問題ID:15704
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
guutara
投稿数: 6
投稿数: 6
解説に矛盾を感じます。
解説
設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。
上記解説から始まり、選択肢の個別の解説には
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスだった場合は破棄する
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスと異なる場合は破棄する
適用しているインターフェースが「Fa0/1」なので、外部ネットワークから来たパケットについては関与しません。
この設問での設定は以下しか適えていないのでは?
内部ネットワークの有効なIPアドレス以外の送信元からの(偽装された)IPパケットを外に出さないために
解説
設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。
上記解説から始まり、選択肢の個別の解説には
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスだった場合は破棄する
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスと異なる場合は破棄する
適用しているインターフェースが「Fa0/1」なので、外部ネットワークから来たパケットについては関与しません。
この設問での設定は以下しか適えていないのでは?
内部ネットワークの有効なIPアドレス以外の送信元からの(偽装された)IPパケットを外に出さないために
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
うーん、確かに解説の1行目からは外部(リモートアクセス)からのパケットに関する設定のように読み取れますね。
設問と正答の関係を確認してみました。
まず、定義自体は
引用:と、
引用:であることは間違いありません。
また、RFC 2827からも本設問のフィルタがアドレス偽装対策(アンチスプーフィング)フィルタであることは疑いようがありません。
https://www.ipa.go.jp/security/rfc/RFC2827JA.html#03
ということで、解説の1行目は
「設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。」
↓
「設問では、内部ネットワーク(本社LAN)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は許可する設定をしています。」
となるべきなのですかね
設問と正答の関係を確認してみました。
まず、定義自体は
引用:
access-list 180 permit ip 11.1.1.0 0.0.0.255 any
access-list 180 deny ip any any log
interface fastethernet 0/1
ip access-group 180 in
引用:
本社LAN内部から来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスだった場合は通過させる
また、RFC 2827からも本設問のフィルタがアドレス偽装対策(アンチスプーフィング)フィルタであることは疑いようがありません。
https://www.ipa.go.jp/security/rfc/RFC2827JA.html#03
ということで、解説の1行目は
「設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。」
↓
「設問では、内部ネットワーク(本社LAN)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は許可する設定をしています。」
となるべきなのですかね
staff_ag
投稿数: 153
投稿数: 153
guutara さん
arashi1977 さん
ご指摘の点を修正致しました。
ご報告、誠にありがとうございました
arashi1977 さん
ご指摘の点を修正致しました。
ご報告、誠にありがとうございました
