HOME»基本情報技術者試験掲示板»平成31年春期問1 設問2
投稿する
[2882] 平成31年春期問1 設問2
箱さん(No.1)
A社では、社外から社内LANへのリモートアクセスが禁止されています。また、社外からインターネットを介した社内LANへの通信は、全てファイアウォールによって禁止されています。これにより、各業務システムと通信できるのは社内LANのみに限定されています。
とあります。
正解は3→4の通信がFWにより遮断されるとの事ですが。
3→4は
LAN(ブラウザ)→LAN(IdP)
であり問題ない様に感じてしまいます。
むしろ
2→3が
インターネット(B社クラウドサービス)→LAN(ブラウザ)
となっているのでここで遮断されるのではと考えたのですが。
このあたりの理屈に関してご教示頂けないでしょうか?
とあります。
正解は3→4の通信がFWにより遮断されるとの事ですが。
3→4は
LAN(ブラウザ)→LAN(IdP)
であり問題ない様に感じてしまいます。
むしろ
2→3が
インターネット(B社クラウドサービス)→LAN(ブラウザ)
となっているのでここで遮断されるのではと考えたのですが。
このあたりの理屈に関してご教示頂けないでしょうか?
2021.02.18 16:58
箱さん(No.2)
detecさん(No.3)
この投稿は投稿者により削除されました。(2021.02.18 19:33)
2021.02.18 19:33
detecさん(No.4)
ちょっと訂正
主様は図1を前提に図2を見られているようです。
この場合、図2のブラウザは図1のクライアントです。
設問では、図1のクライアントがFWよりインターネット側にあった場合を聞いています。
主様は図1を前提に図2を見られているようです。
この場合、図2のブラウザは図1のクライアントです。
設問では、図1のクライアントがFWよりインターネット側にあった場合を聞いています。
2021.02.18 19:32
メタルさん(No.5)
★FE ブロンズマイスター
設問2に
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は,dことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中のeの送信で失敗し,利用者認証されないからである。
とかいてあります。
つづきます。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は,dことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中のeの送信で失敗し,利用者認証されないからである。
とかいてあります。
つづきます。
2021.02.19 20:17
メタルさん(No.6)
★FE ブロンズマイスター
また問題文の説明に、
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。
と書かれているところがあります。
続きます。
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。
と書かれているところがあります。
続きます。
2021.02.19 20:21
メタルさん(No.7)
★FE ブロンズマイスター
さらに
社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。
と書かれているところがあり、これらを総合すると、
3→4は
LAN (ブラウザ)→LAN(IdP)
であり問題ない様に感じてしまいます。
はい社内LANからでは問題ありません。
社外のネットワーク(ブラウザ)→LAN(IdP)
この場合弾かれます。
IPがファイアウォールのルールで弾くものと判断されるからです。
2→3が
インターネット(B社クラウドサービス)→LAN(ブラウザ)
HTTPS接続ですのでつながります。
1->2->3の流れは、TCPコネクションが社内LANのIPから開始してれば戻りのデータもファイアウォールが許可して通ると言う意味です。
そうしないとサイト閲覧できませんからね。
社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。
と書かれているところがあり、これらを総合すると、
>>
3→4は
LAN (ブラウザ)→LAN(IdP)
であり問題ない様に感じてしまいます。
はい社内LANからでは問題ありません。
社外のネットワーク(ブラウザ)→LAN(IdP)
この場合弾かれます。
IPがファイアウォールのルールで弾くものと判断されるからです。
>>
2→3が
インターネット(B社クラウドサービス)→LAN(ブラウザ)
HTTPS接続ですのでつながります。
1->2->3の流れは、TCPコネクションが社内LANのIPから開始してれば戻りのデータもファイアウォールが許可して通ると言う意味です。
そうしないとサイト閲覧できませんからね。
2021.02.19 20:57
メタルさん(No.8)
★FE ブロンズマイスター
仮に何らかの方法で、B社クラウドサービスのIPと同じIPから不正に社内LANに接続しようとしてもファイアウォールで弾かれます。
接続が外部のIPから開始されようとしているためです。
接続が外部のIPから開始されようとしているためです。
2021.02.19 21:02