iTAC塾講義ノート
|
コース名
|
テクニカルエンジニア(ネットワーク)塾Sコース12回目(大阪)
|
講師
|
みずおか先生
|
日時
|
2000年8月6日
10:00〜17:00
|
場所
|
クレオ大阪東
|
内容
|
過去問対策4 |
(概要)
今回の講義は、
セキュリティを中心に過去の問題(今回は平成8年 午後1 問3、平成10年 午後1 問5、平成10年
午後2
問3 リンクはこちら)を解きました。
以下にその内容をまとめます。
今回のセキュリティ特集です。昨日の運勢安心計画の「安」の部分です。
セキュリティは過去問を見てもわかりますように、平成8年から各年に出題されていて、毎年進歩しています。
平成8年午後1 問3 図1
元祖はこのように、ネットワークは非武装セグメントだけでした。
悪いヤツがいない時代だったので、内外は自由にやりとりできました。
平成8年午後1 問3 図3
それに対して、ファイアウォール(この場合ルータ0)を設けて、内部から、外部からの通信に対して
許可したものだけ通過させるシステムになりました。
平成9年午後1 問4 図2
平成10年午後1 問5 図3
さらに、平成9,10年では、バリアセグメント、非武装セグメント(DMZ)、武装セグメント(内部セグメント)の
3つの構成になっています。(平成10年では、ファイアウォールが3ポートになっていますが、同じ意味です)
パソコンから直接インターネットに接続させないようになっています。逆に外部からPCへの直接侵入も無理です。
パソコンからだと、最初のルータ(平成9年を例にとると、ルータ12)でフィルタリングされ、次のファイアウォールで、
完全に遮断されます。それでは、外部に出れません。それで出てくるのが、非武装セグメントにある「プロキシサーバ」です。
プロキシサーバで、アドレスを置き換えて、送り出してくれます。
問題本文へのリンク
Aコースでの解説へのリンク
セキュリティ問題にあまり数字は出てきませんが、いちおうチェックしてください。
あと、プロトコル関係は重要になりますのでこれもチェックしておいてください。 |
設問1
本文中の【 a 】〜【 e 】をそれぞれ10字以内の適切な字句で埋めよ。
・用語:全体でのウエイトは小さい。用語の問題を見て、全体をイメージしないように。
a:盗聴(漢字で書けますか?)
あと、なりすまし、改ざんでもOKです。
(ある過去問集の回答には"不正アクセス"とありましたが、これは公衆電話でも出来ます。)
b:暗号化
暗号化された言葉を元に戻すことを"ふくごう"と言います。その"ふくごう"を漢字で書いてみてください。
"ふく"は"複"ではありません。"復"です。
話は飛びますが、HDLCでは一次局、二次局そして"ふくごうきょく"がありました。
その"ふくごう"も漢字で書いてみてください。これは、"複合"です。
c:認証
問題にはありませんが・・・
>これにはログインごとに有効なパスワードが変更されるような仕組みの利用が考えられる
とありますが、これはなんと言うでしょう?
(ワンタイムパスワード
です)
d:認証に使われる機能を3つ挙げてみましょう!
コールバック、発信者番号通知(今で言うナンバーディスプレー)、あとISDNだったら、
閉域接続(グループセキュリティ)。今回はコールバックが当てはまります。
e:アクセスログの採取(またはアクセスログ) |
(解答)
a.盗聴 OR なりすまし OR 改ざん
b.暗号化
c:認証
d:コールバック
e:アクセスログの採取
設問2
現在のネットワークに関する次の小問に答えよ。
(1)セキュリティの観点からは、社外に公開するIPアドレスは必要最小限に留めること
が望ましい。現在のネットワークでG社が社外に公開せざるを得ないIPアドレスは何
か。20字以内で述べよ。
外に教えなければならないのは、ルータaとメールサーバ0です。
【雑談】
ここで問題ですが、
[ PC ] |
--- |
[ 自分のメールサーバ ] |
--- |
[ あて先のメールサーバ ] |
--- |
[ あて先のメールBOX ] |
レイヤ |
プロトコル |
アプリケーション層 |
SMTP |
トランスポート層 |
TCP |
こういう通信の時に、SMTP、TCPはそれぞれどういうコネクションを貼るのでしょう?
