(1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。

この問題に必要な知識:FWのフィルタリングルール少々、問題文からネットワークの配置を想像できること
公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)

管理人解答:送信元がインターネットと支社プロキシサーバのパケットがどちらもFW-AのIF-1で受信するため、インターネットから支社プロキシサーバのIPアドレスを詐称された時に遮断することができないため(100文字)
管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため(46文字)
管理人解答:インターネットと支社プロキシサーバから送信されたパケットをFW-AのIF-1で受信するため、遮断するルールが作れないため(60文字)

解説

FW-AのIPアドレス詐称対策機能を大雑把に説明すると「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」です。
そして、問題文から支社プロキシサーバの配置を見てみると以下のようになります。

  • 支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用することにした。

そして、支社プロキシからの問合せPT(赤線)と、送信元を支社プロキシに詐称した問合せPT(青線)は以下のようにFW-Aを通ってC-DNSに届きます。

どちらも、B社サービスを通ってFW-AのIF-1に届くため、今までの対策「届いたパケットの送信元IPにありえないアドレスが設定されてたら遮断する」では、どちらが正しいパケットが判断できません。

これに対する公式の解答例がこちら。
公式解答例:IF-1経由で届く支社プロキシサーバからの正規の問合せPTと、詐称された問合せPTとを識別できないから(53文字)
問題文に使われている言葉を上手く使っています。
「識別できない理由」に踏み込んでいないということは、識別できない理由を必死に書こうとした管理人は「考えすぎ」なのかもしれません。部分点ぐらいは貰えるといいのですがorz

最終更新:2013年08月04日 02:47