単に原理を覚えるだけではなく、ログを用いてそれを具体的に説明できるスキルが出題されています。
なぜかというと、現場でのトラブルシューティングや問題解析の際、ログ情報がとても価値あるヒントとなるからです。
令和5年春午後1問2設問1の採点講評からの引用になりますが
設問 1 は,正答率が低かった。FTP 通信の動作を理解し,“アクティブモード”,“パッシブモード”のデータコネクションがそれぞれ FW のログにどのように記録されるかについて理解してほしい。
とあり、出題側もログ分析力を求めています。
FTPの問題がでるの?(慌てました)
この設問を見て
えーここでこの出題って焦りました。
どっちがパッシブでどっちがアクティブだっけ?
という状態でした。初老あるあるかもしれませんけど
通信の動きはイメージできているのですが、名称とイメージがリンクできないという状態でした。(笑)
ファイアウォールがある場合、パッシブモードの方が主流となっています。その理由は、ファイアウォールは不正なアクセスを防ぐための壁として機能ですから、外からの予期しない接続要求、つまりアクティブモードでのサーバーからのデータ接続の要求をブロックすることが多いからです。
逆にパッシブモードでは、クライアント側からの接続要求がサーバーに送られるため、ファイアウォールの設定が比較的簡単になるのです。
ログで動作を追ってみる
例えば、次のようなログがあったとしましょう。
2023-08-22 13:45:01 CONNECT src=192.168.0.10:12345 dst=203.0.113.10:21
2023-08-22 13:45:03 CONNECT src=192.168.0.10:12346 dst=203.0.113.10:50000
これは何を意味するのでしょうか?
まず、最初の行を見ると、送信元(src)がIPアドレス 192.168.0.10 からのポート番号 12345 で、送信先(dst)がIPアドレス 203.0.113.10 のポート番号 21 への接続要求があったことを示しています。
ポート番号 21 はFTPのデフォルトのコントロール接続ポートで、このログはFTPサーバーへの接続要求を示しています。
次に、2行目のログを見てみましょう。こちらは送信元が 192.168.0.10 からのポート番号 12346 で、送信先が 203.0.113.10 のポート番号 50000 への接続要求です。このポート番号 50000 は、FTPのデータ転送用のポートの一例です。つまり、こちらはデータの転送要求を示しています。
これを見ると、FTPのアクティブモードやパッシブモードのどちらの動作モードで動いているのかを推測することができます。パッシブモードの場合、クライアントがサーバーの提供するポートへ接続するので、このログはパッシブモードでの動作を示している可能性が高いです。
ログを読む際のコツは、送信元と送信先のIPアドレスとポート番号をしっかり確認し、それをもとにFTPの動作モードや動作の流れをイメージすることです。
ログを上手に解釈することで、その動きや背後にある意味を理解することができるようになります。
コメント