POPのDump解析パケット6,7,8で3way
handshakeをしてました。
この相手は自分自身のメールサーバでした。
TCPレベルでは、自分のPCと自分のメールサーバでやります。
SMTPでは、自分のPCと相手のメールBOXとでコネクションを貼ります。
だから、「・・・Unknown」のメッセージが返ってくるわけです。
☆
SMTPはメールを送信するプロトコルではありません。転送するプロトコルです。
PC側から見れば、送信ですけど、サーバから見れば受信になります。
POPはその逆です(メールを取りに行くプロトコルですけど、あくまでもPC側から見たら・・・です。)
|
(解答)
ルータaとメールサーバ0(12)
(2)社員のメールボックスをメールサーバ0に登録し直すと、その社員は電子メールが
利用できなくなる。この理由をルータ0のパケットフィルタリングの設定に基づいて
30字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
理由を問われています。
上でも書きましたように、クライアントから見れば、メールを送る・・・SMTPで、
受信はPOP3とかIMAP4でした。
しかし、本題本文にはSMTPしか出てきません。なぜでしょう。
この会社では独自のプロトコルを利用しています
→ A-mail
表1のフィルタリングテーブルを見てみましょう。
表1 ルータ0のパケットフィルタリングの設定
動作 |
送信元IPアドレス |
あて先IPアドレス |
あて先のTCPポート番号 |
許可 |
x.y.20.240 |
x.y.1.240 |
SMTP |
許可 |
x.y.1.240 |
x.y.20.240 |
SMTP |
拒否 |
0.0.0.0〜255.255.255.255 |
0.0.0.0〜255.255.255.255 |
0〜65535 |
フィルタリングテーブルは、一番下の列を全部拒否になっています。
そして、上から順に見ていって、該当したら抜けるようになっています。
表1を見ると、SMTPは許可しているけど、受信(A-mail)は許可していないのが分かります。
それが問題です。
|
(解答)
フィルタリングテーブルで、A-mailを許可していないため(30)
(3)メールサーバ0はG社とインターネット間のメール交換を行うためだけに設置され
ている0メールサーバ1が直接インターネットとのメール交換を行った場合に比べ、
この方式がG社のネットワークセキュリティ上優れている点を40字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
優れている点を問われています。
優れている点なので、メールサーバ0が無くて、直接メールサーバ1とやりとりした場合
の欠点を否定すれば回答になります(鉄則!)
メールサーバ0が無くて、直接メールサーバ1とやりとりした場合の問題点
・外部 → 内部
内部セグメントの他のPCにもアクセス可能になります。
また、外部にアドレスを公開することになりますので、それを使って悪さをする人も出てくるでしょう。
・内部 → 外部
IPパケットには送信元IPアドレスがあります。
その送信元IPアドレスによって、内部のIPアドレスがばれてしまいます。
だから、プロキシでIPアドレスを置き換えるのです。
IPアドレスがばれて、攻撃されても、プロキシが死ぬだけで、他のネットワークには影響を与えません。 |
(解答)
内部ネットワークのIPアドレスを公開しなくて済み、外部からの攻撃が防止できる点(39)
設問3
“アクセスサーバをLAN0に収容する案(図3)"に関する次の小問に答えよ。
(1)G社の利用形態から見て、IPアドレスをその都度付与する方式が、クライアントご
とに固定する方式に比べ優れている点を20字以内で述べよ。
問題に入る前に・・・
IPアドレスをその都度付与する方式・・・これを何と言うでしょう?
→ DHCPでしたね!
☆
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
優れている点を問われています。
「DHCPの特長」
1つは、IPアドレスが節約できる点です。
IPアドレス固定の場合は、IPアドレスが20個しか無ければ、20個しか付与できません。
しかし、DHCPでは何台でもかまわないです。
もう一つはセキュリティです。
IPアドレスが毎回毎回変わるので、身元が特定しにくいという有利点があります。
回答としてはG社の利用形態から見れば、IPアドレスが節約できる点の方がいいでしょう。
|
(解答)
IPアドレスが節約できる点(13)
(2)メールサーバ1に所属する電子メールの利用者がアクセスサーバ経由で電子メール
を利用するとしたとき、必要となるルータ0のパケットフィルタリングを定義した表
2の【 f 】〜【 i 】をそれぞれ適切な字句で埋めよ。
表2 ルータ0のパケットフィルタリングの追加
動作 |
送信元IPアドレス |
あて先IPアドレス |
あて先のTCPポート番号 |
【 f 】 |
【 g 】 |
【 h 】 |
【 i 】 |
許可 |
x.y.20.240 |
x.y.1.240 |
SMTP |
許可 |
x.y.1.240 |
x.y.20.240 |
SMTP |
拒否 |
0.0.0.0〜255.255.255.255 |
0.0.0.0〜255.255.255.255 |
0〜65535 |
まず、「フィルタリングテーブルは一番下の列を全部拒否になっています。
そして、上から順に見ていって、該当したら抜けるようになっています。」
と言いました。つまり【 f
】には許可が入ります。
公衆電話網からのメールを許可しますから、
g:x.y.20.180〜x.y.20.199 h:x.y.1.240
i:A-Mailが入ります。
☆ これでは、公衆電話網 → LAN
のみ許可して、その返りは許可していません。
これでいいのでしょうか?
