読者です 読者をやめる 読者になる 読者になる

情報セキュリティスペシャリスト受験ノート

情報セキュリティスペシャリストの試験勉強用のノートです。

プロキシ経由のWebアクセスに関する問題

02.PKI

【H23秋SC午後1問3】

 

1.T社におけるインターネットサイトへのアクセスについて

 

  • 業務目的に限りインターネット上のWebサイトへのアクセスを許可
  • 各従業員のインターネットサイトへのアクセスログを取得している
  • アクセスログ取得のためにインターネットサイトに向けて送信された内容をログとして取得している
  • 本社及び各支社のLANに設置したPCからは直接インターネットにアクセスできないように、ルータ及びファイアウォールを設定している。
  • ブラウザからインターネットサイトへのアクセスは、DCに設置したプロキシを経由して行う。


【プロキシで利用している機能の利用目的】
(1)利用者認証機能

  • ブラウザがHTTPリクエストのProxy-Authorizationヘッダに付与し、Uプロキシに送信した認証情報を、各従業員の利用者IDとパスワードにてらして、アクセスした利用者を識別し認証する。

(2)アクセスログ取得機能

  • HTTPリクエストごとに、アクセス日時、アクセス元IPアドレス、利用者ID,リクエストライン、インターネットサイトのIPアドレス、受信データサイズ、インターネットサイトからのレスポンスコード

(3)送信内容取得機能

  • インターネットサイトにデータが送信された場合その内容を取得する

(4)フィルタリング機能

  • インターネットサイトへのアクセスを業務目的だけに制限する。
  • HTTP通信ではブラックリスト方式、HTTPS通信ではホワイトリスト方式で、インターネットサイトのホストのFQDNに基づいたアクセス規制をする。

(5)ウイルスチェック機能

  • インターネットサイトからのウイルス感染やインターネットサイトへのウイルス送信を防止する。送受信データ内のウイルスをチェックする。

インターネットへのアクセス管理ルールに基づき、インターネットサイトへのHTTPS通信によるアクセスを原則として禁止している理由
⇒ ログを平文で記録できないから。

 

HTTPS通信を行うことで上記の利用目的を達成できなくなるもの
⇒ (2)、(3)、(5)

 

ブラウザのURL入力欄にURLを入力したときに、ブラウザがプロキシに最初に送信するHTTPメッセージのリクエストライン
⇒ 入力したURL:https://〇〇.co.jp/index.html
⇒ CONNECT 〇〇.co.jp:443 HTTP1.1

 

2.HTTPS通信時の安全性の確認について

 

HTTPS通信でWebサーバのサーバ証明書の正当性を確認しないまま、ブラウザがアクセスを継続すると、偽サイトに誘導された場合でなくても、攻撃を受けて、通信を盗聴される可能性がある。
⇒ 中間者攻撃

 

HTTPS通信時にプロキシで詳細なログを取得するため、Lプロキシを導入する。

【Lプロキシを利用した場合のHTTPS通信】
ブラウザとLプロキシ間、及びLプロキシとWebサーバ間において、それぞれ独立の暗号化された通信路を確立する。
Lプロキシは証明書1を受け取ると、ブラウザには転送せずに、自信で証明書1の検証を行う。
次にLプロキシは認証局として証明書1と同じコモンネームのサーバ証明書(証明書2)を新たに作成し、ブラウザに送る。

<図4>略

ブラウザがLプロキシ経由でWebサーバとHTTPS通信を行うとき、ブラウザが暗号化してLプロキシに送信したデータはLプロキシで一旦複合される。Lプロキシでアクセスログの取得、送信内容の取得及びウイルスチェックが行われた後、送信データは再度暗号化されて、Webサーバに送信される(受信データも同様)。

 

サーバ証明書の検証においてブラウザが確認すべき内容のうち、中間者攻撃のような攻撃への対策となるもの
サーバ証明書のコモンネームとアクセス先のホスト名が一致すること
 ・サーバ証明書がブラウザで信頼する認証局から発行されていること

 

3.Lプロキシについて

 

ブラウザは証明書2の検証において、証明書2の正当性を確認できないため、事前にブラウザで実施すること
⇒ プロキシのルート証明書を信頼するルート証明書としてインストールする

 

上記を実施しないとブラウザが証明書2の正当性を確認できない理由
⇒ 証明書2はブラウザが信頼する認証局が発行したものではないから

 

証明書2について、Lプロキシ自身のサーバ証明書をLプロキシが新たに作成する必要がある理由
⇒ サーバ証明書のコモンネームとアクセス先のホスト名を一致させるため