Q&A
フィルタリングの問題です。
問題
問題
dに適切なフィルタリングルールを表1中の項目1~5から選び数字で答えよ。
問題文抜粋1 (dの箇所):
図3の6の特定方法としては、管理用PCのIPアドレスを総当たりで推測することも考えられるが、そのような方法が採られた場合にFWのフィルタリングルールdによって記録されるはずのログが残っていなかった。
問題文抜粋2 (図3の6の箇所):
6.AさんのPC上で通信を盗聴して、管理用PCのIPアドレスを特定する
解答
項番5
考えたこと
以下の考えから項番5、なのでしょうか。
誤りあれば詳しい方教えてください><
①まず「管理用PCのIPアドレスを総当たりで推測する」の攻撃の仕方の認識
管理用PCアドレスからサーバセグメントへの通信を盗聴して、攻撃者は「この通信の送信元が管理用PCかな?」と当たりをつけるような攻撃。
②管理用PC - サーバセグメント間のSSH通信は、ARPポイズニングで盗聴されており、マルウェア感染ホスト - サーバセグメントとのSSH通信になるため、項番5で弾かれる。
従って題意のような攻撃だと項番5で弾かれているはずである?
回答2件
0
ベストアンサー
設問の状況では、ARPポイズニングにより
管理PCに対してはAさんのPCがゲートウェイであるように偽装し、
ゲートウェイに対してはAさんのPCが管理PCであるように偽装しています。
図3の状況から、盗聴で把握されたサーバのIPに対して
AさんのPCからの直接のSSHアクセスが試みられています。
このアクセスが防がれたことにより、攻撃者はアクセス元が制限されて
いると判断し、アクセス元を詐称して接続を試みたとの想定となっています。
この際に管理PCのIPアドレスが既知でない場合は、
miyahanさんの書かれているようにアクセス元となるIPアドレスを
総当たりで偽装して通信できるIPを探すこととなります。
これが「管理用PCのIPアドレスを総当たりで推測する」状況です。
この場合、管理PC、AさんのPC以外の同セグメントのIPからのSSHアクセスが
試行されるので、その通信がFWにより遮断されログが記録されるはず、
でもそのログがないので管理PCのIPアドレスは攻撃者にとって既知だった、
それは盗聴していたからだ、という推測をW氏はしています。
ただ、設問の状況では1番から順に試していくといきなり正解にあたってしまうので、
FWにログがなかったからといって総当たりを試していなかったとは言いづらいです。
管理PCのIPが192.168.0.201とかであった方が(設問としては)よかったのだろうと思われます。
投稿2017/09/29 04:06
編集2017/09/29 04:44
退会済みユーザー
総合スコア0
0
乗っ取られたPCは "PCセグメント" で侵入したいホストは "サーバセグメント" なので、関連するポリシーは5番しかなく、他は選びようがないと思いますが...?
①「管理用PCのIPアドレスを総当たりで推測する」の攻撃の仕方
単に自サブネットのIPアドレスを総当たりで詐称してアクセスを試みるってだけの話では?
②
よくわかりませんが、L2とL3をよく区別して問題を見直した方がよいと思います。
投稿2017/09/28 00:05
総合スコア3095
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/02 11:40 編集