セキュリティスペシャリスト
問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_sc
答えはIPAの回答例となります。
構成
図1
設問1
(1)
よくSSH接続をすると右の画面が表示されますが、
問題では次回以降となっているので、2回目以降で
警告メッセージが表示されるパターンは
・接続先サーバのフィンガプリントが変更された
・接続先サーバが保守用中継サーバではない
となり、問題文に「フィンガプリントが変わったか」と
あるので答えは
答え a:接続先が保守用中継サーバではない
(2)
操作ログへのアクセスは特権利用者の権限が必要であり、当該利用者には一般利用者の権限が付与されることから
答えは
答え:操作ログの改ざんや削除を防止する為
(3)
上記のようになっているので、通常は保守用中継サーバにSSHできるのは保守PC-Aになります。
注1)でも保守PC-B・Cは申請して許可にしてもらうとなっていますので、インターネット側からは基本は拒否になりますね
答え b:保守PC-A 答え c:インターネット
設問2
(1)
保守用中継サーバからインターネットへの通信のログなので
答え:6
(2)
インターネットからのSSHは基本拒否になっており、申請時に設定変更を行い許可してもらう仕様です。
答え:6月14日7時0分から6月14日の9時30分まで
設問3
(1)
SSH接続をパスワード認証から公開鍵認証に変更することにするとのことで、
公開鍵認証に使う鍵ペアを作って、PC側に秘密鍵、サーバ側に公開鍵を配置します。
攻撃者に秘密鍵を盗まれたりした際に秘密鍵にはパスフレーズをかけておくことで、
攻撃者が悪用できないようにすることが目的となるので答えは
答え:・保守員以外が不正に秘密鍵を利用できないようにするため
・秘密鍵が盗まれても悪用できないようにするため
(2)
SSH接続をパスワード認証から公開鍵認証に変更すると言っているので答えは
答え d:パスワード認証
(3)
保守PC → 保守用中継サーバ
保守用中継サーバ→ 顧客管理サーバ
保守PCから顧客管理サーバへSSH接続をする場合は上記のように保守用中継サーバに接続して、
保守用中継サーバから顧客管理サーバへ接続する仕様となります。(FWルールの5が当てはまります)
なので、顧客管理サーバへ公開鍵認証の秘密鍵は普通は保守用中継サーバが持つことになります。
しかしSSH Agent Forwarding機能で、保守PCのSSHエージェントが秘密鍵を保持することができるようになります。
答え e:秘密鍵
(4)
【FWで接続元を制限することができれば】と言っているので、やりたい事はSSH接続の送信元制限です。
FWポリシーの項番4は「インターネットから保守用中継サーバへのSSH接続」のポリシーです。
現在はスマホでのテザリング時は固定グローバルIPは付与されないので、答えは
答え f:送信元IPアドレスを固定にする
コメント