本文中に、
>コネクション確立要求以外のパケットに対しては、ルータ0はパケットフィルタリングを行
>なわず、パケットを転送する。
つまり、返りは確立要求以外のパケットなのでフィルタリングされません。
|
(解答)
g:x.y.20.180〜x.y.20.199
h:x.y.1.240
i:A-mail
(3) "LAN1に収容する案"と比較し、アクセスサーバを "LAN0に収容する案"が
優れている点を、外部ネットワークからの不正なアクセスに対する防御という観点か
ら40字以内で述べよ。
(解答)
公衆電話網からの不正アクセスをルータ0側だけで防御できる点(29)
(4) "LAN1に収容する案"と比較し、アクセスサーバを"LAN0に収容する案"で
運用上注意すべき点を、40字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
運用上注意すべき点を問われています。
運用性のキーワードは運用管理です。
運用管理には大きく3つあります。(3原則)
・日常管理(アクセスログの採取など)
・定期管理(データのバックアップなど)
・随時管理(障害対応など)
随時・・・漢字で書けますか?常用漢字ですので減点対象です。
それぞれについて考えてみると答えが見えてきます。
もし、ルータaでフィルタリングしてなかったらどうなるでしょう?
→ G社は無料のプロバイダになってしまいます。
これを使って回答してみます。
|
(解答)
ルータaのフィルタリングテーブルの運用管理に注意する。(26)
回答としてはちょっと弱いなぁ・・・Tom
問題本文へのリンク
Aコースでの解説へのリンク
☆☆☆ 暗号化方式について
☆☆☆
暗号化方式には2種類あります。
・秘密鍵暗号化方式
・公開鍵暗号化方式
暗号が無い文章のことを平文(Clear
Text)と言います。
この平文を暗号文にするのが暗号化鍵、暗号文を平文に戻す復号化鍵です。
秘密暗号化方式は
暗号化鍵と復号化鍵は同じですが、公開暗号化方式は異なります。
秘密暗号化方式:
暗号化鍵 = 復号化鍵
公開暗号化方式:
暗号化鍵 ≠ 復号化鍵
つまり、今A,B,C,Dの4人がいて、それぞれが暗号化してメールを送る場合、
秘密鍵暗号化方式では、
A-B、A-C、A-D、B-C、B-D、C-Dと6個鍵が必要になります。
対角線の数だけ必要ですので、2乗に比例します。
一方、公開鍵暗号化方式は
|
送信側 |
受信側 |
A |
公開鍵 |
秘密鍵 |
B |
公開鍵 |
秘密鍵 |
C |
公開鍵 |
秘密鍵 |
D |
公開鍵 |
秘密鍵 |
公開鍵 × 4 、 秘密鍵 × 4
の8つ鍵が必要になります。
これは、2列の表ですので、2倍に増えていきます。
公開鍵のルールはAさんの公開鍵で鍵を掛けたら、Aさんの秘密鍵でないと開けれません。
ここで、AさんからBさんへメールを送る場合、真ん中に悪者のCさんがいた!という設定で
説明していきます。
|
|
Cさん |
|
|
|
|
↑↓ |
|
|
Aさん |
--- |
--×-- |
--> |
Bさん |
平文のまま送ると、Cさんに読まれてしまいます。これをセキュリティ用語で"盗聴"と言います。
また"なりすまし"も出来ます。
(この"盗聴"して"なりすま"すことを"改ざん"と言います)
それを防止するために、暗号化します。
AさんはAさんの公開鍵とAさんの秘密鍵、BさんはBさんの公開鍵とBさんの秘密鍵を持っています。
公開鍵はみなさんが知っています。
@AさんはAさんの秘密鍵で暗号化してメールを送ります。
ABさんはAさんの公開鍵で復号します。
これでは、真ん中にいるCさんもAさんの公開鍵を知っているので盗聴できます。
しかし、Aさんの公開鍵で復号できるメールはAさんの秘密鍵でしか送れません。
つまり、これでなりすましの防止、否認の防止が出来るわけです。
→電子署名とかディジタル署名とか言われます。
Aさん |
|
Cさん |
|
Bさん |
[ 平文] |
|
盗聴可能
(なりすましは不可能) |
|
[ 平文] |
↓ |
|
↑ |
|
↑ |
Aさんの秘密鍵で
暗号化 |
|
Aさんの公開鍵で
復号化 |
|
Aさんの公開鍵で
復号化 |
↓ |
|
↑ |
|
↑ |
[ 暗号文 ] |
-- |
--------×-------- |
-- |
[ 暗号文 ] |
この状態では、盗聴はされてしまいます。
では、どのように暗号、復号化すればいいでしょう?
