【用語解説】情報処理安全確保支援士の頻出用語
情報処理安全確保支援士の頻出用語
ここでは、情報処理安全確保支援士の午後問題で頻出(だと思われる)情報を整理しました。随時更新。
ステートフルパケットインスペクション(=ダイナミックパケットフィルタ)
ダイナミックパケットフィルタ方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォール。
必要以上のポートを開放するように設定しなくてもよくなる(青枠の例を参照)。個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」等が可能(つまり脈絡のない話は遮られるけど、一連の流れとして関係する会話は続けられるといった動作)。
デメリットとしては、全ての通信のコンテキスト(=文脈)を記録管理しておく必要があることや、(コンテキストを記録する関係上)大量のアクセスを主体とするサイバー攻撃であるDoS攻撃には弱いことが挙げられる。
例えば、社内のクライアントPCからインターネット上のDNSサーバーへ名前解決リクエストを投げる場合、行きのパケットを通過させるには,単純に,あて先ポート番号が53のパケットを通過許可としてルールを設定すればよい。
問題は,DNSサーバーからの戻りパケットのルールである。送信元ポート番号が53の通信を許可してしまうと,送信元ポートが53で通信するように作成したアプリケーションからの通信は,悪意のあるものも含めてすべてファイアウオールを通過し,社内LANに達してしまう。あて先ポート番号でフィルタリングしようと思っても,1024以上のポート番号の通信をすべて許可する必要があり,大きく口を開けることになってしまう。
ステートフルインスペクションの機能を使えば,通過するパケットの状態を監視し,行きのパケットの通過を許可した時点で,戻りのルールを動的に設定,許可することができる。なお,この戻りパケット用のルールは一定時間で無効となる。
ウェルノウンポート一覧
| ポート番号 | TCP/IP | プロトコル | 用途 |
| 20 | TCP | ftp-data | ファイル転送(データ本体) |
| 21 | TCP | ftp | ファイル転送(コントロール) |
| 22 | TCP | ssh | リモートログイン(セキュア) |
| 23 | TCP | telnet | リモートログイン |
| 25 | TCP | smtp | メール送信 |
| 53 | TCP/UDP | domain | DNS(名前解決はUDP,ゾーン転送はTCP) |
| 67 | UDP | BOOT/DHCP Server | IPアドレスの自動取得 |
| 68 | UDP | BOOT/DHCP Client | IPアドレスの自動取得 |
| 69 | UDP | TFTP | ファイル転送 |
| 80 | TCP | http | www |
| 110 | TCP | pop3 | メール受信 |
| 123 | UDP | NTP | 時刻合わせ |
| 143 | TCP | imap | メール受信 |
| 443 | TCP | https | www(セキュア) |
| 445 | TCP | SMB(Server Message Block) | Windows用のファイル共有プロトコル、ファイル共有サービスのためのプロトコル |
| 520 | UDP | RIP | ルーティングプロトコル |
| 587 | TCP | smtp | メール送信 |