サイトアイコン やさしいネットワークとセキュリティ

HTTPS通信に対するプロキシサーバの対策【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.2】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.2

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1(一部、加工あり)】

【G社SaaSの試用】
 F社は、G社SaaSの本格導入に先立って、本社と一つの営業所を対象に少数ライセンスでG社SaaSを試用し、システムの利便性と性能を確認することにした。試用に先立ち、G社SaaS以外のアクセス先について、プロキシサーバでHTTPSのアクセスログを確認したところ、②アクセス先のホスト名は記録されていたが、URLは記録されていなかった。そこで、アクセス先のURLを把握するために、プロキシサーバで暗号化通信を一旦復号し、必要な処理を行った上で再度暗号化した。しかし、社内PCでエラーメッセージ”証明書が信頼できない”が表示されたので、社内PCに(ウ:プロキシサーバのルート証明書)をインストールして解決した。
 G社SaaSを試用した結果、次の事実が判明した。

 このまま全社でG社SaaSの利用を開始すると、プロキシサーバの処理可能セッション数の超過、インターネット接続回線の帯域不足が予想された。

②について、HTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ。また、このメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただし、HTTPS以外の通信)を遮断するためのプロキシサーバでの対策を、30字以内で述べよ。:(メソッド名)CONNECTメソッド、(対策)HTTPS以外のポートのCONNECTを拒否する。

 HTTPとHTTPSの通信で、プロキシを利用する場合についての動作の違いを簡単に説明すると次のようになります。

 セキュリティ上の留意点として、プロキシサーバでCONNECTメソッドにより全てのパケットが転送されてしまうと、マルウェアなどで外部にFTPでファイル転送されるなどの可能性があります。(例:CONNECT www.example.co.jp:21 HTTP/1.1)
 対策として、もちろんファイアウォールで不要な通信は拒否するよう設定しますが、プロキシサーバにおいても、宛先ポート番号をHTTPS(443)に限定するなどの対策が必要です。

ウ:プロキシサーバのルート証明書

 HTTPS通信ではクライアントとWebサーバ間で暗号化していて、そのままではプロキシサーバで復号することはできません。
 このような場合に、プロキシサーバがWebサーバの代わりに証明書を発行して、クライアントとプロキシサーバ間で暗号化通信させることが可能です。
 本文のように、クライアントでエラーメッセージ「証明書が信頼できない」が表示される原因としては、以下のようなものがあります。

 このうち、クライアント(社内PC)にインストールして解決できるものは、サーバ証明書の検証パス、すなわち、クライアントでプロキシサーバのサーバ証明書を信頼させるために、プロキシサーバのルート証明書をインストールすることです。

モバイルバージョンを終了