過去問(午後)テクニカルエンジニア
(ネットワーク)過去問(午後)テクニカルエンジニア(ネットワーク)過去問 平成14年 午後2 問1
テクニカルエンジニア(ネットワーク)過去出題問題平成14年 午後2 問1最終更新日 2006/05/02
|
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成14年 午後2 問1
|
問1
セキュリティを重視したLANの構築に関する次の記述を読んで、設問1〜5に答えよ。
D社は、法人を主な顧客とする中規模な電子部品販売会社である。最近では、個人
に対してもパソコン部品の通信販売を行っている。業務の効率化を目的として、イン
ターネットを利用した受注システムを開発することにした。受注システムの開発は、
情報システム部が担当する。
受注システムでは、顧客の利便性の向上や開発コストの抑制を目的として、Webや
電子メール(以下、メールという)の仕組みを利用する。また、開発コストの抑制以
外に、適切なサービス応答時間の確保やインターネットを利用する際のセキュリティ
確保も必要である。
〔業務要件〕
D社は、インターネットを利用した受注システムでも従来と同様に、事前に顧客登
録を行っている法人と個人を会員として管理し、会員以外には商品を販売しない。法
人の顧客登録はD社の営業員が行い、個人の顧客登録は本人がWebサーバを利用し
て行う。会員の氏名や住所などの会員情報は、プライバシ保護の観点からも非常に重
要な情報であり、情報漏えいの脅威から保護しなければならない。
会員は、D社から商品紹介を受けたり、商品の仕様を確認したりするために、Web
の仕組みを用いた電子力タログを利用する。新商品のお知らせは、メールを利用して
会員に通知する。このメールを受け取った会員は、電子力タログを参照することで、
詳細な新商品情報を入手できる。
会員が注文する場合には、定められた注文フォームに必要事項を入力し、Webサー
バに見積りを要求する。Webサーバは、要求した会員に関する過去の購入実績を基に
見積りを行い、回答する。会員は、見積価格を確認して商品を発注する。
会員からD社への問合せには、メールを利用してもらうため、専用の
メールアドレ
スが設けられている。このメールは、内容に従って担当者に転送され、その担当者が
回答する。
〔ネットワーク構成の検討〕
受注システムは,小規模なシステム構成でサービスを開始し,将来の需要に応じて
拡張が可能なシステム構成にする。
受注システムの開発担当である情報システム部のU君は、D社で保有しているスイ
ッチングハブの利用を予定している。表1にレイヤ2スイッチングハブ(以下,L2
スイッチという)の仕様を、表2にレイヤ3スイッチングハブ(以下、
L3スイッチ
という)の仕様を示す。
表1 L2スイッチの仕様(抜粋)
| ポート構成 | 100BASE-TX:10ポート |
| 5Gビット/秒 | |
| ストアアンドフォワード | |
| VLAN | ボートベースVLAN |
| フィルタリング機能 | なし |
| ルーティング機能 | なし |
| ネットワーク管理 |
表2 L3スイッチの仕様(抜粋)
| ポート構成 | 100BASE-TX:10ポート |
| 9Gビット/秒 | |
| ストアアンドフォワード | |
| VLAN | ボートベースVLAN |
| フィルタリング機能 | 次の条件を組み合わせて、IPパケットを通過、又は破棄 (1)送信元及びあて先IPアドレス (2)TCPヘッダの送信元及びあて先ポート番号 (3)TCPヘッダのSYN,ACK,FINの各ビット |
| ルーティング機能 | 静的及び動的ルーティング |
| ネットワーク管理 |
U君は、SI業者のT氏に受注システムの設計を依頼した。T氏は,受注システムに
対する設計要件を確認するため、図1に示す受注システムのネットワーク構成の予備
検討案を示して、U君と検討を行った。
図1 受注システムのネットワーク構成の予備検討案
T氏:S1は、受注システムのDNSと問合せメール用のSMTP、POPの兼用サーバで
す。このサーバは、SMTPを用いてメールの送受信を行います。S2は、電子
力タログ機能を実現するWebとSMTPの兼用サーバです。このサーバは、会
員に電子力タログの情報を提供したり、新商品情報のお知らせをメールで送信
したりします。しかし、メールは受信しません。DB-1は、電子力タログの情
