FWのパケットフィルタリングによるアクセス制御。(平成19春ソフトウェア開発技術者午後1問1)

解答です。

設問1
a:DMZ
b:IPアドレス
c:ポート番号
d:ルータD

設問2
e:25
f:220.1xx.204.2
g:220.1xx.204.1
h:anywhere
i:110
j:52000
k:192.168.10.100

設問3

解説してみた。

設問1
 [a]のセグメントには、外部(インターネット)からアクセスが許可されている公開サーバが置かれている。よって、[a]には「DMZ(非武装地帯)」が入る。

 パケットフィルタリング型のファイアウォールは、パケットの送信元のIPアドレスとポート番号、送信先のIPアドレスとポート番号、通信の方向で、パケット通過の許可・遮断を行います。よって、[b]と[c]には、「IPアドレス」と「ポート番号」(順不同OK)が入ります。

 協力会社LANの出入り口にはルータDがあり、このルータDで協力会社LANからのインターネットへのアクセス、クループウェアサーバへのアクセスだけを許可し、それ以外の送信先へのパケットを遮断します。よって、[d]には「ルータD」が入ります。

設問2
 表3は、ファイアウォールXを通過するパケットの許可・遮断の設定であり、外部(インターネット)からDMZの公開サーバへに向かう所定のパケットだけが許可されています。
 ファイアウォールXで許可されているパケットは、メールサーバを送信先とするstmpプロトコル(25番)のパケット、Webサーバを送信先とするhttpプロトコル(80番)のパケットとなります。従って、[e]にはstmpのポート番号である「25」、[f]にはメールサーバのIPアドレス「220.1xx.204.2」、[g]にはWebサーバのIPアドレス「220.1xx.204.1」が入ります。
 表4は、ファイアウォールYを通過するパケットの許可・遮断の設定です。社内LANからは、インターネットへのWebアクセス、メールの送受信が許可されています。

 ファイアウォールYで許可されるパケットは、メールサーバにメールを送信するstmpプロトコル(25番)、メールサーバからメールを受信するpopプロトコル(110番)、インターネットの不特定多数のWebサーバを送信先とするhttpプロトコル(80番)のパケットとなります。従って、[h]には送信先が不特定多数なので「anywhere」、[i]にはpopのポート番号の「110」が入ります。

 表5は、ルータDによる、協力会社LANからのパケットの通過許可・遮断設定です。協力会社LANからは、グループウェアへのアクセスとインターネットのWebアクセスだけが認められています。

 ルータDで許可されるパケットは、グループウェアを送信先とする専用プロトコル(52000番)のパケット、インターネットの不特定多数のWebサーバを送信先とするhttp(80番)のパケットとなってます。従って、[j]にはグループウェア専用プロトコルのポート番号「52000」、[k]にはグループウェアのIPアドレスである「192.168.10.100」が入ります。

 表3~表5に、設問1,2の解答を記入したものがこちら。

表3~表5に解答を記入。

設問3
 動的でない通常のパケットフィルタリングの場合、許可した通信のパケットと、その通信に対する相手からの応答パケットを通過させます。

 クライアントPC(任意のポート番号)からhttpプロトコルでWebサーバ(80番)にアクセスする場合のパケットのポート番号は、行きが送信元任意、送信先80番、応答が送信元80番、送信先任意となります。

 このため、送信元80番、送信先任意の応答パケットになりすました不正パケットが来た場合、動的でない通常のパケットフィルタリングでは、この不正パケットを通過させてしまいます。従って、設問3の正解はウとなります。

IPAの公式解答はこちら。
平成19年春ソフトウェア開発技術者午後1 IPA公式解答(PDFファイル)

 今回は、解答群の中から選択して記号で解答、語句(数値やIPアドレスを含む)を記入して解答の形式で、短文で解答する形式は無かったです。

にほんブログ村 ゲームブログへ

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする