ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問07
ファイアウォールにおいて, 自ネットワークのホストへの侵入を防止する対策のうち,IP スプーフィング (spoofing) 攻撃の対策について述べたものはどれか。
ア:外部から入る TCP コネクション確立要求パケットのうち, 外部へのインターネットサービスの提供に必要なもの以外を破棄する。
イ:外部から入るUDPパケットのうち, 外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
ウ:外部から入るパケットの宛先IPアドレスが, インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
エ:外部から入るパケットの送信元IP アドレスが自ネットワークのものであれば,そのパケットを破棄する。(正解)
解説
ファイアウォールにおけるIPスプーフィング対策とは【午前2 解説】
要点まとめ
- 結論:IPスプーフィング対策は「外部からのパケットで自ネットワークの送信元IPを持つものを破棄する」ことが有効です。
- 根拠:攻撃者が自ネットワーク内のIPアドレスを偽装して侵入を試みるため、送信元IPが自ネットワーク内のパケットを外部から受け入れないことが重要です。
- 差がつくポイント:宛先IPアドレスではなく送信元IPアドレスに注目し、外部からの不正な内部IP偽装を見抜くことが鍵となります。
正解の理由
選択肢エは「外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを破棄する」と述べています。これはIPスプーフィング攻撃の典型的な手法である「内部IPアドレスを偽装して外部から侵入する」行為を防ぐための基本的かつ効果的な対策です。ファイアウォールがこのルールを適用することで、外部からの偽装パケットを検知し遮断できます。
よくある誤解
IPスプーフィング対策は宛先IPアドレスのチェックではなく、送信元IPアドレスの正当性を確認することが重要です。宛先IPだけを見て破棄しても偽装は防げません。
解法ステップ
- IPスプーフィングとは何かを理解する(送信元IPアドレスの偽装)。
- ファイアウォールがどのIPアドレスを基準にパケットを判断するかを考える。
- 外部からのパケットで送信元IPが自ネットワーク内のものなら不正と判断する。
- 選択肢の中で送信元IPを基準に破棄を指示しているものを選ぶ。
- それが選択肢エであることを確認する。
選択肢別の誤答解説
- ア:TCPコネクション確立要求の制限はサービス制御であり、IPスプーフィング対策とは直接関係ありません。
- イ:UDPパケットの制御もサービス利用の制限であり、送信元IP偽装の検出には不十分です。
- ウ:宛先IPアドレスのチェックは内部ホストへの不正アクセス防止に役立ちますが、送信元IP偽装の検出には効果が薄いです。
- エ:送信元IPが自ネットワークのものなら破棄することで、IPスプーフィングを直接防止できるため正解です。
補足コラム
IPスプーフィングは攻撃者が送信元IPアドレスを偽装し、信頼された内部ネットワークからの通信に見せかける手法です。これに対し、ファイアウォールやルーターで「逆方向のパケットフィルタリング(Ingress Filtering)」を行うことが推奨されています。RFC 2827ではこの方法が標準的な対策として紹介されています。
FAQ
Q: なぜ送信元IPアドレスのチェックが重要なのですか?
A: 攻撃者は送信元IPを偽装して内部ネットワークからの通信に見せかけるため、送信元IPの正当性を確認しないと不正アクセスを許してしまいます。
A: 攻撃者は送信元IPを偽装して内部ネットワークからの通信に見せかけるため、送信元IPの正当性を確認しないと不正アクセスを許してしまいます。
Q: 宛先IPアドレスのチェックは意味がないのですか?
A: 宛先IPアドレスのチェックは内部ネットワークの保護に役立ちますが、IPスプーフィングの検出には送信元IPのチェックが不可欠です。
A: 宛先IPアドレスのチェックは内部ネットワークの保護に役立ちますが、IPスプーフィングの検出には送信元IPのチェックが不可欠です。
関連キーワード: ファイアウォール, IPスプーフィング, 送信元IPアドレス, 逆方向パケットフィルタリング, ネットワークセキュリティ