報を格納しているデータベースサーバで、S2から参照されます。S3は、受注
機能を実現するWebサーバです。このサーバは、会員からの注文内容の受信
と、会員への見積回答の送信を行います。DB-2は、会員情報、過去の購入実
績及び商品価格を格納しているデータベースサーバです。S3は、会員の識別
のために、DB-2を利用します。TPCは、受注システムの開発において、シス
テムの初期設定やテストを行うために使用します。
U君:受注システムの機能をS1、S2及びS3に分割しているのですね。
T氏:はい。三つのサーバに分割することで、セキュリティを確保することが目的で
す。仮に、一つのサーバに不正侵入されても、ほかのサーバヘの影響を回避す
るためです。
U君:DB-1はS2とだけ通信し、DB-2はS3とだけ通信するということで、どちらの
データベースサーバも定められたサーバ以外とは通信しないのですね。
T氏:はい。特に、DB-2には会員情報が格納されていますので、情報の漏えいには
万全の対策を講じたいと思います。サーバの静的ルーティング機能とサブネッ
ト分割を利用する方法では、不正侵入に対応できないと考えて、L2スイッチ
を利用したVLANを構成することにしました。一つのVLANにDB-1とS2、
ほかのVLANにDB-2とS3を収容したいと思います。
U君:ところで、受注システムの各サーバに、プライベートIPアドレスを割り当て
るかと思いますが、公開用のグローバルIPアドレスとの変換方法について教
えてください。
T氏:グローバルIPアドレスは、S1、S2及びS3の各サーバを、インターネット経
由でアクセスするために利用されます。これらは、S1のDNSに登録します。
各サーバのプライベートIPアドレスとグローバルIPアドレスの変換は、静的
に1対1に対応するNAT機能を利用します。この機能は、ルータで実現して
います。
U君:例えば、あて先IPアドレスがS1のグローバルIPアドレスの場合、ルータで
S1のプライベートIPアドレスに必ず変換されるのですね。
T氏:はい。さらに、IPパケットのヘッダ部だけでなく、FTPやDNSなどのプロト
コルでは、IPパケットのデータ部に含まれるIPアドレスに対しても同様な変
換が行われます。
U君:部内での検討の結果、問合せメールの受信や各サーバのメンテナンスは、既存
の社内LANを経由して社員のパソコンから実施する予定です。このため、社
内LANの接続方法に関しても検討してください。
T氏:はい。更に設計を進めます。
〔ネットワーク構成の再提案〕
T氏は、社内LANの接続を考慮し、受注システムのネットワーク構成に関して、
再提案を行った。
T氏:社内LANの接続も含めて設計しました。システム監視を行う監視サーバの設
置方法については、ほぼ検討が終わっていますが、運用方法が明確になった後
で提案させてください。図2に、受注システムのネットワーク構成を示します。
図2 受注システムのネットワーク構成
U君:予備検討案との大きな違いは、GWの追加やL2スイッチとL3スイッチの使い
方ですね。
T氏:はい。十分なセキュリティの確保と社内LANの接続方法を検討した結果です。
GWは、S3とDB-2の通信だけを中継します。VLAN機能はL2スイッチだけ
で利用し、L3スイッチではフィルタリング機能を利用します。VLANは、三
つのグループにします。それぞれのVLANは、独立したサブネットにし、ホ
スト部を8ビットにします。具体的には、"Q1とQ6とQ9"、"Q2とQ7"、
"Q3とQ8"で三つのVLANを構成し、S1、S2及びS3のIPアドレスには、
それぞれ"10.10.30.10"、"10.10.40.10"及び"10.10.60.10"を静的に割り当
てます。表3に、各サーバのIPアドレスを示します。
表3 各サーバのIPアドレス(抜粋)
| サーバ | IPアドレス |
| S1のC1 | 10.10.30.10 |
| S1のC2 | 10.10.50.10 |
| S2のC1 | 【 a 】.10 |
| S2のC2 | 【 b 】.20 |
| S3のC1 | 10.10.60.10 |
| S3のC2 | 10.10.50.30 |
| DB-1 | 10.10.50.40 |
| DB-2 | 10.10.50.45 |
| GW | 10.10.50.50 |
U君:DB-1、DB-2及びGWの環境構築のために、TPCからtelnetを用いてアクセス
