見出し画像

【登録セキスペ3問】FW(情報処理安全確保支援士試験)

せんない

このNoteでは、SC10回分から「FW」の問題を搔き集めました。


午前対策として、FWには5種類のフィルタリングの方式があります。午後には出ないのでバイバイです。

  1. スタティックパケットフィルタリング

  2. アプリケーションゲートウェイ

  3. サーキットレベルゲートウェイ

  4. ダイナミックパケットフィルタリング

  5. ステートフルインスペックション

最後のネットワーク変更に伴うFWの設定変更は、午後問題の常連なので、ぜひ解いていってくださいね、

それでは始めましょう!





講義 | 2種類のフィルタリング(静的, 動的)


FWにはフィルタリングルール(ACL)によって、通信を通して良いかダメかを判断します。

一番基本は、スタティック(静的)。

ただし、片道だけ許可しても応答が通れません。会社から出る通信と入る通信の「2つ」を許可するルールが必要です。

FWで広く使われているのがダイナミック(動的)。

会社から出る通信の許可だけしておきます。設定するルールは「1つ」だけ。

実際に発信があったら通して、来るべき応答も(しばらくの間)通過させます。

今後「ステートフルインスペックション」をよく見ることになりますが、ダイナミックパケットフィルタリング同じと思ってOK。厳密にはすこーし違いますが、試験に全く問題なし。



問題演習1 | ステートフルインスペックション


FW(ファイアウォール)のステートフルインスペックション(ダイナミックパケットフィルタリング)の特徴はどれか。

ア:IPアドレスの変換をし、内部ネットワークの構成を外部から隠蔽できる。
イ:暗号データを復号し、許可された通信かを判断できる。
ウ:許可した通信パケットへの応答パケットを通過させる。
エ:通信パケットのデータ部をチェックして、アプリケーション層での不正アクセスを防ぐ。

情報安全確保支援士 令和03年秋AMII問06より改変
令和元年秋AMII問05より改変

正答はウ。

  • ア:NATやNAPTのこと >解説Note

  • イ:FW復号機能をもつのはSSLアクセラレータなど。

  • ウ:正しい。例えば内部からWebサイトにHTTPSアクセスしたなら、Webサイト(Webサーバ)からの応答も通します。

  • エ:FWはデータ部までは見ません。データ部までチェックするのはWAFなど。


FWは通信パケットのヘッダの以下4つを見ます。

  • 送信元IP

  • 送信元ポート番号

  • 送信先IPアドレス

  • 送信先ポート番号

>データヘッダの情報解説Note(IPアドレス, MACアドレス, ポート番号)


FWはデータ部までは見ません。

荷物で例えれば、送り主と送り先を見ますが、荷物の中身まではチェックしません。

よって、Webサーバへの攻撃通信は通しますし、ウィルスが添付されたメールも通します。別途対策が必要なんです。>WAFやIDS/IPSの解説Note



講義 | FWの5つの型


午前対策として、FWには5種類のフィルタリングの方式があります。

  1. スタティックパケットフィルタリング

  2. アプリケーションゲートウェイ

  3. サーキットレベルゲートウェイ

  4. ダイナミックパケットフィルタリング

  5. ステートフルインスペックション

とはいえ、

  • 午後問題にはステートフルインスペックションしか出ない

  • ダイナミックパケットフィルタリング = ステートフルインスペックションと思ってOK

なので、あとは用語とKWを覚えて午前問題対策でバイバイです。



問題演習2 | 午前対策だけの2型


ステートフルインスペックション方式のFWの特徴はどれか。

ア:リバースプロキシサーバとして動作する方式で、Webサーバに中継する前にパケットに不正データがないか検査できる。
イ:アプリケーションプロトコル毎にプロキシソフトウェアで対応する方式で、目的のサーバに中継する前にパケットに不正データがないか検査できる。
ウ:特定プロトコルだけを通過させるゲートウェイソフトウェアを利用する方式で、クライアントからのコネクションを受け付け、目的のサーバへコネクションを確立して、アクセスを中継・制御する。
エ:パケットフィルタリングを拡張した方式で、過去に通過させたパケットと照合して通過させるか遮断するか判断する。

情報安全確保支援士 令和03年春AMII問06より改変
平成31年春AMII問17より改変

正答はエ。

  • ア:WAFの説明。

  • イ:アプリケーションゲートウェイの説明。

  • ウ:サーキットレベルゲートウェイの説明。

  • エ:正しい。FWのステートフルインスペックション(ダイナミックパケットフィルタリング)の説明。



アプリケーションゲートウェイ方式では、プロトコルのアプリケーション層の情報も用いて通過可否を判断します。たとえばFTPのコマンドを見て、ダウンロード(GET)は許可するけどアップロード(PUT)は許可しないなど設定できます。

サーキットレベルゲートウェイ方式では、トランスポート層で仮想的な通信路(バーチャルサーキット)によってサーバまでの通信を中継します。第3・4層の情報で通過可否を判断します。


問題演習3 | 午後問題のために


情報安全確保支援士 令和05年秋AMII問17より改変
                                     令和02年秋AMII問14より改変

正答はイ。


一番手っ取り早いのは通信経路を図に描き込むことですよね。

次は変更後です。DBサーバ周りに注目します。

DBへのSSHがFWを通過しなくなったので、FWに設定不要「かも」ですね。ただし、WebAPへのSSHは引き続き通す必要があります。

DBへのODBCがFWを通過するようになったので、FWに許可を追加する必要がありそう。


では選択肢を見ます。

  • ア:削除するとWebAPが使えなくなります。

  • イ:正しい。管理PC→DBは、FWを通過しなくなりましたから。なお、管理PC→WebAPの許可は別途されているはずです。

  • ウ:管理PC→DBは、FWを通過しないので不要。むしろ変更前のネットワークで既に存在するルールです。変更前は管理PC→FW→DBだったので。

  • エ:条件(1)より、WebAPへはHTTPS通信です。ODBCは許可しません。


SC(登録セキスペ)やNW(ネスペ)で、FW-ACLやネットワークの変更はよくある問題です。

午後問題ではまずネットワーク構成図を見て、「オカシナ点」がないかをチェックすると解きやすいです。

>12個のサーバ配置まとめNote



まとめ


お疲れ様でした!


午後対策としてFWの5つ型。

  1. スタティックパケットフィルタリング:内外ごとにルールが必要。

  2. アプリケーションゲートウェイ:アプリケーション層の情報も見る

  3. サーキットレベルゲートウェイ:バーチャルサーキットがKW。

  4. ダイナミックパケットフィルタリング:応答パケットを自動許可。

  5. ステートフルインスペックション:4と同じ。

あとは午後対策として、「ステートフルインスペックション」と「サーバの基本的な配置」を知っておけばOKです。


ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。

\私がお世話になったテキストのレビュー/

\私の3ヶ月の学習履歴/

p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ


この記事が参加している募集

#スキしてみて

560,030件

学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