ファイアウォールの構築
問 題 《情報セキュリティアドミニストレータ午後対策》
活用編3 ファイアウォール構築術
http://premium.nikkeibp.co.jp/security/page8.shtml
を読み、下記問いに答えよ。
(1)セキュリティ上、細かくネットワークを分けるのはどのような場
合が考えられるか。
(2)ACLを考えてみよう。
○:すべてOK
△:必要最小限
×:すべて拒否
(a)インターネット(外部) → 内部ネットワーク
(b)インターネット(外部) → DMZ
(c)内部ネットワーク → インターネット(外部)
(d)内部ネットワーク → DMZ
(e)DMZ → インターネット(外部)
(f)DMZ → 内部ネットワーク
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)セキュリティ上、細かくネットワークを分けるのはどのような場
合が考えられるか。
>・テスト環境
> (Webサーバーなど)
>・テストや実験用のネットワークが必要な場合
> (社内開発用サーバーなど)
>・全体の中で高いセキュリティレベルが必要な場合
> (特定の部外者が利用するようなデモサイトなど)
>・機密書類やプロジェクトを扱っている、高いセキュリティレベルが必要なネットワーク
>※セキュリティ上でも安全であり、管理の面でも楽になる。
組織のコンピュータがインターネットに接続する際は、必要なセキュリティレベルごとに
分けファイアウォールを利用してネットワークを個別に構築したほうが良いということです。
極端な話しですが、極秘レベルの機密データを扱う場合は、そのネットワークを外部と
接続しないという管理方法もあります。
(2)ACLを考えてみよう。
○:すべてOK
△:必要最小限
×:すべて拒否
(a)インターネット(外部) → 内部ネットワーク
(b)インターネット(外部) → DMZ
(c)内部ネットワーク → インターネット(外部)
(d)内部ネットワーク → DMZ
(e)DMZ → インターネット(外部)
(f)DMZ → 内部ネットワーク
>(b)△
>(c)△or○(ルールによる)
>(d)△or○(ルールによる)
>(e)△
>(f)△
> インターネット > (外部) > a ┃ b > │ ↑ ┃ │ ↑ > │ │ ┃ │ │ > │ │┏━┻━┓ │ └──e > │ │┃ ┃ └───→ > │ │┃F/W┣━━━━━ DMZ > │ │┃ ┃ ┌─── f > │ │┗━┳━┛ │ ┌─→ > │ │ ┃ │ │ > ↓ │ ┃ ↓ │ > c ┃ d > 内部ネットワーク
> (b)インターネット(外部) → DMZ : △
> (c)内部ネットワーク → インターネット(外部) : ×
> (d)内部ネットワーク → DMZ : ○
> (e)DMZ → インターネット(外部) : △
> (f)DMZ → 内部ネットワーク : △
> ○:すべてOK
> △:必要最小限
> ×:すべて拒否
> (c)内部ネットワーク → インターネット(外部)
> 社内のセキュリティポリシーに従ったアクセス制御を行う
> (規定外のサービスを内部ユーザーに利用させないため。もしくは内部犯行を防ぐため)
> と書かれていましたが、外部と直接のアクセスは避けたほうがいいと思うので「×」にしました。
> (d)内部ネットワーク → DMZ
> 社内のセキュリティポリシーに従ったアクセス制御を行う
> (規定外のサービスを内部ユーザーに利用させないため。もしくは内部犯行を防ぐため)
> と書かれていましたが、DMZから外部への制御が正しく行なわれていれば、
> 大丈夫だと思うので「○」にしました。
> (f)DMZ → 内部ネットワーク
> 必要最小限にすべきである。
> なお、この方向にアクセスがある場合は、DMZ上のサーバーが
> 攻撃者に"踏み台"にされている可能性も考えられる。
> と書かれていますが、必要が無ければ「×」でもいいような気がします。
結論から言いますと、ACLの作成は組織のセキュリティポリシに依存することになります。
まず上記の回答のような一般的に良いとされる設定を押さえておきましょう。
午後問題においては、問題文(説明文)にその企業(組織)の特徴が書かれます。
そして、どのセグメントにどのサーバを置くのか、どこに機密情報を格納するのか、
社外からのアクセス及び内部の社員のどのレベルの人間がその機密情報へのアクセスが
許可されているのかなどを読み取る必要があります。
ポリシに従っていない設定がある場合は、そこが出題されることになります。
重要なことは、問題文に記述されている設定に従い解答を導くということです。
◇パケットフィルタリング とは。。。
あらかじめ設定したルールに従ってパケットを選別し、許可/拒否といった
処理を行うものです。
パケットには、データをインターネットでやり取りするために必要な「ヘッダー」
と呼ばれる情報が付加されており、ファイアウォールではこのヘッダから得られる
送信先IPアドレスや、TCPやUDPといったプロトコルの種別、ポート番号などの情報を
参照することで選別を行います。
(3)感想・調べたこと
>制限をかけ、必要最低限のアクセスだけを
>許可するのが望ましい。(と思います。)
>利便性とのトレードオフですね。
分かっていても人間のやることですから、利便性を優先した設定、管理が行われてしまいます。
なぜ、そういうことをしてはいけないのか?
(どういった脅威に脅かされるか?)を常に考えておきましょう。
sponsored link
このページ
のTOPへ
