このエントリーをはてなブックマークに追加

社内からインターネットにアクセスする時に、プロキシサーバを利用していて、そこでウィルスチェックとかログの取得をすることで、社外への情報流出を出来ないようにしようとしているが、httpsの通信の場合は暗号化されてるから、従業員が本気だせばファイルとか社外におくれちゃってヤバいから対策しとこうぜって話。

設問1
(1)難易度1
「インターネットへのアクセス管理ルール」については問題文の1ページ目に書いてあって、そこでは「アクセスログ」と「送信された内容」を取得しているらしい。httpsの通信はヘッダもボディーも暗号化されるので、これらのログが取得できないはず。だから禁止していると考えた。

(2)難易度2
1,あれっ? これ難しくない?? Proxy-Authorizationヘッダーの場所とか知らんし。まあ、仮に認証できなかったら、そもそもSSLでアクセスできないじゃんと言う理由でこれはできると判断。

2,これは暗号化の対象なので無理
3,これも暗号化の対象なので無理
4,FQDNに基づいたフィルタリングなので可能。ちなみに通信間でgetのログは見れないのは有名な話。
5,httpsのボディは暗号化されているのでウィルスチェックはできない。

(3)難易度2
まずGETとPOSTが違うということは分かる。あとはCONNECTかSSLがのこるが最初のリクエストはと聞かれているのでCONNECTを選択した。

設問2
(1)難易度1
中間者攻撃 or Man-in-the middleは得点源。

(2)難易度2
ブラウザがやることって、証明書が信頼できる認証局から発行されているかを確認することと、コモンネームとアクセスしているDQDNが一緒かどうか確認することくらいしか思い浮かばないのでそれを記述。

設問3
(1)難易度1
Lプロキシのルート証明書をブラウザにインストールする必要がある。firefoxでオレオレ証明書だった場合とかににている。

(2)難易度1
なんか理由が(1)の逆で気持ち悪いが、要は証明書2が信頼できる認証局から発行したものかどうか分からないから。

(3)難易度2
技術的な詳細はむずかしそうだけど、アクセスしているFQDNと証明書のコモンネームが一緒じゃないと、そもそもアクセスしてる先が本物かわからないと思った。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス