テクニカルエンジニア(ネットワーク)過去出題問題平成8年 午後1 問3最終更新日 2004/01/31
|
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成8年 午後1 問3 |
問3
社内ネットワークのセキュリティに関する次の記述を読んで、設問1〜3に答えよ。
G社は全国に10の拠点をもつ会社である。1年前に全社に電子メールシステムを導入し、
社員は社内ネットワークからこの電子メールシステムを利用している。最近、利用が本格化
するに従って、客先や自宅からも電子メールを使いたいという要望が出てきた。この要望を
取り入れる目的で、現在、ネットワークの拡張を検討中である。
G社の電子メールシステムはメールサーバとパソコンで構成されている。社員は、自分が
所属するメールサーバにパソコンからアクセスし、メールサーバ上にある自分のメールボッ
クスを介して電子メールを送費償する。社内ネットワークはインターネットと接続しており、
社内だけではなく社外との電子メール交換も可能である。
パソコンはメールサーバのある特定のTCPポート番号(以下、A-mailという)を利用し
て通信を行う。メールサーバ間の通信では、サーバ側のSMTP用のTCPポート番号(以下、
SMTPという)を利用する。
図1 現在のネットワーク
1)各拠点に敷設されたLAN(LAN1〜LAN10)は、TCP/IPを利用した通信が行えるよ
うにルータで相互接続されている。各LANはそれぞれ一つのクラスCのネットワークアド
レスをもち、LANk上のIPアドレスは"x.y.k.1〜x.y.k.254"のいずれかである。各拠点の
パソコンはこれらのLANに接続されている。
(2)LAN0はインターネットプロバイダと専用線を介してIP接続されている。LAN0上の
IPアドレスは、“x.y.20.1〜x.y.20.254"のいずれかである。
(3)ルータ0のパケットフィルタリングの設定を表1に示す。ここで、ルータ0のパケット
フィルタリングの仕様は次のとおりである。TCPのコネクション確立要求のパケットに
対し、ルータ0はそのパケットに該当する条件を表の上から順に探し、そこに定義されて
いる動作を行う。表中では、許可はパケットの転送を、拒否はパケットの破棄を表す。コ
ネクション確立要求以外のパケットに対しては、ルータ0はパケットフィルタリングを行
なわず、パケットを転送する。
表1 ルータ0のパケットフィルタリングの設定
動作 |
送信元IPアドレス |
あて先IPアドレス |
あて先のTCPポート番号 |
許可 |
x.y.20.240 |
x.y.1.240 |
SMTP |
許可 |
x.y.1.240 |
x.y.20.240 |
SMTP |
拒否 |
0.0.0.0〜255.255.255.255 |
0.0.0.0〜255.255.255.255 |
0〜65535 |
社外のパソコンを社内ネットワークに接続する案として、公衆電話網を経由する“公衆電話網
経由"案と、インターネットを経由し社内ネットワークに至る"インターネット経由"案がある。G社
ではセキュリティの観点から両者を比較した。次にその検討内容の一部を示す。
(1)これまで“公衆電話網経由" ではあまり問題とはならなかったが、“インターネット経
由"では【 a 】を防ぐ仕組みが必要である。この対策例としては、通信データの
【 b 】がある。
(2)“公衆電話網経由"と"インターネット経由"のいずれも【 c 】をいかに行うかとい
う検討が必要である。これにはログインごとに有効なパスワードが変更されるような仕組
みの利用が考えられる。また、"公衆電話網経由"では【 d 】機能の利用も一般的であ
るが、G社の場合は客先の電話機からの利用要求があり、その機能は採用できない。
(3)上記の仕組み以外にも【 e 】機能の検討が一般的には必要である。この機能は、不正
なアクセスをしようとした端末の特定などに利用できる。
結局、G社では“公衆電話網経由"を採用することとし、アクセスサーバの導入を決めた。
アクセスサーバとは、公衆電話網経由の着信機能をもったネットワーク機器で、公衆電話網
経由で接続したパソコンに対してIPアドレスをその都度割り当て、TCP/IPによる社内ネッ
トワークとの接続を行う装置である。図2にその動作の概要を示す。図3はその設置案で、
アクセスサーバのIPアドレスはx.y.20.10、アクセスサーバに接続したパソコンに割り当てる
IPアドレスは“x.y.20.180〜x.y.20.199"である。
アクセスサーバの設置場所については、LAN0に設置する案(図3)以外にLAN1に設
置する案も有力であり、現在両者を検討中である。
図2 アクセスサーバの動作概要
図3 アクセスサーバをLAN0に収容する案
設問1
本文中の【 a 】〜【 e 】をそれぞれ10字以内の適切な字句で埋めよ。
設問2
現在のネットワークに関する次の小問に答えよ。
(1)セキュリティの観点からは、社外に公開するIPアドレスは必要最小限に留めること
が望ましい。現在のネットワークでG社が社外に公開せざるを得ないIPアドレスは何
か。20字以内で述べよ。
(2)社員のメールボックスをメールサーバ0に登録し直すと、その社員は電子メールが
利用できなくなる。この理由をルータ0のパケットフィルタリングの設定に基づいて
30字以内で述べよ。
(3)メールサーバ0はG社とインターネット間のメール交換を行うためだけに設置され
ている。メールサーバ1が直接インターネットとのメール交換を行った場合に比べ、
この方式がG社のネットワークセキュリティ上優れている点を40字以内で述べよ。
設問3
“アクセスサーバをLAN0に収容する案(図3)"に関する次の小問に答えよ。
(1)G社の利用形態から見て、IPアドレスをその都度付与する方式が、クライアントご
とに固定する方式に比べ優れている点を20字以内で述べよ。
(2)メールサーバ1に所属する電子メールの利用者がアクセスサーバ経由で電子メール
を利用するとしたとき、必要となるルータ0のパケットフィルタリングを定義した表
2の【 f 】〜【 i 】をそれぞれ適切な字句で埋めよ。
表2 ルータ0のパケットフィルタリングの追加
動作 | 送信元IPアドレス | あて先IPアドレス | あて先のTCPポート番号 |
【 f 】 | 【 g 】 | 【 h 】 | 【 i 】 |
許可 | x.y.20.240 | x.y.1.240 | SMTP |
許可 | x.y.1.240 | x.y.20.240 | SMTP |
拒否 | 0.0.0.0〜255.255.255.255 | 0.0.0.0〜255.255.255.255 | 0〜65535 |
(3) "LAN1に収容する案"と比較し、アクセスサーバを "LAN0に収容する案"が
優れている点を、外部ネットワークからの不正なアクセスに対する防御という観点か
ら40字以内で述べよ。
(4) "LAN1に収容する案"と比較し、アクセスサーバを"LAN0に収容する案"で
運用上注意すべき点を、40字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成8年 午後1 問3 |