下記の問題集を参考させていただいでおります。
午後(I・II)に集中!情報処理安全確保支援士精選17問
設問1
(1) a:カ b:オ c:エ
感染したAさんのPCからARPポイズニングが行われたことにより管理用PC、FWのARPテーブルが書き換えられてしまった問題です。
管理用PCが何らかのタイミングでFW向けのARP要求をブロードキャストする。しかし、AさんのPCがFWより先にARP応答返すことに成功することで管理用PCのARPテーブルが書き換わってしまいます。(FWも同様な動きで書き換わる)
このことからARPポイズニングが成功すると「中間者攻撃」が成功したことを意味し、本来「管理用PC→FW(サーバ向け)」の通信が「管理用PC→AさんのPC→FW(サーバ向け)」の通信になってしまいます。(戻りの通信も同様にAさんのPCを経由する)
このことから、表3のFW向けのMACアドレスはAさんのMACアドレスになり(a)、AさんのARPテーブルは通信を中継(盗聴)するのでIPアドレスとMACアドレスの組み合わせに変更はありません。
(2) d:5
管理用PCのIPアドレスを総当たりで推測することを考えた場合の問題です。
今回の問題だと192.168.0.1~192.168.0.254までのIPアドレスを送信元として、サーバセグメントに接続を試みる、ということを言っているのだと思います。
管理用PC及びPCはPCセグメントに設置されており、そこからサーバセグメント(LDAPサーバ及びCRMサーバ)への通信行われた場合、FWのフィルタリングルール項番5に該当します。
(3) 送信元:ケ 宛先:カ サービス:キ
IPアドレスの総当たり攻撃ではなく、盗聴によりIPアドレスが特定されてしまいました。
設問1(1)の通り、管理用PCからサーバ向けの通信は盗聴されているため、送信元は管理用PC、宛先は、まず認証の通信を盗聴したいためLDAPサーバ、サービスはSSHになります。
表1.4の通信を盗聴する感じです。
また、CRMサーバへの通信は表1のFWフィルタリングルールによりHTTPSが利用されるため通信の内容(今回だと利用者ID、パスワード)が暗号化されているため盗聴ができません。
設問2
攻撃名:中間者攻撃
Aさん以外のPCとCRMサーバとの間の通信に割り込み、自身の通信とすりかえる攻撃を中間者攻撃と言います。
中間者攻撃の対策はサーバ証明書です。
また、詐称される機器は通信をする相手であるCRMサーバです。
設問3
(1) PCセグメント内に管理用PCとサーバ間の通信が流れなくなるから
不正侵入の対策としてPCセグメントとサーバ管理セグメントに分けました。
こうすることで管理用PCとサーバ間の通信はPCセグメントを通らなくなり、盗聴の危険性がなくなります。
(2) SYN (C)→(A)
SYN-ACK (A)→(B)
セグメントを分けることで管理用PCのIPアドレス取得に成功した場合でも、TCPコネクション確立を防ぐことが可能になります。
管理用PCになりすましたAさんのPCがLDAPサーバ向けにSYNパケットを送ります。(C→A)
しかし、実際管理用PCはサーバ管理セグメントにいるためSYN-ACKパケットはLDAPから管理用PC(サーバセグメント→サーバ管理セグメント)へ向かうため、SYN-ACKパケットは拒否されます。(A→B)