問題ID:15704

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-4-8 12:53
guutara  半人前   投稿数: 6
解説に矛盾を感じます。

解説
設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。

上記解説から始まり、選択肢の個別の解説には
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスだった場合は破棄する
・外部ネットワークから来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスと異なる場合は破棄する
適用しているインターフェースが「Fa0/1」なので、外部ネットワークから来たパケットについては関与しません。

この設問での設定は以下しか適えていないのでは?
内部ネットワークの有効なIPアドレス以外の送信元からの(偽装された)IPパケットを外に出さないために
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-4-8 15:00
arashi1977  長老 居住地: 広島  投稿数: 1715
うーん、確かに解説の1行目からは外部(リモートアクセス)からのパケットに関する設定のように読み取れますね。

設問と正答の関係を確認してみました。

まず、定義自体は
引用:
access-list 180 permit ip 11.1.1.0 0.0.0.255 any
access-list 180 deny ip any any log
interface fastethernet 0/1
ip access-group 180 in
と、
引用:
本社LAN内部から来たパケットの送信元が、本社LAN内部で使っているネットワークアドレスだった場合は通過させる
であることは間違いありません。

また、RFC 2827からも本設問のフィルタがアドレス偽装対策(アンチスプーフィング)フィルタであることは疑いようがありません。
https://www.ipa.go.jp/security/rfc/RFC2827JA.html#03

ということで、解説の1行目は
「設問では、外部ネットワーク(リモートアクセス)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は破棄する設定をしています。」

「設問では、内部ネットワーク(本社LAN)から来たパケットの送信元が、内部(本社LAN)と同じネットワークアドレスだった場合は許可する設定をしています。」
となるべきなのですかね

なし Re: 問題ID:15704

msg# 1.1.1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-4-8 15:29
staff_ag  長老   投稿数: 153
guutara さん
arashi1977 さん

ご指摘の点を修正致しました。
ご報告、誠にありがとうございました

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.