PR
長谷 和幸(ながたに かずゆき)
アイテック情報技術教育研究所 主席研究員

 今回取り上げるテーマは,ファイアウォールとIDSである。組織内のネットワークをインターネットに接続すれば,さまざまなメリットが得られる。しかしその一方で,内部ネットワークに対する不正侵入や不正アクセスといった危険にさらされることになる。そこで,組織内のネットワークをインターネットから保護するためにファイアウォールが設置されるようになった。

問題

問1 パケットフィルタリング型ファイアウォールがルール一覧に示したアクションに基づいてパケットを制御する場合,パケットAに対する処理はどれか。ここで,ファイアウォールの処理は,ルール一覧に示す番号の1から順に行い,一つのルールが適用された場合には残りのルールは適用されない。

ア 番号1によって,通過が禁止される。
イ 番号2によって,通過が許可される。
ウ 番号3によって,通過が許可される。
エ 番号4によって,通過が禁止される。

問2 IPスプーフィング(spoofing)攻撃による,自ネットワークのホストへの侵入を防止するのに有効な対策はどれか。

ア 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を阻止する。
イ 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
ウ 外部から入るパケットが,インターネットとの直接の通信をすべきでない内部ホストのIPアドレスにあてられていれば,そのパケットを阻止する。
エ 外部から入るパケットの発信元IPアドレスが自ネットワークのものであれば,そのパケットを阻止する。

問3 DMZ上の公開Webサーバで入力データを受け付け,内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。DBサーバへの不正侵入を防ぐファイアウォールの有効な設定はどれか。

ア DBサーバの受信ポートを固定にし,WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
イ Webサーバの発信ポートは任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポートを使った通信を拒否する。
ウ Webサーバの発信ポートを固定し,その発信ポートの通信だけをファイアウォールで通す。
エ ファイアウォールで,DBサーバあての受信パケットだけ通す。

問4 NIDSの目的はどれか。

ア 管理下のネットワーク内への不正侵入の試みを記録し,管理者に通知する。
イ 攻撃が防御できないときの損害の大きさを判定する。
ウ サーバ上のファイルが改ざんされたかどうかを判定する。
エ 実際にサイトを攻撃して不正に侵入できるかどうかを検査する。

(平成18~20年度テクニカルエンジニア(ネットワーク)試験,同(情報セキュリティ)試験の午前問題から抜粋)

●この問題を別ウインドウで表示