(問題)

ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。

ア IPアドレスの変換が行われることによって，内部のネットワーク構成を外部から隠蔽できる。

イ 暗号化されたパケットのデータ部を復号して，許可された通信かどうかを判断できる。

ウ 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。

エ パケットのデータ部をチェックして，アプリケーション層での不正なアクセスを防止できる。

(調べた内容)

ア 不正解・・・NATの特徴を示している。

イ 不正解・・・復号機能は持たない。

ウ 正解・・・ステートフルインスペクションは往復が必要な通信を管理し、戻りの通信も動的に許可する仕組み。ステートレスファイアウォールがパケットを単独で検査する一方、ステートフルは過去の通信も考慮して通信制御を行う。

エ 不正解・・・WAFの特徴を示している。 

(参考)

https://news.mynavi.jp/siryou_hikaku/20210225-1750191/

https://www.juniper.net/documentation/jp/ja/software/junos/interfaces-next-gen-services/topics/concept/stateful-firewalls-overview-usf.html

<前提知識>

TLSとは・・・セキュリティプロトコルで、以下3つの役割を持つ。

・暗号化：第三者から転送されるデータを隠す

・認証：情報を交換する当事者が、それぞれ自称している本人であることを保証

・完全性：データが偽造または改善されていないことを確認

https://www.cloudflare.com/ja-jp/learning/ssl/transport-layer-security-tls/

<問題>

R3秋 問17

TLS1.3の暗号スイートに関する説明のうち，適切なものはどれか。

ア TLS1.2で規定されている共通鍵暗号AES-CBCを必須の暗号アルゴリズムとして継続利用できるようにしている。

イ Wi-Fiアライアンスにおいて規格化されている。

ウ サーバとクライアントのそれぞれがお互いに別の暗号アルゴリズムを選択できる。

エ 認証暗号アルゴリズムとハッシュアルゴリズムの組みで構成されている。

正解:エ

<調べた内容>

ア　AES-CBCはTLS1.3で廃止された。TLS1.3では、Triple DES、DSA、RC4、MD5、SHA-1、SHA-224、認証暗号（AEAD: Authenticated Encryption with Associated Data）でない CBC モードを削除。

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.0.1.pdf

イ　IETFによって規格化されている。

https://eset-info.canon-its.jp/malware_info/term/detail/00037.html

ウ　別にはできない。実際の TLS 通信においては、サーバとクライアント間での事前通信（ハンドシェイク）時に、 両者の合意により一つの暗号スイート（TLS1.3 の場合は「暗号スイート」の他、「鍵交換」と「署 名」も含めて）を選択する。

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.0.1.pdf