Bさんの公開鍵で暗号化して、Bさんの秘密鍵で複合化します。
Aさん |
|
Cさん |
|
Bさん |
[ 平文] |
|
盗聴も
なりすましも不可能 |
|
[ 平文] |
↓ |
|
|
|
↑ |
Aさんの秘密鍵で
暗号化 |
|
|
|
Aさんの公開鍵で
復号化 |
↓ |
|
|
|
↑ |
[ 暗号文 ] |
|
|
|
[ 暗号文 ] |
↓ |
|
× |
|
↑ |
Bさんの公開鍵で
暗号化 |
|
Bさんの秘密鍵を
知らない |
|
Bさんの秘密鍵で
復号化 |
↓ |
|
↑ |
|
↑ |
[ 暗号文 ] |
-- |
--------×-------- |
-- |
[ 暗号文 ] |
これが、公開鍵の基本です。 |
設問1
インターネットのセキュリティに関する次の記述中の 【 ア 】〜 【 オ 】に入れる適
切な字句を答えよ。
インターネットを利用して情報交換を行う場合、様々なセキュリティ対策が必要にな
る。例えば、インターネット上を流れるデータは第三者によって【 ア 】される危険性
があるので、情報の滴えいを防ぐためにはデータの暗号化が必要になる。また、他人に
【 イ 】て悪事を働く第三者の侵入を防ぐためには、ユーザ認証が必要となる。
インターネットを利用して商取引を行うEC(エレクトロニックコマース)では、契
約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方法に、
【 ウ 】がある。【 ウ 】は、@第三者によって偽造できない。A受取人によっても偽
造できない。B【 ウ 】を行った本人が後でそれを【 エ 】できない、などの機能をも
つ。そのほか、コンピュータウイルス対策も重要な課題である。ウイルス対策としては、
防疫、感染の検出、【 オ 】などがある。
回答については、上の説明でまかなえるので、省略します。 |
(解答)
ア:盗聴
イ:なりすまし
ウ:ディジタル署名
エ:否認
オ:ウイルスの駆除/再発防止/切り離し
("・・・などがある"なので、答えは一つではありません)
設問2
リモートアクセスに関する次の問いに答えよ。
(1)図2に示したアクセスサーバでの暗号方式は、何と呼ばれるか答えよ。
広い意味では、公開暗号化方式です。
しかし、これでは回答として弱いです。CHAP(ちゃっぷ:Challenge Handshake Authentication Protocol)方式
の方がいいでしょう。参考リンク : ASCII24 - アスキー デジタル用語辞典 - CHAP
チャレンジコードと返ってきたデータの複合結果を照合する方法です。この方式はPPPにも含まれています。
ある過去問集の回答では"ワンタイムパスワード
"としています。
出先のパスワードは一定だが、チャレンジコードを"パスワード"と考えると、その都度Randomに変わるので、
そう記入したのでしょう。 |
(解答)
CHAP方式
(2)この方式の場合、アクセスサーバではどのような処理を行ってユーザ認証を行うか。
25字以内で述べよ。
(解答)
チャレンジコードと返信データの複合結果を照合する。(24)
(3)SI業者の提案に従いアクセスサーバを導入した場合、想定できるユーザ管理上の問
題点を、35字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
ユーザ管理上の問題点を問われています。
iTAC名物、まずは6割の回答を作りましょう!
"アクセスサーバ"と"SI業者の提案"をキーワードで検索します。
>本社及び各営業所のアクセスサーバにはそれぞれ所属する社員だけの情報を登録する。
とあります。回答として、
本社及び各営業所に所属しているアクセスサーバにしか個人情報が無い点(33)
そこから発展して、想定できる問題点を考えてみましょう。
出張時には、個人情報が無いため認証が取れずアクセスできません。
また、転勤時には個人情報の変更手続きもややこしそうです。
その辺を回答すればいいでしょう。 |
(解答)
出張時には、個人情報が無いため認証が取れずアクセスできない点(30)
転勤時に個人情報の変更手続きがややこしくなる点(23)
設問3
インターネット接続に関する次の問いに答えよ。
セキュリティの問題はファイアウォールが絶対です!!
図3をみるとファイアウォールは3ポートになっています。
これは、外部から見るとaからcには直接繋がってません。
aからb、bからcです。いいですね? |
(1)今回のファイアウォールへの設定で、表中の【 カ 】〜【 コ 】に入れる適切なア
ドレスを、図3のa〜mから答えよ。
表 ファイアウォールの設定内容(一部)
ポート番号
サービス名/
プロトコル名)
|
インターネット→非武装セグメント
|
非武装セグメントー内部セグメント
|
状態
|
送信元アドレス
|
あて先アドレス
|
状態
|
送信元アドレス
|
あて先アドレス
|
80(HTTP)
|
許可
|
any
|
【 カ 】
|
禁止
|
- |
- |
25(SMTP)
|
許可
|
any
|
【 キ 】
|
禁止
|
- |
- |
53(DOMAIN)
|
許可
|
any
|
【 ク 】
|
禁止
|
- |
- |
1521(データベー
ス連携)
|
禁止
|
- |
- |
許可
|
【 ケ 】
|
【 コ 】
|
その他
|
禁止
|
- |
- |
禁止
|
- |
- |
(解答)
カ:d(記号で答えます
"wwwサーバと書きませんでしたか?)
キ:e
ク:f
ケ:d
コ:h
(2)利用予定のミドルウェアは、通信データのあて先ポート番号を変化させてしまうが、
あて先ポート番号が変化した場合、ファイアウォール設定上どのような問題が発生す
るか。30字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
どのような問題が発生するかを問われています。
その都度あて先ポート番号が変わるので、ファイアウォールのフィルタリングテーブルが設定できません。
(今の設定では禁止になってしまいます)
|
(解答)
ファイアウォールのフィルタリングテーブルが設定できない点(28)
(3)(2)の問題を解決するためには、WWWサーバを内部セグメントに設置する方法があ
る。この場合、内部セグメントのアドレス変更が必要になるが、どのような変更が必
要になるか。20字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
どのような変更が必要になるかを問われています。
wwwサーバを内部セグメントに置く、つまり内部セグメントのネットワークを外部に公開することになります。
これは大問題です!!でも問題を問題視してもなんなんで、これは置いといて、、、
バリアセグメントは公開(プライベート)アドレスです。
内部セグメント(武装セグメント)は一般的にプライベートアドレスです。
非武装セグメント(DMZ)は会社の方針にのっとって
クローバルアドレス/プライベートアドレスのどちらかにします。
wwwサーバを内部に置くってことは、wwwサーバをグローバルアドレスにしなければなりません。
ってことは、内部セグメントを公開アドレスにしなければなりません。 |
(解答)
内部セグメントを公開アドレスに変更する(19)
(4)図3の場所にウイルス防御サーバを設置した場合、インターネットからのウイルス
侵入が防げない通信がある。どのような通信のデータにウイルスチェックが行われな
いか。20字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
どのような通信のデータにウイルスチェックが行われないかを問われています。
本文に書かれたプロトコルをチェックしてみましょう!
>ウイルス防御サーバは、LAN上を流れるHTTP、FTP、SMTPのプロトコルで通
信するデータに対してウイルスチェックを行い
つかっているプロトコルは、
>SMTPとPOPを使用した電子メールなど
です。ウイルスチェックに掛からないプロトコルは?答えは分かりましたね。
|
(解答)
POPで受信するメールのデータ(15)
問題本文へのリンク
Aコースでの解説へのリンク
問題に行く前に・・・
まず、図7を見てください。
図7 Bビルネットワークの改善案 |
↑
|
|
|
|
非武装セグメント
|
|
|
|
|
|
↓ |
↑
|
|
|
|
武装セグメント
|
|
|
|
↓ |
この図で、公衆電話網からみたファイアウォールのセグメント分けをして見てください。
営業サーバの横にあるファイアウォールを境に外部が非武装セグメントで、
内部が武装セグメントになります。バリアセグメントがありませんね?
で、続いて図8を見てください。
(前略)
ルータをもう1台確保し、図7の【 j
】に設置する。これによって、公衆電話網及び
ほかのサイトLANからの攻撃を、両方のルータによるフィルタリングで防御することができる。 |
図8 改善案(図7)に対する情報システム部の回答
とあります。ファイアウォールをどこに置きましょう?
【 j 】 には (キ)が入ります。
なぜ?
と聞かれれば「バリアセグメントがないから」です。
こういう問題がでたら、まずセグメント分けをしてみましょう。
3つなら問題ありませんが、2つなら「ん?変だ」と考えてみましょう。 |
設問1
A-NETのセキュリティポリシに関する次の問いに答えよ。
(1) "サイト内アドレス"を運用するために、基幹ルータで必要となる設定内容を30字
以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
設定内容を問われています。
☆ A-NETの構成
"サイト内アドレス"って何でしょう?
>A-NETは、クラスAのプライベートアドレスを採用している。
>A-NETに接続されていないLANや、ほかのサイトとは通信を行わないLANがサイト
LANに含まれている場合もある。このようなLANのために、情報システム部では"サイ
ト内アドレス"という特別なアドレス範図を、クラスAのプライベートアドレス内に定
義している。すべてのサイトは、サイト内の通信用に限り、与えられたアドレス以外に、
サイト内アドレスを自由に使用することができる。
つまり、A-NET全体では、クラスAのプライベートアドレス(10.xx.xx.xx)を使用していて、
その中で"サイト"にアドレスを割り振っています。そのサイトから、外のサイトに通信する
場合は、グローバルアドレス的に使用し、しない場合はプライベートアドレス的
(これを"サイト内アドレス"と呼んでいる)に使用します。
つまり、"サイト内アドレス"で外に出れないように、フィルタリングしてやる必要があります。 |
(解答)
"サイト内アドレス"を持つパケットをフィルタリングする機能(29)
(2)A-NETの加入単位として、会社の組織(例えば事業部・部)を採用しなかった
理由を30字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
理由を問われています。
なぜ、事業部、部で加入単位が1:1になっていないのか?
です。
1つの部で2つのサイトかもしれませんし、2つの部で1つのサイトかもしれません。
>ネットワークを相互接続しながら、A-NETは構築されてきた。
>A社のB事業部は、BビルとB工場の二拠点に分かれている。
から、
・順々に加入していったため
・1つの事業部が2拠点に分かれているため
が原因と考えられ、その2つをまとめて回答するといいでしょう。
|
(解答)
順々に加入してたり、1事業部が2拠点に分かれていたりしたため(30)
(3)加入単位である"サイト"と会社の組織単位が一致しないことで生じるネットワー
ク運用上の問題点を25字以内で述べよ。
(4)(3)の問題点に対し、A-NETはどのような対策を講じているか。40字以内で述べ
よ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
3)で運用上の問題点を問われ、4)でその対策を問われています。
ですから、先に4)の対策を探し出して、何が問題だった?で3)を解く方がいいようです。
"運用""サイトLAN"をキーワードに図2のセキュリティガイドを見てみましょう。
>3.サイトLANの運用
>3.1サイトLAN管理者の権限と責務
>3.2 サイトLAN運用ポリシの考え方 |
図2 A-NETセキュリティガイドの構成
つまり対策はサイトLAN管理者に権限と責務を与えた・・・でしょう。
では、逆に問題点は対策を否定して、
サイトLAN管理者の権限と責務が明確になっていなかったことでしょう。
|
(解答)
3)サイトLAN管理者の権限と責務がわかりにくい点(23)
4)サイトLAN管理者の権限と責務をセキュリティガイドで明確にした。(31)
(5)図5中の【 a 】〜【 d 】に入れる適切な字句を、それぞれ30字以内で答えよ。
・用語:全体でのウエイトは小さい。用語の問題を見て、全体をイメージしないように。
これは午後1的な問題です。
a,b
認証手段を3つ挙げてください。
コールバック、発信者番号通知、グループセキュリティ(閉域接続)
コールバックは問題文に出ています。グループセキュリティはISDNのサービスですので使用できません。
では、あとひとつ・・・
ワンタイムパスワード 、CHAP機能でいいでしょう。
これらは「通常用いられる"あらかじめ登録されたアカウントとパスワードの照合"」とは別と考えられます。
c、d
ログ監視
この2つは定番です。
cでログを採取して、dでチェックしてください。
これ以上に回答はありません! |
(解答)
a:発信者番号通知(7)
b:ワンタイムパスワード
(10)
c:ログの採取(5)
d:ログのチェック分析(9)
設問2
BビルサイトLANの見直しに関する次の問いに答えよ。
(1)A-NETセキュリティポリシに従い、技術情報サーバを守るために必要なセキュ
リティ対策を二つ挙げ、それぞれ20字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
対策を問われています。
A-NETセキュリティポリシに従い・・・
ですから、図4"2.A-NETのセキュリティポリシ"の一部(要約)が憲法です。
その中で、セキュリティ対策については一番下にあります。
[サイトLANの運用ポリシとセキュリティ対策]
I サイトLAN管理者は、サイトLANの運用ポリシを定め、セキュリティ対策を計画し、それを実行し
なければならない。
J サイトLANの運用ポリシでは、どのサーバが、どの範図のクライアントへ、どのようなサービスを
提供するかを明確にしなければならない。さらに、サーバを守るためのセキュリティ対策は、次に示
す基準を満たさなければならない。
・社外からアクセス可能なサーバ(社外公開サーバ):
社外からアクセス可能なサーバが、サイトLAN上に存在してはならない。
・他サイトからアクセス可能なサーバ(全社サーバ):
ユーザやサービスを可能な限り限定すること。また、ログを利用し、他サイトからの不正なアク
セスがないことを定期的に確認すること。
・社外及び他サイトからはアクセス不可能なサービス(サイト内サーバ):
サイト内サーバは"サイト内アドレス"を用いることが望ましい。さらに、踏み台を利用した侵
入や、管理者の不注意によるシステム破壊を想定し、サイト内で運用ルールを定めること。
|
図4 "2.A-NETのセキュリティポリシ"の一部(要約)
技術情報サーバは、Jでいうところのどのサーバに属するでしょう?
・他サイトからアクセス可能なサーバ(全社サーバ):
ですよね。対策は・・・
>・ユーザやサービスを可能な限り限定すること。
>・ログを利用し、他サイトからの不正なアクセスがないことを定期的に確認すること。
ちゃんと書いてあります。これを回答にすればいいでしょう。 |
(解答)
a:ユーザやサービスを可能な限り限定する(18)
b:ログで不正アクセスを定期的に確認する。(19)
(2)図8のBで情報システム部が指摘している、ファイアウォール運用の複雑さとは何
か。40字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
複雑さとは何かを問われています。
ファイアウォールの運用が複雑になると言っています。
それはきっとフィルタリングの設定が複雑なのでしょう。
フィルタリングの定義はここにあります。
[BピルサイトLANの見直し構想]
(2)基幹ネットワークと技術部サイトLANの間、及び営業部サイトLANと営業部独立
LANの間に、ルータ(ファイアウォール)を設置し、"パケットフィルタリング'を
行う。パケットフィルタリングの定義には、クライアントのIPアドレス及びサーバの
IPアドレスとTCPポート番号を用いる。許可する通信をこれらの組合せで定義し、
それ以外のパケットはすべて破棄する運用とする。 |
>パケットフィルタリングの定義には、クライアントのIPアドレス及びサーバの
IPアドレスとTCPポート番号を用いる。
>許可する通信をこれらの組合せで定義し、それ以外のパケットはすべて破棄する運用とする。
これは大変複雑です。 |
(解答)
許可する通信をIPアドレスとTCPポート番号の組合せで定義している点(34)
回答としてはちょっと弱いなぁ・・・Tom
(3)図8中の【 e 】、【 j 】に入れる適切な記号を、図7にある(ア)〜(ケ)の中
から選べ。
【 j 】はこの問題の始めにやりました。
【 e
】は技術サーバを守るためだけなら、(ウ)でいいでしょう。 |
(解答)
e:ウ
j:キ
(4)図8中の【 f 】〜【 i 】に入れる適切な字句を、それぞれ10字以内で答えよ。
f:踏み台(は漢字で書けますか?本文中にもあります)
h、iは認証サーバが営業技術サーバのどちらかが入ります。
営業技術サーバはJで言うところの社外公開サーバです。
ちゃんと独立しています。これを中に入れるとどうなるでしょうね。
答えが見えてきましたか。
|
(解答)
f:踏み台
g:サイト内 どうもシックリ来ていないんですけど、合ってます?・・・Tom
h:認証サーバ
i:営業技術サーバ
(5)営業部員が社外からもA社のメールシステムを利用できるようにしたい。この場合
に必要な改善案(図7)の変更点を40字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
変更点を問われています。
公衆電話網からメールを利用しようとすると、営業部サイトLANを越えて、技術部サイトLANのメールサーバ
までいかなければなりません。
現状では、営業部内のLANで全て止めてしまいます。
では、どうしましょう?
