トップ > 情報処理技術者試験 > DMZは内部ネットワークを守るための領域です。

DMZは内部ネットワークを守るための領域です。

情報処理技術者試験

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

DMZ上に公開しているWebサーバで入力データを受け付け,内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして,DMZと内部ネットワークとの間にファイアウォールを設置するとき,最も有効な設定はどれか。
https://www.sc-siken.com/kakomon/22_aki/img/06.gif

  1. DBサーバの受信ポート番号を固定し,WebサーバからDBサーバの受信ポート番号への通信だけをファイアウォールで通す。
  2. DMZからDBサーバへの通信だけをファイアウォールで通す。
  3. Webサーバの発信ポート番号は任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
  4. Webサーバの発信ポート番号を固定し,その発信ポート番号からの通信だけをファイアウォールで通す。

情報セキュリティスペシャリスト平成22年秋期 午前Ⅱ 問6

f:id:ponsuke_tarou:20191019121844p:plain
昔見た光景

DMZは、外部ネットワークと内部ネットワークの間にあるネットワーク上の領域です。

  • 英語: DeMilitarized(離れる + 軍用化する) Zone
  • 日本語: 非武装地帯

https://software.fujitsu.com/jp/manual/manualfiles/M100008/J2X16780/02Z200/conn0101img/e-conn223.gif
2.2 DMZ(Demilitarized Zone)

Webサーバなど外部に公開するサーバなどが設置されます。

https://milestone-of-se.nesuke.com/wp-content/uploads/2018/03/dmz-2.png
図解】初心者にも分かるDMZの構成・設計 〜DMZとは?ファイアウォールを使ったNWセキュリティの基礎〜

ステートフル・インスペクションは、出入りするパケットの通信状態を把握して外部から送信されたパケットのアクセスを動的に制御するファイアウォールです。

ponsuke-tarou.hatenablog.com

DMZは、ファイアウォールやルータに隔離された領域です。

https://www.fe-siken.com/kakomon/29_haru/img/43.gif
平成29年春期問43 DMZを使用したサーバの設置方法|基本情報技術者試験.com

パケットフィルタリング型ファイアウォールを設置すると、パケットのヘッダ情報でアクセス制御を行うことができます。

ponsuke-tarou.hatenablog.com

内部ネットワークのDBサーバの受信ポート番号を固定し、WebサーバからDBサーバの受信ポート番号への通信だけをファイアウォールで通します。

「勉強のきっかけになった問題」にある設問の構成では、Webサーバから内部ネットワークへの通信はDBサーバに限れば良いので、DBサーバのポートを固定してファイアウォールへ設定します。これにより、不要な通信を通さずに済みます。
(参考)情報セキュリティスペシャリスト平成22年秋期 午前Ⅱ 問6

アプリケーションゲートウェイファイアウォールを設置すると、パケットのデータまでをチェックしてアクセス制御を行うことができます。

ponsuke-tarou.hatenablog.com

DMZを設置することで、内部ネットワークへの攻撃をファイアウォールで守ることができます。

https://tech.nikkeibp.co.jp/it/article/COLUMN/20080507/300882/zu04.jpg
https://tech.nikkeibp.co.jp/it/article/COLUMN/20080507/300882/zu05.jpg
DMZを設置しないといけない | 日経クロステック(xTECH)

DMZを設置していてもファイアウォールDMZに設置した機器の正しい対策が行われていなければ、内部ネットワークは危険にさらされます。

内部ネットワークのPCからインターネット上のWebサイトを参照するときにDMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると,未知のマルウェアがPCにダウンロードされて,PCが感染することを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

答. Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。
https://www.ap-siken.com/kakomon/30_haru/img/41.gif
平成30年春期問41 VDIシステムの導入|応用情報技術者試験.com

公開サーバと同じマシンに公開する必要のないサーバを一緒に入れると公開する必要のないサーバは危険にさらされます。

企業のDMZ上で1台のDNSサーバを,インターネット公開用と,社内のPC及びサーバからの名前解決の問合せに対応する社内用とで共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,直接引き起こされ得る現象はどれか。
答. 社内の利用者が,インターネット上の特定のWebサーバにアクセスしようとすると,本来とは異なるWebサーバに誘導される。
平成28年春期問36 DNSキャッシュポイズニング|応用情報技術者試験.com

ファイアウォールでは、「不正なアクセスによる攻撃」「Webアプリケーションの脆弱性を利用した攻撃」は防げません。

https://www.intec.co.jp/service/detail/uploadfile_bs/images/WAF.png
WAF構築サービス|商品・サービス|インテック

IDSとIPSを利用することで、ネットワークを監視して危険の連絡・遮断ができます。

ponsuke-tarou.hatenablog.com

WAFは、Webアプリケーションへの攻撃を監視し阻止します。

ponsuke-tarou.hatenablog.com

個人情報など重要な情報を取り扱うサイトでは、Webサーバまでの通信をSSL/TLSで暗号化します。

ponsuke-tarou.hatenablog.com

利用者個人のディジタル証明書を用いたTLS通信を行うと、PCとWebサーバ間の通信データを暗号化するとともに,利用者を認証することができるようになります。

https://www.ap-siken.com/kakomon/30_aki/img/40.gif
平成30年秋期問40 TLS通信で期待できるセキュリティ効果|応用情報技術者試験.com

f:id:ponsuke_tarou:20191019121914p:plain
昔の記憶

次回の勉強内容

ponsuke-tarou.hatenablog.com