ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問15
DMZ上のコンピュータがインターネットからのpingに応答しないようにしたいとき,ファイアウォールのルールで“通過禁止”に設定するものはどれか。
ア:ICMP(正解)
イ:TCPのポート番号21
ウ:TCPのポート番号110
エ:UDPのポート番号123
解説
DMZ上のコンピュータがインターネットからのpingに応答しないようにする方法【午前2 解説】
要点まとめ
- 結論:pingはICMPプロトコルを使うため、ICMPを通過禁止に設定すれば応答しなくなる。
- 根拠:pingはICMP Echo RequestとEcho Replyで動作し、TCPやUDPのポート番号とは無関係である。
- 差がつくポイント:TCPやUDPの特定ポートを禁止してもpingは遮断できないため、ICMPの制御が必須である。
正解の理由
pingはネットワークの疎通確認に使われるICMP(Internet Control Message Protocol)を利用しています。ICMPはTCPやUDPとは異なるプロトコルで、ポート番号の概念がありません。したがって、ファイアウォールでping応答を禁止したい場合は、ICMPパケット自体を通過禁止に設定する必要があります。選択肢の中でICMPを指定しているのはアのみであり、これが正解です。
よくある誤解
TCPやUDPの特定ポートを閉じればpingも遮断できると誤解されがちですが、pingはICMPを使うためポート番号の設定は無効です。
解法ステップ
- pingの動作プロトコルを理解する(ICMPを使用)。
- ファイアウォールのルールで制御可能なプロトコルとポート番号の違いを確認する。
- ping応答を禁止するにはICMPを通過禁止に設定する必要があると判断する。
- 選択肢の中からICMPを指定しているものを選ぶ。
選択肢別の誤答解説
- ア: ICMPを通過禁止にすることでping応答を遮断できるため正解。
- イ: TCPのポート番号21はFTPの制御用ポートであり、pingとは無関係。
- ウ: TCPのポート番号110はPOP3メール受信のポートであり、pingには影響しない。
- エ: UDPのポート番号123はNTP(時刻同期)用であり、pingの制御には関係ない。
補足コラム
ICMPはネットワーク機器の状態確認やエラーメッセージ送信に使われる重要なプロトコルです。pingはICMP Echo RequestとEcho Replyを利用して通信の可否を確認します。ファイアウォールでICMPを制御する際は、必要に応じて特定のICMPタイプだけを許可・拒否する細かな設定も可能です。
FAQ
Q: pingを禁止するとネットワークのトラブルシューティングに支障はありませんか?
A: はい。pingを禁止すると疎通確認ができなくなるため、管理者は他の方法で監視や診断を行う必要があります。
A: はい。pingを禁止すると疎通確認ができなくなるため、管理者は他の方法で監視や診断を行う必要があります。
Q: TCPやUDPのポート番号を閉じるとどんな影響がありますか?
A: それぞれのポート番号に対応したサービス(FTP、メール、NTPなど)が利用できなくなりますが、pingには影響しません。
A: それぞれのポート番号に対応したサービス(FTP、メール、NTPなど)が利用できなくなりますが、pingには影響しません。
関連キーワード: ICMP, ping, ファイアウォール, DMZ, ネットワークセキュリティ