ダイナミックパケットフィルタリング|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問5

出典:令和元年秋期 午前Ⅱ 問5 分野:セキュリティ / 情報セキュリティ対策
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
  • ア:IPアドレスの変換が行われるので,内部のネットワーク構成を外部から隠蔽できる。
  • イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
  • ウ:過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
  • エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
解説

ダイナミックパケットフィルタリングは、通信の流れに合わせて、一時的に通信許可ルールを追加・削除するファイアウォールの方式です。

ダイナミックパケットフィルタリング

通常の静的なパケットフィルタリングでは、内部から外部へ出ていく通信だけでなく、その戻りの通信についても、あらかじめ許可ルールを設定しておく必要があります。

一方、ダイナミックパケットフィルタリングでは、最初は「内部から外部へ通信を開始するパケット」だけを許可しておきます。その後、実際に通信が始まると、その通信に対応する戻りパケットを通すための一時的なルールが自動で追加されます。

  1. 内部から外部へ通信を開始する
  2. ファイアウォールが通信の状態を記録する
  3. その通信に対応する戻りパケットだけを一時的に許可する
  4. 通信が終わると、一時的な許可ルールを削除する

この仕組みにより、戻り通信のルールを細かく手作業で設定しなくてもよくなります。また、通信の流れに合わない不自然なパケットを通しにくくなるため、不正アクセスの防止にも役立ちます。

つまりダイナミックパケットフィルタリングは、「通信の状態を見ながら、必要な戻り通信だけを一時的に通すファイアウォール方式」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:IPアドレスの変換が行われるので,内部のネットワーク構成を外部から隠蔽できる。
⇒NAT、又はNAPTに関する説明です。内部IPアドレスを外部から見えにくくする効果はありますが、ダイナミックパケットフィルタリングの特徴ではありません。
イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
⇒暗号化通信の復号や内容検査に関する説明です。ダイナミックパケットフィルタリングは、通信セッションの状態に基づいて通過可否を判断する方式であり、暗号化されたデータ部を復号して検査することが主な特徴ではありません。
エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
⇒アプリケーションゲートウェイやWAFなどに近い説明です。ダイナミックパケットフィルタリングは、主にIPアドレス、ポート番号、通信状態などを基に判断する方式であり、アプリケーション層のデータ内容を詳しく検査する方式ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

ダイナミックパケットフィルタリングは、過去に通過したリクエストパケットの状態を記録し、それに対応する戻りのパケットを通過させる方式です。通信の流れを見て、正当な応答通信かどうかを判断できます。

迷ったときの判断軸

IPアドレス変換で内部構成を隠すのはNATやNAPT、暗号化されたデータ部を復号して確認するのはSSL/TLSインスペクション、アプリケーション層の不正を防ぐのはWAFなどの役割です。ダイナミックパケットフィルタリングは、要求と応答の対応関係を見て戻り通信を許可するものと判断しましょう。

科目Bにつなげるために

科目Bでは、ファイアウォールの通信許可ルールを読み、内部から開始した通信の戻りパケットを許可してよいかを考える問題が出ることがあります。送信元・宛先・ポートだけでなく、既に許可された通信に対応する応答かを確認する視点を持ちましょう。