ステートフルパケットインスペクション方式|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問6
出典:令和3年春期 午前Ⅱ 問6
分野:セキュリティ / 情報セキュリティ対策
ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。
- ア:WebクライアントとWebサーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,Webクライアントからの通信を目的のWebサーバに中継する際に,受け付けたパケットに不正なデータがないかどうかを検査する。
- イ:アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,通信に不正なデータがないかどうかを検査する。
- ウ:特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり,クライアントからのコネクションの要求を受け付け,目的のサーバに改めてコネクションを要求することによって,アクセスを制御する。
- エ:パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
TSUNAGARU-ADVICE
まず押さえたいこと
ステートフルパケットインスペクション方式は、パケットフィルタリングを拡張し、通信セッションの状態を記録しながら通過可否を判断する方式です。過去に通過したパケットとの関係を見て、そのパケットが正当な通信の一部かどうかを判断します。
迷ったときの判断軸
リバースプロキシとしてWeb通信を検査するものはWAFに近い説明です。プロキシソフトウェアを用意して通信を中継する方式や、クライアントとサーバの間でコネクションを張り直す方式は、アプリケーションゲートウェイ型の説明です。ステートフル方式は、セッション状態を見てパケットを通すか遮断すると判断しましょう。
科目Bにつなげるために
科目Bでは、ファイアウォールのルールや通信ログから、戻り通信を許可してよいかを判断する場面があります。ステートフル方式では、単発のパケットだけでなく、既に確立された通信セッションに対応するパケットかを確認する視点が重要です。
ステートフルパケットインスペクション方式は、単にパケットの送信元IPアドレス・宛先IPアドレス・ポート番号だけを見るのではなく、通信セッションの状態を管理して通過可否を判断する方式です。
例えば、内部から外部へ送信されたリクエストに対応する戻りのパケットであれば、正当な応答として通過させます。一方で、通信セッションの状態に合わない不自然なパケットは遮断できます。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:WebクライアントとWebサーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,Webクライアントからの通信を目的のWebサーバに中継する際に,受け付けたパケットに不正なデータがないかどうかを検査する。
⇒WAFやリバースプロキシ型の検査に関する説明です。Web通信を中継し、HTTPリクエストなどの内容を検査する方式であり、通信セッションの状態を基にパケットを通過・遮断するステートフルパケットインスペクションの説明ではありません。
イ:アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,通信に不正なデータがないかどうかを検査する。
⇒アプリケーションゲートウェイ方式、又はプロキシ方式の説明です。HTTPやFTPなど、アプリケーションプロトコルごとに代理サーバを用意して中継・検査する方式であり、パケットフィルタリングを拡張したステートフル方式とは異なります。
ウ:特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり,クライアントからのコネクションの要求を受け付け,目的のサーバに改めてコネクションを要求することによって,アクセスを制御する。
⇒サーキットレベルゲートウェイやアプリケーションゲートウェイに近い説明です。クライアントとサーバの間でコネクションを代理的に中継する方式であり、過去に通過したパケットから通信状態を認識して判断するステートフルパケットインスペクションとは異なります。