基本情報技術者試験

FE 情報セキュリティ – ネットワークの基本の基本 – essence 版

SIer 必須度 –

基本情報技術者試験 午後 情報セキュリティ(平成 28 年 秋 午後 問 1 設問 1, 2)のエッセンスを抽出しました(若干、厳密さを緩めました)。

この問題は、瞬殺できるようになっておいてください。 5 分

問題

A 社のネットワーク構成は、次の図の通りです。

設問 1  Web サーバと DB サーバは、それぞれ、サーバ群 X とサーバ群 Y のどちらに設置すべきですか?

設問 2  タブレットから、A 社の Web サーバにアクセスするまでの通信経路を、この絵に書き込んでください。

設問3  空欄を埋め、ファイアウォールのフィルタリングルールの設定を完成させてください(項番が小さいものから順に突合し、最初に一致したものが適用されるとします)。

FW におけるフィルタリングの設定
項番 条件 動作
送信元 宛先 宛先ポート番号
1 443
2 Web サーバ 1552 許可
3 任意

解説

設問 1 および 2  サーバの配置と通信経路

このような図になります。吹き出しの HTTPS、HTTP、DB 専用は、プロトコルの例です。


「DMZ」および「リバースプロキシサーバ」の意味を、おさえておいてください。

  • DMZ とは、外部(信頼できない)ネットワークと、内部(信頼できる)ネットワークの、中間のネットワーク
  • DMZ は、外部から内部に、直接アクセスさせないために設ける
  • そこで、外部からも内部からもアクセスできるように、サーバを配置し、ファイアウォールで制御する
  • リバースプロキシとは、外部から内部にアクセスする際の中継サーバ
  • 単に「プロキシ(=代理)サーバ」といえば、内部のネットワークから、外部の Web サイトにアクセスする際に、必ず経由する(=中継する)サーバ
  • 「リバースプロキシサーバ」とは、プロキシサーバとは「逆に(=リバース)」、外部のネットワークから、内部のネットワークにアクセスする際に必ず経由するサーバ

設問 3  ファイアウォールのフィルタリングルール

基本は、全ての通信を「拒否」しておいて、必要な通信のみを「許可」します。ですので、俗に「穴を開ける」と言うことがあります。

まずは、項番 3 の通り、基本的に全ての通信を拒否します。そのうえで、

  • 項番 1 の通り、インターネットに接続されている「タブレット」から、「RP サーバ」へのアクセスを「許可」します。
  • 項番 2 の通り、Web サーバから DB サーバへのアクセスを「許可」します。
FW におけるフィルタリングの設定
項番 条件 動作
送信元 宛先 宛先ポート番号
1 任意 RP サーバ 443 許可
2 Web サーバ DB サーバ 1552 許可
3 任意 任意 任意 拒否

以上です。

まとめ
  • DMZ とは、外部(信頼できない)ネットワークと、内部(信頼できる)ネットワークの、中間のネットワーク
    → DMZ は、外部から内部に、直接アクセスさせないために設ける
    → 外部からも内部からもアクセスできるように、サーバを配置し、ファイアウォールで制御する
  • リバースプロキシとは、外部から内部にアクセスする際の中継サーバ
  • ファイアウォールでは、基本的に全ての通信を拒否する
    → 外部とDMZ の間、DMZ と内部の間の通信のみ許可する

 

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です