サイトアイコン やさしいネットワークとセキュリティ

ファイアウォールの設定【平成21年度 春期 応用情報技術者試験 午後 問9】

平成21年春 応用情報技術者試験 午後 問9

問9 ファイアウォールの設定に関する次の記述を読んで、設問1〜4に答えよ。

 Q社のネットワーク構成を図1に示す。なお、図中のリモートアクセスサーバは、現在はまだ設置されていない。また、WebサーバAは、外部のサーバである。

Q社では、次の情報セキュリティポリシーに基づいて、ファイアウォールの設定などを行っている。

〔情報セキュリティポリシ〕

・インターネットからは、自社のWebサーバ及びメールゲートウェイサーバあての通信のほか、社内LANからインターネット上のWebサーバを参照したときの応答の通信を通過させる。

・社内LANからは、電子メールを送受信するための通信及びインターネット上のWebサイトを参照するための通信だけを許可する。

・インターネットへ送信する電子メールは、メールサーバからメールゲートウェイサーバを経由して送信される。また、インターネットから受信した電子メールはメールゲートウェイサーバを経由し、直ちにメールサーバに転送される。

・ファイアウォール1及び2のアクセスログを毎日チェックし、異常なアクセスがあれば、その対応策を検討するとともに、ファイアウォールの設定変更などを行う。

 ファイアウォール1及び2における通信制御のための設定は、次のとおりである。

〔ファイアウォール1の設定〕

(1)静的パケットフィルタリング機能

 インターネットから(a:DMZ)への通信、及び社内LANからインターネットへの通信は、いずれも送信先IPアドレス、送信先ポート番号及びプロトコルを参照して、アクセスを制御している。また、(b:インターネット)から社内LANへの通信は、次の動的フィルタリング機能によって通過させるもの以外、すべて遮断する。

通常、インターネットからの通信はDMZのみとして、直接社内LANへ通信することは許可させません。ただし、動的フィルタリング機能で、Webサイトの応答パケットはインターネットから直接社内LANへの通信を許可する場合があります。

(2)動的パケットフィルタリング機能

 社内LAN上のクライアントPCから、TCPを使ったインターネット上のWebサイト参照に関しては、フィルタリングテーブルが表のように設定されている。クライアントPCから図1のWebサーバAを参照した際の応答パケットを通過させるために、例えばクライアントPC(192.168.10.5)からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると、動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。行番号15の行は、TCPセッションの終了パケット受信後に削除する。

c:220.1xx.2xx.4

項番10のルールは、向き:out、送信先IPアドレス:anywhere、送信先ポート番号:80となっていることから社内LANからインターネット上のWebサーバ向けのHTTPリクエストを許可するものです。

送信元IPアドレスについて考えるときに、この先に説明があるファイアウォール2のIPアドレス変換機能によりグローバルIPアドレスに変換されていることを考慮します。

d:210.2yy.1yy.100

項番15のルールは、項番10のHTTPリクエストに対するHTTPレスポンスを許可するために一時的に挿入されるものです。その送信元IPアドレスなので、WebサーバAのIPアドレスになります。

(3)ステートフルインスペクション機能

 社内LAN上からインターネット上のWebサイトを参照したときの応答のパケットを通過させる際に、パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認して通過させる。これによって、(e:IPスプーフィング)の脅威からネットワークを防御する。

IPスプーフィングとは、送信元IPアドレスを偽装してアクセスする行為で、攻撃者の身元隠ぺいや、リクエストに対する応答パケットになりすまして送信することなどに利用されます。

動的パケットフィルタリングで一時的に許可されたインターネット側からの通信において、IPスプーフィングによって許可された送信元IPアドレスに偽装した攻撃に遭う可能性があります。これに対してステートフルインスペクション機能により、シーケンス番号の矛盾を検知して遮断することが可能になります。

〔ファイアウォール2の設定〕

(1)静的パケットフィルタリング機能

 メールゲートウェイサーバとメールサーバの間の通信は、双方向とも許可する。それ以外の通信は、(f:インターネット)及びDMZ上のサーバから(g:社内LAN)へは、次の動的パケットフィルタリング機能によって通過させるもの以外、すべて遮断し、(g:社内LAN)からは、いずれも送信先IPアドレス、送信先ポート番号及びプロトコルを参照して許可するか遮断するかを決定する。

ファイアウォール2を通過する通信は、社内LANとインターネット又はDMZ上のサーバ間の通信に限定されます。

(2)動的パケットフィルタリング機能

 ファイアウォール1の設定と同様の設定を適用する。

(3)IPアドレスの変換機能

 社内LANからインターネットへの同時複数通信を可能にするために、NAPTを利用して、プライベートIPアドレスからグローバルIPアドレスへ変換する。これは、グローバルIPアドレス数の不足を解消するととに、(h:社内LAN上にある機器のアドレス情報を隠ぺいする)という効果も実現している。

実際に設定されている送信元IPアドレスが外部に知られると攻撃のリスクが増します。NAPTは社内LANのセキュリティを維持するのに有効です。

〔アクセスログの監視記録〕

 アクセスログを基に、ある日にファイアウォール1で遮断された通信を送信元IPアドレス別に分析し、図2のようなレポートを作成した。この結果から、(i:ポートスキャン)の危険性が認められるので、ファイアウォールの設定を見直した。

ポートスキャンとは、アクセス可能な通信ポートを外部から調査する行為で、攻撃の事前調査や脆弱性調査などの目的で実施されるものです。

アクセスログ分析レポートによると、同じ送信元IPアドレスからポート番号を変更してそれぞれ200回程度のアクセスが発生していますのでポートスキャンが行われたと判断できます。

〔携帯電話を経由したリモートアクセス接続計画〕

 Q社では、営業活動の効率を上げるために、営業員にノートPCを携帯させ、携帯電話を経由して社内LANにアクセスできる環境を構築することを計画している。その際のセキュリティ対策は、次のとおりである。

・複数の営業員からの同時接続を可能にするために、ダイヤルアップ接続に利用するリモートアクセスサーバをDMZに3台設置する。同サーバには認証機能をもたせず、社内LANに設置されている(j:RADIUSサーバ)機能で認証を行う。これによって、認証情報の安全性を確保するとともに、(k:認証情報の一元的な管理)を可能にする。

・ファイアウォール2では、リモートアクセスサーバと(j:RADIUSサーバ)及びリモートアクセスを許可された社内LAN上のサーバとの通信を許可するように、パケットフィルタリングの設定を追加する。

【出典:応用情報技術者試験 平成21年度春期午後問9(一部、加工あり)】

社内LANに設置されている機器で認証機能を持つのはRADIUSサーバのみです。

RADIUS(Remote Authentication Dial In User Service)とは、ネットワーク上のサーバで認証やログ管理を一元的に担うものです。

モバイルバージョンを終了