1_qs.pdf

(引用ここまで)
 解答と解説については、「2」のページに記載しています。

にほんブログ村 ゲームブログへ

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする