ネットワークスペシャリスト試験問題解説(令和元年度 秋季 午後Ⅰ 問3)

ちくわ

こんにちは。ちくわです。前々回前回に引き続き、今回は問3の解説を行います。早速問題を見ていきましょう。(出典:令和元年度 秋季 ネットワークスペシャリスト試験 午後 問3)

問題文

画像1

画像2

コメント

午後Ⅰ最後の問題は、オフィス内LANのセキュリティに関する問題です。企業のセキュリティポリシーに反する(それが利用者の意図するしないに関わらず)PCに、システム的・人的にどう対応するかは、企業の情報システム部門にとって頭の痛い問題です。E社では、人的に対処を指示する対応をとってきましたが、システム的に対処できる範囲を拡げようとしています。

問題文

画像3

コメント

PCをネットワークに接続する際に、セキュリティ上の不備がないことを確認し、不備が発見された場合、接続を拒否するなどの動作をするネットワークを検疫ネットワークと呼んだりします(そういえば最近はあまり聞かなくなった気がします)。E社では、正常PC(Sエージェントの検査に合格した正規のPC)のみLAN上で通信ができるようにするため、2つの案が検討されています。

問題文

画像4

コメント・解説

例によって空欄穴埋め問題はここで考えましょう。まず、ARPの動作がわからないと正しい解が導けませんので復習しましょう。その上で、ARPスプーフィングとは、ARP要求に対して不正はARP応答を返すことで、LAN上のノードになりすますことでしたよね。これを利用して、排除対象PCに通信をさせないようにするためには、以下のようにします。
【排除対象PCを欺く】
排除対象PCが通信したい相手(アドレス解決対象)を解決するためのARP要求に対して、通信制限装置は送信元ハードウェアアドレスが自分自身であるARP応答を返します。すると、排除対象PCは目的の通信を通信制限装置に投げてしまいます。これで排除対象PCを欺くことに成功しました。
【アドレス解決対象を欺く】
こんどは排除対象PCに対する通信を通信制限装置に引き込むために、送信元ハードウェアアドレスが通信制限装置、送信元プロトコルアドレスが排除対象PCであるARP要求をブロードキャストします。そうすることで、アドレス解決対象を含む同一サブネット上のノードを欺くことができます。で、穴埋めの正解は、
(a) 通信制限装置のMACアドレス
(b) アドレス解決対象のIPアドレス
(c) 通信制限装置のMACアドレス
(d) 排除対象PCのIPアドレス
です。

問題文

画像5

画像6

コメント

運用設計と実装について記載されています。検疫ネットワークでは、不正PCをどのように正常PCに修復するかは考慮しておくべきポイントです。E社情シスは必要な対処のみが行える専用のセグメントを設けることにしたようです。それでは設問にまいりましょう。

設問

画像7

解説

企業でも家庭でもPCに割り当てるIPアドレスはDHCPサーバから、というケースは多いと思います。企業では通常複数のサブネットがあるので、サブネットごとにDHCPサーバを建てる(あるいはDHCPサーバにサブネット数ぶんのIFを設定する)のは現実ではないケースもあるでしょう。このような場合はDHCPリレーエージェントを使いますね。

ということで、機能名はDHCPリレーエージェントです。また、有効にすべきスイッチはL3SW1、L3SW2です。同機能を使ってIP通信になってしまえば、あとはDHCPサーバとL3SW(1または2)の1対1のIP通信になりますので、L3SW0に同機能の有効化は不要であることに注意してください。

設問

画像8

解説

(1) IPAの解答例は「IPアドレスを固定設定すれば、正常PC以外でも通信できる」です。当該サブネットで利用されているIPアドレスとゲートウェイがわかれば、固定設定することで通信が可能になってしまいます。

(2) IPAの解答例は「DHCPスヌーピングの制限を受けない設定」です。DHCPスヌーピングはDHCPサーバを通じて割り当てられたIPアドレスで通信しているかを監視することができますが、この対象はPCが接続しているポートのみに設定します。

(3) 先に解説しましたので、スキップします。

設問

画像9

解説

(1) については、まず、問題文から通信制限装置の仕様をおさらいします。
・LANポート数は4
・各LANポートの接続先はすべて異なるセグメントでなければならない
・タグVLANに対応可能(今回の設計では使用しない)
また、通信制限装置はL3SWに接続し、フロア間の配線を追加しないということでした。通信制限装置はPCが接続される各セグメントで、Layer2の通信を捕捉する必要があるため、各セグメントに足を出す(IFを持つ)必要があります。つまり少なくとも4ポートが必要です。ただし、タグVLANを使用せず、フロア間の配線は追加しない、ということでしたので、フロアごとに設置する必要があります。ということで正答は 2 です。

(2) 上記の通り、フロアごとに各セグメントに足を出しますので、LANポートは2つ使用します。設問にポートは番号の小さい順に使用する(若番(わかばん)から使用する、などと言ったりします)ので、正答は、
LANポート1 L3SW1
LANポート2 L3SW1
LANポート3 空き
LANポート4 空き
または、
LANポート1 L3SW1
LANポート2 L3SW1
LANポート3 空き
LANポート4 空き
です。

設問

画像10

解説

(1) 正答は「PC管理サーバ」と「メンテナンスサーバ」です。DHCPサーバは、L3SWのDHCPリレーエージェント機能でL3SW-DHCPサーバ間で通信しますので、PCが直接通信できる必要はありません。

(2) さて、対処用セグメントを設計したはいいですが、L3SW1およびL3SW2にセグメントを定義してあげただけでは実体としては不十分です。何が不十分でしょうか。一つは上流からのルーティング設定、もう一つはDHCPのアドレスプールです。正答は、
①機器:L3SW0
変更内容:対処用セグメントへのルーティング情報を追加する。
②機器:DHCPサーバ
変更内容:対処用セグメントのアドレスプールを追加する。
です。

おわりに

この問題は、セキュリティポリシーに適合しないPCに対し、ネットワーク接続を制限する、というシナリオで、ARPとDHCPの理解を問うものでした。登場する設計も802.1Xを利用した高度な(高価な)ものでなくとも一定の制限が実装できる、という、個人的には実務面でも大変参考になる良問でした。

これで午後Ⅰの解説は終わりです。ここまでお読みいただき、ありがとうございました!

この記事が気に入ったらサポートをしてみませんか?