今日は、平成22年度秋期ネットワークスペシャリスト午後I 問3を解こうと思います。
問題文および模範解答(解答のみ、解説はありません)は下のリンクからどうぞ。
※IPAのサイトで公開されているPDFにリンクしています
各問解説
設問1
ア
IDS(=Intrusion Detection System、侵入検知システム)には、ネットワーク上(特にゲートウェイ付近)に設置することでネットワークを保護することができるネットワーク型と、保護したいサーバ上にインストールしてファイルの改竄などを監視するホスト型があります。
よって [ ア ] は『ホスト』となります。
イ
IDSの侵入検知の仕組みには、平常値のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型と、あらかじめ登録されたパターンを用いて不正アクセスを検出するシグネチャ型があります。シグネチャ型ではシグネチャ(不正アクセスのパターン)を定期的に更新することが必要です。
よって [ イ ] は『シグネチャ』となります。
ウ
Webアプリケーション等を悪用してデータベースで不正なSQLを実行することを『SQLインジェクション』といいます。
エ
Webフォームに不正なスクリプト(JavaScriptなど)を埋め込んで送る不正アクセスの方法を『クロスサイトスクリプティング』といいます。
オ
TCPヘッダ中のフィールドのうち、パケットの到着順序に関わるのはシーケンス番号です。
設問2
(1)
表を見てすぐ気付くのは、宛先ポート1番、2番,3番…に対するアクセスが150件前後ずつ存在することです。これはポートスキャン(攻撃のために外部からアクセス可能なポートを探す行為)を行われていたものと思われます。しかしこれはFWによって通過拒否されているのでサーバには届いていません。
FWで拒否されていないアクセスは宛先ポート80番に対するものと443番に対するものがありますが、このうち80番ポートに対するアクセス数は8,976,340と極端に大きなものになっており、DoS攻撃(=Denial of Services、サービス不能攻撃、大量のデータを送るなどしてサーバが正常な処理を行えなくする攻撃)を行われている可能性があります。DoS攻撃はIPアドレスやポート番号からは不正と判断できないため、FWでは防御できません。
よって解答は『80番ポートに対するDoS攻撃』とすればいいでしょう。
(2)
設問1で触れたSQLインジェクションやクロスサイトスクリプティングを検出するには、ヘッダではなく転送されるデータの内容を分析する必要があります。
(3)
問題文ににもあるように、アノマリ型は『平常時のしきい値を超えるアクセスがあった場合に不正と見なす』検出方式です。しきい値を高くしすぎると、不正アクセスを検出できない可能性が高くなります。逆にしきい値を低くしすぎると、正常なアクセスが不正とされてしまう可能性が増加します。
よって解答は『不正な通信だけでなく適正な通信も異常として検知されてしまう』となります。
設問3
(1)
FW以外の機器が切り替え前とかわらずにアクセスできる必要があること、OSI参照モデルの第三層以下であることから、IPアドレスとMACアドレスであることはすぐにわかります。ただし冗長化した機器の切り替え時に実アドレスを変更してしまうとネットワークトラフィックが中断してしまうことがあるため、それぞれの機器に付与された実アドレスとは別に仮想アドレスを設定して、そちらで運用するのが普通です。
(2)
問題文中にある通り、営業部員はモバイル機器から営業支援システムを利用しています。『FWが切り替わったことを意識せずに営業支援システムを継続利用できる』ためには、接続セッションが継続されることが必要です。モバイル機器からの接続はFWを経由しますので、FWが接続セッションログ情報を引き継ぐようにしておかなければなりません。
よって解答は『切り替わる前のFW1で保持していた,モバイル端末との接続のセッションログ
情報』となります。
(3)
FW2からFW1に切り戻す場合は、管理情報を手動で引き継がせる作業が発生します。この時、外部から営業支援システムを利用していると、セッションが切断されてしまいます。よって、『営業支援システムの利用を一時制限して,切り戻し作業を行う』必要があります。
コメント