- トップページ
- 情報セキュリティスペシャリスト
- 平成26年度春季問題一覧
- 平成26年度春季問題9-解答・解説-分析
平成26年度春季問題
問題9
ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
| ア | 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。 |
| イ | 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。 |
| ウ | 外部から入るパケットのあて先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。 |
| エ | 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。 |
ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
| ア | 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。 |
| イ | 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。 |
| ウ | 外部から入るパケットのあて先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。 |
| エ | 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。 |
解答:ア
<解説>
IPスプーフィングとは,送信元IPアドレスを偽装したIPパケットを標的のネットワークに送付し,誤動作を起こさせたり不正侵入を試みたりする行為のことである。
一般に,組織内LANとインターネットとの間に設置するファイアウォールなどには,外部のIPアドレスを送信元とする不正なIPパケットを内部に侵入させないようにする設定が施されているが、組織内のIPアドレスが送信元になっているIPパケットについては,組織内からの信頼できるパケットであるとみなし,ファイアウォールが無条件で転送してしまう設定になっていることがよくある。この点に付け込む形で,組織内のIPアドレスが送信元になっているIPパケットを偽造して外部から送り込み,組織の内部に不正なパケットを侵入させる手口がある。 これを防止するためには,国のように,外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを阻止するという処置が適切である。
ア,イ,ウの各措置は,不要なサービスを排除したり,内部ホストに送りつけられるパケットを排除したりするなど,いずれも情報セキュリティ上適切な措置ではるが,IPスプーフィングを防ぐこと はできない。したがって、エが正解である。
お問い合わせ