メールサーバを営業部サイトLANに移しましょうか?
これでは技術部の人に怒られてしまいます。
リモートアクセスサーバを技術部にも置いて、営業部を技術部を完全分割してしまうとも考えられますが、
この場合は、メールサーバを営業技術サーバが置かれているLANに設置すればいいでしょう。
|
(解答)
メールサーバを新規に営業技術サーバが置かれているLANに設置する(32)
設問3
BピルサイトLANの改善に伴う今後の作業(表2)に関する次の問いに答えよ。
(1)セキュリティ維持のため、今後、D氏が行わなければならない日常の作業のうち、
認証にかかわる作業を三つ挙げ、それぞれ20字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
認証にかかわる作業を問われています。
運用管理に関する問題です。
運用管理には、日常管理、定期管理、随時管理がありました。
今回は、認証にかかわる日常管理です。
でも、何を3つ挙げよなのか、よく分からない問題です。
合格された方の回答でも、こういうのがありました。
Dさんは何部の人ですか? → 営業部の人です。
ですから、「認証サーバ、営業技術サーバ、リモートアクセスサーバ」のアクセスログ管理
・・・でもいいんですが、普通に考えてみましょう。
日常の運用管理と言えば、
ユーザ管理(パスワード)、アクセスログ管理(不正アクセス)
とあと、アカウント管理(課金管理。いつ誰がどこにアクセスした?)です。
|
(解答)
ユーザ管理、アクセスログ管理、アカウント管理
(2)情報システム部の回答以外にも、BピルのサイトLANを分割することによって、セ
キュリティ管理上の問題が幾つか発生する。この中から、新しいサイトLANの運用
ポリシ作成において検討が必要な問題を二つ挙げ、それぞれ30字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
問題を問われています。
Dさんはどんな人ですか?
今まで営業活動していたDさん、急に管理者になりました。どんな問題が発生しそうですか?
Dさんのセキュリティに対する認識度合いが問題になって来そうです。
→
ファイアウォールの設定をセキュリティレベルに合わせてできそうですか?
→トラブル発生時にはサイトLAN管理者に状況を連絡できそうですか?
|
(解答)
ファイアウォールの設定をセキュリティレベルに合わせてできるか(30)
トラブル発生時にはサイトLAN管理者に状況を連絡できるか(28)
設問4
社外接続の試行期間中、営業部サイトLANが運用ポリシ案(図5)に準拠し適正に
運用されていることを、情報システム部も定期的に確認すべきである。そのために、情
報システム部が行うべき作業は何か。D氏から定期的に運用状況の報告を受け取りその
内容を確認すること以外に必要な作業を二つ挙げ、それぞれ50字以内で述べよ。
・何を問われてるかをしっかり確認しましょう。(何を問われているかにマーキング!)
作業を問われています。
セキュリティレベルの確認の問題です。
こういう時は、情報システム部は悪者と良い者になり、チェックします。
@悪者
セキュリティレベルに合わせてファイアウォールに対して外側からアタックを掛けてみて、
進入出来ないことを確認します。(もし、侵入できたら問題です)
A良い者
内部のアクセスログで、外部から不正な侵入がないかを定期的に確認します。 |
(解答)
セキュリティレベルに合わせてファイアウォールに外側からアタックを掛け、
進入出来ないことを確認する(49)
内部のアクセスログで、外部、内部から不正な侵入がないかを定期的に確認する(36)。
|