する必要があると思います。このアクセスは、提案されたVLANの設定で、
問題なく行うことができるのでしょうか。、
T氏:はい。できます。各サブネットに収容されているサーバのデフォルトゲートウ
ェイには、それぞれ ルータのIPアドレスを設定します。また、受注システ
ムの開発時に限っては、ルータを用いてVLAN間の通信を行います。このた
め、DB-1、DB-2及びGWに対しては、アクセス可能なS2とS3のサーバにロ
グインした後、そのサーバからtelnetを利用してアクセスします。繰り返しに
なりますが、これらのアクセスは開発時だけ許可し、サービス開始以降は禁止と
する必要があります。
U君:はい。サービス開始時には十分注意します。ところで、GWの必要性を教えて
ください。
T氏:DB-2の情報を外部から守るため、GWを新たに設置しました。GWは、S3と
DB-2間の通信を定められたルールに基づいて中継します。仮に、S3からパス
ワードに対する取得命令が発せられても、GWはこれを排除します。S3は、
会員認証のため、GWを介してDB-2に会員が入力したIDやパスワードなど
の認証識別情報を転送します。その認証結果は、GWを介してDB−2からS3
に回答されます。
U君:DB-2に格納されている商品価格の情報は、社内LANを通じて設定されますが、
この構成であれば社内LANへの不正侵入対策も十分だと思います。
〔受注システムのテスト〕
受注システムのテストが始まって間もなく、U君は、情報システム部の後輩である
K君から、サーバに接続できないので助けてほしいとの相談を受けた。ほかのTPC
からは接続できるので、U君は、K君の使用しているTPCにおけるTCP/IPの設定を
確認させた。
K君の使用したTPCのIPアドレスは正しかったが、そのほかの設定に間違いがあ
ったので修正した。その結果、S1にはアクセスすることができたが、S2にはアクセ
スすることができなかった。その後、別の設定の間違いに気付いて、それを修正した
ところ、S2へのアクセスも可能になった。K君は、これらをU君に報告した。
K君:【 c 】の設定を修正したところ、S1だけにはアクセスできましたが、S2
にもアクセスするためには、【 d 】の設定の修正が必要でした。
U君:TPC と S1は、同一のVLAN に収容されています。しかし、TPCは、
【 c 】の設定が正しくないので、S1が同一の【 e 】ドメインに存
在しないと判断し、誤った【 d 】ヘの通信を試みます。
K君:【 d 】を間違えても、S1へのアクセスは可能でした。なぜでしょうか。
U君:【 c 】の設定が正しく修正されたので、K君のパソコンがARPを利用し
て【 f 】の【 g 】を取得できたからです。
K君:分かりました。ありがとうございました。
内部に閉じたテストが完了したので、外部からのアクセスに関してテストを行った。
内部に閉じたテストの段階では、S2にプライベートIPアドレスを回答するDNSを
構築し、各TPCやサーバがDNSサーバとしてS2を指定していた。外部からのアク
セスを確認するために、グローバルIPアドレスを回答するDNSをS1に構築した。
D社は、S1のDNS設定が正しいことを確認し、利用しているISPに対して、受注シ
ステムのゾーン情報のコピーを保有するような設定を依頼した。
翌日、K君は、TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、
S3の名前解決を試みた。その結果、TPCには、S3のプライベートIPアドレスが回
答された。次に、K君は、TPCの設定を変更せずに、ISPにダイアルアップ接続して、
S3の名前解決を試みた。今度は、S3のグローバルIPアドレスが回答された。K君は、
U君から、ISPのDNSがフルサービスリゾルバ用のDNSとして機能したので、この
動作には問題がないと説明され 納得した。
U君は、テストの終盤に、社内のセキュリティポリシに従い、チェックツールを用
いてSMTPに関する設定を確認した。その結果、S1は、メールの不正中継が可能で
あることが判明した。このため、U君は、T氏に対策を相談した。
U君:S1の設定を見直し、メールの不正中継対策を行いたいと思います。
T氏:メールの不正中継対策を行うには、SMTPに関する設定を適切に行う必要があ
ります。図3に、メールの不正中継の代表例を示します。
図3 メールの不正中継の代表例
