セグメント分離の効果【平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問3】

平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問3

f:id:aolaniengineer:20200209083918p:plain

f:id:aolaniengineer:20200209084213p:plain

f:id:aolaniengineer:20200209090254p:plain

〔セキュリティ対策の実施〕

 Y主任は今回のインシデントを受けて、まず、マルウェアの駆除、ARPテーブルの初期化、全利用者IDのパスワード変更などの暫定対応を行った。その後、W氏の助言を受けながら、今回のように社内ネットワークに侵入された場合の被害拡大を防ぐために、社内ネットワークにおいて、二つのセキュリティ対策を実施することにした。

 第一に、図3の8を防ぐために、図4のようにネットワーク構成を変更し、表5のようにFWのフィルタリングルールを変更することにした。これらの変更によって、③図3の6が行われることも防ぐことができる。また、④仮に図3の6とは異なる方法で管理用PCのIPアドレスが特定され、図3の8が試みられた場合でも、TCPコネクションの確立を防ぐことができる。

 第二に、図3の4を防ぐために、LDAPサーバへの通信ではLDAP over TLSを利用することにした。

f:id:aolaniengineer:20200211161122p:plain

f:id:aolaniengineer:20200211161147p:plain

 これらの対策はN部長によって承認され、今回と同様のインシデントに対する社内ネットワークのセキュリティ耐性が高まることになった。

【出典:情報処理安全確保支援士試験 平成29年度春期午後1問1(一部、加工あり)】

③について、防ぐことができる理由

PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから

ネットワーク構成とフィルタリングルールの変更によって、「AさんのPC上で通信を盗聴して、管理用PCのIPアドレスを特定する」ことを防ぐことができる理由について考える場面です。

ネットワーク構成の変更前後で、管理用PCがPCセグメントから分離してサーバ管理セグメントに所属しています。これによりフィルタリングルールの通信経路がどのように変わっているか確認します。

  • 項番4:管理用PCからサーバセグメントへのSSH通信が許可
  • 項番6:PCセグメントからサーバ管理セグメントへの全ての通信が拒否
  • 項番9:サーバ管理セグメントからPCセグメントへの全ての通信が拒否

このように管理用PCとサーバ間の通信は、PCセグメント内には流れてこないため、AさんのPC上で通信を盗聴することができなくなります

ちなみに、問題文の前半(設問1)にあったように、攻撃者はマルウェアに感染したAさんのPCでARPポイズニングにより通信経路を変えることで盗聴を可能にしていましたが、ネットワーク構成を変更することでこのような方法が取れなくなるのではないかと気付いたと思います。ARPポイズニングは、同一セグメント内のARPのやり取りを利用するものであり、セグメントを分離することでこの攻撃の影響を受けなくなります。ただし、この設問で問われている内容には当たらない部分になると思われますので、注意が必要です。(あくまでも主題者の意図を汲むことが大切です

④について、TCPコネクション確立開始時のSYNパケットとSYN-ACKパケットはそれぞれどのような経路をたどるか。(図4の経路を通過する順に選び、(A)〜(C)の記号で)

SYNパケット:(C)→(A)

SYN-ACKパケット:(A)→(B)

図3の8「AさんのPC上で管理用PCのIPアドレスを詐称して、LDAPサーバ及びCRMサーバのSSHポートにアクセスし、Y主任の利用者IDとパスワードでログインする」での、TCPコネクション確立開始時の経路について考える場面です。

TCPコネクションの確立は3ウェイハンドシェイクによって行われ、①クライアントからサーバへのSYNパケット送信、②サーバからクライアントへのSYN/ACKパケット送信、③クライアントからサーバへのACKパケット送信の順で処理されます。

したがって、SYNパケットはPCセグメント(C)からサーバセグメント(A)、SYN-ACKパケットはサーバセグメント(A)から管理用PCのあるサーバ管理セグメント(B)に渡ります。

この場合、管理用PCは自身がSYNパケットを送信していないので、ACKパケットをサーバに返信せず、TCPコネクションは確立しません。