ホーム > 情報処理安全確保支援士試験 > 2010年 秋期
情報処理安全確保支援士試験 2010年 秋期 午前2 問07
ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IP スプーフィング (spoofing)攻撃に有効なものはどれか。
ア:外部から入る TCP コネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。
イ:外部から入る UDP パケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
ウ:外部から入るパケットのあて先 IP アドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを阻止する。
エ:外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。(正解)
解説
ファイアウォールにおけるIPスプーフィング対策【午前2 解説】
要点まとめ
- 結論:IPスプーフィング攻撃には、送信元IPアドレスが自ネットワークのものであればパケットを阻止する対策が有効です。
- 根拠:攻撃者は送信元IPアドレスを偽装し、自ネットワーク内のアドレスを装うことで侵入を試みるため、送信元IPの検証が重要です。
- 差がつくポイント:送信元IPアドレスの正当性をチェックし、内部ネットワークのアドレスが外部から来た場合に遮断する設定がIPスプーフィング防止の鍵となります。
正解の理由
選択肢エは「外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する」とあります。これはIPスプーフィング攻撃に対して非常に有効です。攻撃者は自ネットワークのIPアドレスを偽装して外部から侵入しようとするため、送信元IPが内部ネットワークのアドレスであるパケットを外部から受け入れないようにすることで、不正アクセスを防止できます。
よくある誤解
IPスプーフィング対策は単に不要なサービスの遮断だけでは不十分です。送信元IPの偽装を見抜くためには、送信元IPアドレスの検証が不可欠です。
解法ステップ
- IPスプーフィングとは何かを理解する(送信元IPアドレスの偽装)。
- ファイアウォールの役割を確認する(パケットの送受信制御)。
- 攻撃者が偽装しやすい送信元IPアドレスの特徴を考える(自ネットワークのIPを偽装)。
- 送信元IPアドレスが自ネットワークのものであれば外部からのパケットは不正と判断する。
- 選択肢の中で送信元IPアドレスの偽装を防ぐ対策を選ぶ。
選択肢別の誤答解説
- ア: TCPコネクション確立要求の制限はサービス制御であり、IPスプーフィングの直接対策ではありません。
- イ: UDPパケットの制限もサービス利用制御であり、送信元IPの偽装防止には不十分です。
- ウ: 宛先IPアドレスの制御は内部ホストへの不正アクセス防止に役立ちますが、送信元IPの偽装対策とは異なります。
- エ: 送信元IPアドレスが自ネットワークのものであれば外部からのパケットを阻止するため、IPスプーフィングに有効です。
補足コラム
IPスプーフィングは攻撃者が送信元IPアドレスを偽装し、信頼されたネットワークからの通信に見せかける手法です。これを防ぐためにファイアウォールでは「逆方向フィルタリング(Ingress Filtering)」を行い、外部から内部ネットワークのIPアドレスを送信元とするパケットを遮断します。これにより、内部ネットワークの信頼性を保ち、不正アクセスを防止します。
FAQ
Q: IPスプーフィング攻撃はどのような被害をもたらしますか?
A: なりすましによる不正アクセスやサービス妨害(DoS攻撃)の踏み台に利用されることがあります。
A: なりすましによる不正アクセスやサービス妨害(DoS攻撃)の踏み台に利用されることがあります。
Q: 送信元IPアドレスの検証はどの層で行われますか?
A: 主にネットワーク層(IP層)で行われ、ファイアウォールやルーターで設定されます。
A: 主にネットワーク層(IP層)で行われ、ファイアウォールやルーターで設定されます。
Q: 逆方向フィルタリングとは何ですか?
A: 外部から内部ネットワークのIPアドレスを送信元とするパケットを遮断することで、IPスプーフィングを防ぐ技術です。
A: 外部から内部ネットワークのIPアドレスを送信元とするパケットを遮断することで、IPスプーフィングを防ぐ技術です。
関連キーワード: ファイアウォール, IPスプーフィング, 逆方向フィルタリング, ネットワークセキュリティ, パケットフィルタリング