情報処理安全確保支援士 2014年 春期 午前2 問06
問題文
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
選択肢
ア:IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。(正解)
ウ:パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。
エ:戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴【午前2 解説】
要点まとめ
- 結論:ダイナミックパケットフィルタリングは、通信の状態を追跡し戻りパケットを許可する特徴がある。
- 根拠:通信のセッション情報を管理し、過去のリクエストに対応する戻りパケットのみを通過させるため、不正アクセスを防止できる。
- 差がつくポイント:単純な静的フィルタリングと異なり、通信の状態を動的に管理する点を理解することが重要。
正解の理由
イ: 戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。が正解です。
ダイナミックパケットフィルタリング(ステートフルインスペクション)は、通信の状態(セッション情報)を保持し、戻りパケットが正当な通信の一部であるかを判断します。これにより、不正な戻りパケットや不正アクセスを防止できます。
ダイナミックパケットフィルタリング(ステートフルインスペクション)は、通信の状態(セッション情報)を保持し、戻りパケットが正当な通信の一部であるかを判断します。これにより、不正な戻りパケットや不正アクセスを防止できます。
よくある誤解
ダイナミックパケットフィルタリングはパケットのデータ部を復号したり、アプリケーション層の詳細な解析を行うわけではありません。単なるIPアドレスの変換機能とも異なります。
解法ステップ
- 問題文の「ダイナミックパケットフィルタリング」の意味を確認する。
- 各選択肢の説明がダイナミックパケットフィルタリングの特徴に合致するか検討する。
- 「通信の状態を追跡し戻りパケットを許可する」特徴を持つ選択肢を特定する。
- 他の選択肢がNATや暗号化、アプリケーション層の解析に関する内容であることを確認し除外する。
- 正解をイと判断する。
選択肢別の誤答解説
- ア: IPアドレスの変換はNAT(ネットワークアドレス変換)の特徴であり、ダイナミックパケットフィルタリングとは異なります。
- イ: 正解。通信の状態を管理し、戻りパケットを正しく許可する特徴を示しています。
- ウ: パケットのデータ部をチェックしアプリケーション層での不正アクセスを防ぐのはアプリケーション層ファイアウォールの役割です。
- エ: 暗号化されたパケットの復号はファイアウォールの基本機能ではなく、専用の復号装置やプロキシが必要です。
補足コラム
ダイナミックパケットフィルタリングは「ステートフルインスペクション」とも呼ばれ、単なるパケットのヘッダ情報だけでなく通信の状態を追跡することで、より高度なセキュリティを実現します。これに対し、静的パケットフィルタリングは単純にIPアドレスやポート番号で判断するため、戻りパケットの管理ができません。
FAQ
Q: ダイナミックパケットフィルタリングはどの層で動作しますか?
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
Q: なぜ暗号化されたパケットの復号はファイアウォールで難しいのですか?
A: 復号には秘密鍵が必要であり、ファイアウォールがそれを持たない場合は内容を解析できません。
A: 復号には秘密鍵が必要であり、ファイアウォールがそれを持たない場合は内容を解析できません。
関連キーワード: ダイナミックパケットフィルタリング、ステートフルインスペクション、ファイアウォール、ネットワークセキュリティ、パケットフィルタリング
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!