設問1
(1)
N-IPSで遮断されていたPF診断の通信が通過するから。(27字)
N-IPSの脅威通信判定は現在有効になっているが、これを無効にすると
脅威通信判定によって遮断されていた通信も通過するようになる
その分多くの脆弱性を検出する可能性がある、という話。
(2)
ホワイトリストに診断PCのIPアドレスを登録する。(25字)
表1のN-IPSの概要を見てみると「ホワイトリスト判定」という仕組みがある
ホワイトリストに診断PCのIPアドレスを登録することで
本物の攻撃を防げなくなる、というリスクを抑えることができる。
(3)
答え: (a)
図1の表記2を見ると、本番Webサーバには2つのNICが備えられていると記述がある
今回の診断は、本番Webサーバがインターネットから攻撃される脅威を想定しているので
サービス側(インターネット側)のNICに向けて診断を行う、つまり(a)に接続する。
設問2
(1)
診断用の利用者ID(9字)
Web診断にあたって、「診断用の利用者ID」を用いて診断を行う模様
図3の診断要件を見てみると、診断終了後はシステムを元に戻せとの記述がある
それに従うと、当該IDは診断後に削除する必要がある。
(2)
変更する項目: 日時
変更する内容: 診断時間を0時~8時の間にする。(16字)
図3の診断要件に、「本番環境への影響を最小化すること」とある
冒頭に時間帯別の通信量の比率が記載されており、0時~8時が一番少ない
現状の計画では、9時~17時と通信が多い時間帯に診断を行おうとしている
影響を最小化するのであれば、0時~8時の間に診断を行うべき。
(3)
機器: 本番DBサーバ
変更後の設定: ホスト型IPSのホワイトリスト設定に、診断PCのIPアドレスを登録し、侵入検知設定を無効にする。(48字)
図2を見ると、本番DBサーバに導入されている「ホスト型IPS」が警告灯と連携していることが分かる
まずはホワイトリストに診断PCにIPアドレスを登録する。
侵入検知設定は、特定のPCからの通信を無効にする といった事ができないので
侵入検知設定自体を無効する。
これらを行う事で警告灯の点灯を回避できる。
(4)
c:本番DBサーバ
d:DB管理PC
e:許可
Web管理PCから本番DBサーバにログインを試みたことにより、警告灯が点灯して
緊急対応体制を取る事になってしまった、という事故が以前に起きたらしい。
その原因として、ホスト型IPSのホワイトリストには
本番WebサーバとDB管理PCしか登録していない為、ホワイトリスト設定により警告灯が点灯した。
FW2の設定で、本番DBサーバへの通信はDB管理PCのみを許可するように設定したと思われる。
感想
メインは恐らくIPSなのでしょうか
必要な前提知識はほぼ必要なく、問題内で完結できる。
個人的にはIPSの機能を学ぶには良い問題だと思います
「脅威通信判定」とかは、実際の製品にも「シグネチャ検知」や「アノマリ検知」
といった言い方で実装されているようでした。
シグネチャ:事前に定義されたパターンを検知する。(定義したもののみ検知可)
アノマリ:「正常な状態」を定義しておき、それから逸脱した挙動を検知する。(未知の脅威を検知可)
(通常これらは併用するとのこと)
令和2年度 秋期 午後1 問3 Webシステムのセキュリティ診断
Uncategorized
コメント