スポンサーリンク

応用情報技術者の過去問・解答解説 平成26年春 午後問1 設問3 サーバ公開の構成とDMZ

応用情報・平成26年春・午後問1の問題および解答解説,つづき。

問1(設問3)の問題文の要点

  • (1)SSLのクライアント認証の構築に際し,クライアントとする全PCに対する作業内容は?
  • (2)サーバをDMZ上に置くよりも,社内LAN内に保管して,DMZにはリバースプロキシを置く構成の方が,DoS攻撃発生時の被害が少ない。理由は?
  • (3)リバースプロキシ導入の構成下でファイアウォールのフィルタリングルール設定を変え,インターネットからDMZには443番ポート,DMZから社内LANには80番ポートのTCP通信を許可する。それぞれのプロトコル名は?

解答

  • (1)クライアント証明書をインストールする。

これは,クライアント認証の仕組みを説明した設問2の解説を参照。

  • (2)DMZが使用不能になっても,社内LAN上で各種サーバを利用し続けられるから。

DMZとはなんなのか,リバースプロキシはどういう目的で使うのか,

がわかっていれば楽に答えられる。

  • (3)HTTPSとHTTP。

「TCPの上位層のプロトコルを答えよ」という聞き方に戸惑うかもしれないが,とにかくプロトコルを答えればよい。

答え方

DMZとリバースプロキシの理解に尽きる。


まずDMZは,社内LANの外側と内側の間に設ける緩衝地帯のこと。

この緩衝地帯を経由しない限り,外と中は通信できない。


社内LANからインターネットにアクセスしたいときには,DMZ上のプロキシを経由し,プロキシがwwwにつながる。

逆に,インターネット側から社内につなぐときには,DMZ上のリバースプロキシを経由。

そして,DMZの外側の通信はHTTPSなどで暗号化しておく。


こうやって中間地帯を確保しておくことで,外側と内側の間の不要な通信をシャットアウトできる。


シャットアウトできるものの中には,DoS攻撃がある。

外側からDMZが攻撃されたらリバースプロキシが使えなくなるが

それでも,社内LANは動き続ける。


なので,重要なサーバをDMZに出さず社内LANに保持しておけば,

DoS攻撃を受けても社内からは正常な業務を継続できるのだ。

この問題に関連した例題

DMZについての類似問題:

問37 WAFの説明 平成24年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/24_ha...


問39 プロキシ 平成22年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/22_ha...


問60 リスクの保有に該当するもの 平成21年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/21_ha...


必ず受かる情報処理技術者試験-平成23年度特別-ITパスポート-問題・解答55
http://kanauka.com/kakomon/ip/h23t/05...

リバースプロキシについての例題:

問21 リバースプロキシ 平成21年秋期|情報セキュリティスペシャリスト.com
http://www.sc-siken.com/kakomon/21_ak...

勉強用の資料

DMZとは何なのか:

用語集(DMZ)|情報資産プラットフォームを活用したソリューション提供のパイプドビッツ
http://www.pi-pe.co.jp/word/i/dmz.html

  • ファイアウォールによって外部ネットワーク(インターネット)からも内部ネットワーク(組織内のネットワーク)からも隔離された区域


@IT:運用 IIS安全対策ガイド・インターネット編 1.Webサーバのためのネットワーク構成
http://www.atmarkit.co.jp/fwin2k/oper...

  • DMZがあると、インターネットからのアクセスはファイアウォールを経由してからサーバへ届くことになる。
    • 必要なサービス以外の通信をすべてファイアウォールでブロックすることにより、サーバの安全性を高めることができる


非武装地帯 (コンピュータセキュリティ) - Wikipedia
http://ja.wikipedia.org/wiki/%E9%9D%9...

  • DMZからは外部ネットワークだけに接続を許容している。すなわち、DMZ内のホストからは、内部ネットワークに接続することができない。
  • DMZは、侵入者がDMZのホストに侵入した場合にも、内部ネットワークを保護しながら、DMZのホストが外部ネットワークに対してサービスを供給することを可能にする。


DMZについて
http://www3.ocn.ne.jp/~koshino/dmz.html

  • 非武装地帯という訳し方に問題があり、この場合は「緩衝地帯」と考えるのが正しいと思います。
  • インターネット上のコンピュータと通信が可能なのは緩衝地帯に設置したコンピュータだけで、社内ネットワークに接続されたコンピュータが通信できるのは、同様に緩衝地帯に設置されたコンピュータだけということにしておくと、インターネット上のコンピュータと社内ネットワークに接続したコンピュータが直接通信することはなくなります
  • 緩衝地帯に設置するサーバは、メールサーバだけではなく ネーム・サーバ,プロキシ・サーバ,WWWサーバ など。
    • 外部と通信するサーバはすべて緩衝地帯に設置し、社内用とは分けたほうがより安全

リバースプロキシの使い方について:

ヘルプ - IBM Lotus Sametime Information Center
http://publib.boulder.ibm.com/infocen...

  • リバースプロキシサーバーは、内部ネットワークへの単一のアクセスポイントとなることで内部 HTTP サーバーを保護します


O.2 ネットワーク設計上の注意
http://software.fujitsu.com/jp/manual...

  • リバースプロキシ機能とは、イントラネット外のクライアントからの要求をイントラネット内のサーバに中継するプロキシです。 これにより、インターネットのWebブラウザからの要求を中継させ、不正アクセスを防止します。
  • 通常のプロキシは、イントラネット内のクライアントの要求を外部のWebサーバに中継します


Webサーバ連携時のリバースプロキシの配置
http://www.hitachi.co.jp/Prod/comp/so...

  • アプリケーションサーバへのアクセスはリバースプロキシサーバからだけになり,Webブラウザからアプリケーションサーバに直接アクセスされることを抑止できます


プロキシとリバースプロキシとの違いについて質問です。
http://detail.chiebukuro.yahoo.co.jp/...

  • 通常のプロキシは特定のクライアントつまり「このプロキシを使用する」と設定したクライアントから、不特定のサーバーへのサービス要求を肩代わりします。
  • これに対してリバースプロキシは通常はサーバー設置者が設置し、「自サーバーへのサービス要求はこのリバースプロキシが代理応答する」と設定し、クライアントは意識することなく、サーバーからの応答を受け取ることになります。

この問題の,正式な問題と公式の解答: