【用語解説】情報処理安全確保支援士の頻出用語

2021年7月24日情報処理安全確保支援士試験

情報処理安全確保支援士の頻出用語

ここでは、情報処理安全確保支援士の午後問題で頻出(だと思われる)情報を整理しました。随時更新。

 

ステートフルパケットインスペクション(=ダイナミックパケットフィルタ)

ダイナミックパケットフィルタ方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォール。

 

必要以上のポートを開放するように設定しなくてもよくなる(青枠の例を参照)。個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」等が可能(つまり脈絡のない話は遮られるけど、一連の流れとして関係する会話は続けられるといった動作)。

 

デメリットとしては、全ての通信のコンテキスト(=文脈)を記録管理しておく必要があることや、(コンテキストを記録する関係上)大量のアクセスを主体とするサイバー攻撃であるDoS攻撃には弱いことが挙げられる。

例えば、社内のクライアントPCからインターネット上のDNSサーバーへ名前解決リクエストを投げる場合、行きのパケットを通過させるには,単純に,あて先ポート番号が53のパケットを通過許可としてルールを設定すればよい。

問題は,DNSサーバーからの戻りパケットのルールである。送信元ポート番号が53の通信を許可してしまうと,送信元ポートが53で通信するように作成したアプリケーションからの通信は,悪意のあるものも含めてすべてファイアウオールを通過し,社内LANに達してしまう。あて先ポート番号でフィルタリングしようと思っても,1024以上のポート番号の通信をすべて許可する必要があり,大きく口を開けることになってしまう。

ステートフルインスペクションの機能を使えば,通過するパケットの状態を監視し,行きのパケットの通過を許可した時点で,戻りのルールを動的に設定,許可することができる。なお,この戻りパケット用のルールは一定時間で無効となる。

 

 

 

 

ウェルノウンポート一覧

ポート番号 TCP/IP プロトコル 用途
20 TCP ftp-data ファイル転送(データ本体)
21 TCP ftp ファイル転送(コントロール)
22 TCP ssh リモートログイン(セキュア)
23 TCP telnet リモートログイン
25 TCP smtp メール送信
53 TCP/UDP domain DNS(名前解決はUDP,ゾーン転送はTCP)
67 UDP BOOT/DHCP Server IPアドレスの自動取得
68 UDP BOOT/DHCP Client IPアドレスの自動取得
69 UDP TFTP ファイル転送
80 TCP http www
110 TCP pop3 メール受信
123 UDP NTP 時刻合わせ
143 TCP imap メール受信
443 TCP https www(セキュア)
445 TCP SMB(Server Message Block) Windows用のファイル共有プロトコル、ファイル共有サービスのためのプロトコル
520 UDP RIP ルーティングプロトコル
587 TCP smtp メール送信