U君:不正利用者は、侵入したサーバからメールを自由に送信できるのに、なぜ、中
継サーバを利用するのでしょうか。
T氏:不正利用者の目的は、複数の相手に対して大量にメールを送信することです。
メールの送信処理では、あて先サーバヘのデータ転送に要する時間以外にも、
必要な処理に多くの時間が費やされます。この時間は、複数の異なるあて先に
対してメールを送信する場合、より多く必要になります。そのため、不正利用
者は、これらの処理を図3の複数の中継サーバで並列に実行させます。
U君:SMTPに関する設定がぜい弱だと、S1が図3の中継サーバとして利用されて
しまうのですね。具体的な不正中継対策の方法を教えてください。
T氏:メールを中継する条件として、あて先か送信元のアドレスにD社のドメインが
含まれている場合で、かつ、D社内から発信したメールに限定します。さらに、
ルータの設定も確認してください。
U君は、S1のSMTPに関する設定を変更した。また、ルータの設定も確認し、メ
ールの不正中継ができないことを確認した。
〔監視サーバの運用方法〕
社内LANに接続されたパソコンには、商品価格や電子力タログの更新など、業務
上必要なアクセスだけを許可し、ルータや
スイッチングハブなどのネットワーク機器
とサーバの監視を禁止する。監視サーバは、SNMPを利用して、サーバやネットワー
ク機器の動作状態やトラフィックを監視する。各サーバにおけるサービスプロセスの
状態監視は、監視サーバからサービスプロセスに定期的に自動接続して確認する。
監視サーバは、2枚のLANカードを搭載する。一方のLANカードは、【 h 】
と接続し、もう一方のLANカードは、【 i 】と接続する。また、今後のサーバ
増設を考慮して、静的なルーティング機能は使用しない。
監視サーバが障害を検知した場合、S2を介したメールで、定められた運用担当者
に障害情報を通知する。障害情報を受け取った運用担当者は、監視サーバから状況を
確認する。_障害の状況に応じて、サーバやネットワーク機器を操作し、障害からの復
旧を行う。
監視サーバを用いた運用方法も確立できたので、D社は、受注システムのサービス
を開始した。
設問1
IPアドレス計画に関する次の問いに答えよ。
(1)表3中の【 a 】、【 b 】について、表3のほかの項目表記に従
って答えよ。
(2)各サーバで使用しているサブネットマスクを答えよ。
設問2
テスト期間中に発生した事象に関する次の問いに答えよ。
(1)TPCにおけるTCP/IPの設定に関して、本文中の【 c 】〜【 g 】
に入れる適切な字句を答えよ。
(2)TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、S3の名
前解決を試みた結果、S3のプライベートIPアドレスが回答された理由を、70
字以内で述べよ。
設問3
図1の受注システムのネットワーク構成の予備検討案に関する次の問いに答えよ。
(1)T氏がサーバの静的ルーティング機能とサブネット分割を利用する方法では、
不正侵入に対応できないと考えて、L2スイッチを利用したVLANを構成する
ことにした理由を、60字以内で述べよ。
(2)図1に示したネットワーク構成のままで、L2スイッチの一つのポートを利
用して社内LANを収容した場合に生じる不具合とその発生理由を、50字以内
で述べよ。
設問4
メールの不正中継に関する次の問いに答えよ。
(1)T氏が述べた中継サーバを利用して並列に実行する処理に関して、中継サー
バとあて先サーバのデータ転送以外の処理を、40字以内で述べよ。
(2)T氏が指示した、D社内から発信したメールに限定するための
ルータの設定
に関する確認事項を、40字以内で述べよ。
設問5
図2の受注システムのネットワーク構成に関する次の問いに答えよ。
(1)監視サーバの接続方法に関して、本文中の【 h 】、【 i 】に入
れる適切なネットワーク機器名を、図2から選び答えよ。
(2)監視サーバが設置され、サービスを開始したときのルータのルーティング処
理に関して、開発時との変更点を、60字以内で述べよ。
(3)予備検討案に社内LANやGWを付加したので、L2スイッチとL3スイッチ
を入れ替えている。DB-2とGWを目的どおりに機能させるため、L3スイッチ
で利用する機能とその設定すべき内容を、80字以内で述べよ。
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成14年 午後2 問1
|