ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。
ア | IPアドレスの変換が行われることによって、内部のネットワーク構成を外部から隠蔽できる。 |
イ | 暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。 |
ウ | 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 |
エ | パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。 |
答え ウ
【解説】
従来のパケットフィルタリング方式のファイアウォールではTCPやUDP、IPのヘッダー情報を基に通過するパケットと遮断するパケットを定義しています。
しかし、このパケットフィルタリングは正常に送信されたパケットに対しては適切に機能するが、特定のサーバを攻撃するために生成された不正なパケットは適切に処理できないことがありました。
例えば、TCPのACKパケットはWAN側からであっても通過させる設定にするが、このACKパケットに不正なデータを付加して送信することで攻撃をすることが可能です。
ステートフルパケットインスペクション方式のファイアウォールでは、パケットフィルタリングを拡張し通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖する決定します。
【キーワード】
・ファイアウォール