サイバーセキュリティ分野における初の国家資格「情報処理安全確保支援士」制度が始まりました。資格試験の受験を検討している人も、そうでない人も過去問題にチャレンジしてみましょう。今回は、「ダイナミックパケットフィルタリング」についての問題です。
ア IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ 暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。
ウ パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。
エ 戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
ダイナミックパケットフィルタリングとは、戻りのパケットについて動的なフィルタリングを実施する方式です。ダイナミックパケットフィルタリングでは、ファイアウォールのフィルタリングルールが動的に作成されます。どのように作成されるのか、具体的に見ていきましょう。
以下のようなACL(アクセスコントロールリスト)を持つファイアウォールがあるとします。ファイアウォール内部のクライアント(IPアドレスが192.168.1.*)から外部へはTCP 80番ポート(HTTP)宛ての通信だけを許可し、それ以外の通信は遮断するよう静的に設定しています。
| No. | 向き | 送信元IPアドレス | 送信元ポート番号 | 宛先IPアドレス | 宛先ポート番号 | 処理 |
|---|---|---|---|---|---|---|
| 1 | 内部⇒外部 | 192.168.1.* | * | *.*.*.* | 80 | 許可 |
| 2 | * | * | * | * | * | 遮断 |
ここで、内部のクライアント(IPアドレス192.168.1.10)から外部のWebサーバ(IPアドレスx.x.x.20)に80番ポート宛ての通信が発生したとします。するとダイナミックパケットフィルタリングでは、この通信の戻りパケットを許可するルールが動的に追加されます。
| No. | 向き | 送信元IPアドレス | 送信元ポート番号 | 宛先IPアドレス | 宛先ポート番号 | 処理 |
|---|---|---|---|---|---|---|
| 1 | 内⇒外 | 192.168.1.* | * | *.*.*.* | 80 | 許可 |
| 2 | 外⇒内 | x.x.x.20 | 80 | 192.168.1.10 | 50080 | 許可 |
| 3 | * | * | * | * | * | 遮断 |
ルールが追加されると、No.1だけではなく、 No.2の条件に合致したパケットも、ファイアウォールは通過させます。通過させると、No.2のルールを削除します。
