情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問9: 自ネットワークのホストへの侵入を,ファイアウォールにおいて防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
←情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ
自ネットワークのホストへの侵入を,において防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
問題本文
自ネットワークのホストへの侵入を,ファイアウォールにおいて防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
選択肢
- ア.外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
- イ.外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
- ウ.外部から入るパケットの宛先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
- エ.外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
正解
エ. 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
解説
IPスプーフィングは送信元IPアドレスを詐称する攻撃で、外部から来るのに送信元が自網内のアドレスを名乗るパケットは明らかに偽装である。これを境界で破棄するのがアンチスプーフィングの基本で、エが正解。実務ではBCP38に沿った入口フィルタリングとして、不正な送信元アドレスを境界で排除する。
選択肢ごとの解説
- ア.不要なTCP接続要求の破棄は一般的なアクセス制御で、送信元詐称への対策を述べていないため誤り。
- イ.不要なUDPの破棄も通常のフィルタリングで、IPスプーフィング固有の対策ではないため誤り。
- ウ.宛先アドレスに着目した破棄で、これは内部ホスト保護の話であり送信元詐称対策ではないため誤り。
- エ.外部から来るのに送信元が自網アドレスのパケットを破棄するアンチスプーフィングで正しい。
情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ の過去問一覧へ戻る・問9