やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

検疫ネットワーク【平成22年度 秋期 応用情報技術者試験 午後 問9】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「境界防御」の「検疫ネットワーク」を取り上げた「平成22年秋 応用情報技術者試験 午後 問9」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成22年秋 応用情報技術者試験 午後 問9

問9 検疫ネットワークに関する次の記述を読んで、設問1〜3に答えよ。

 W社は、食品の製造と販売を営む中堅の会社である。W社には営業部と製造部があり、それぞれの部の各社員にノートPC(以下、PCという)が1台ずつ配布されている。社員は、配布されたPCをW社社内ネットワーク(以下、社内ネットワークという)に接続して利用している。社内ネットワークでは、情報セキュリティ強化のための施策の一環として、IEEE802.1x方式による認証VLANを用いた検疫ネットワークシステム(以下、検疫システムという)を導入している。

IEEE802.1x

 不正な端末がネットワークに接続するのを防ぐための、ユーザ認証の規格のことです。有線LAN、無線LANで利用されています。

 構成要素は以下の通りです。

  • サプリカント(supplicant):認証を受けるクライアント
  • 認証サーバ(authentication server):認証を行うサーバ
  • オーセンティケータ(authenticator):サプリカントと認証サーバの認証プロセスを中継する機器。スイッチなどが該当し、各ポートのVLANを動的に変更する機能を持つ。
検疫ネットワーク

 基本的な処理の流れは、認証→検疫エリアで安全性のチェック→社内LANへの接続許可となります。

 検疫システムは、セキュリティ対策の検査を行い、セキュリティ対策が不十分な端末を社内ネットワークに接続させず、隔離したり、必要なセキュリティ対策を施したりする機能をもつ。

 社内ネットワークの構成は、図のとおりである。各種サーバ、レイヤ2スイッチ(L2SW)、レイヤ3スイッチ(L3SW)、ファイアウォール(FW)、ルータなどから構成される。設定されたVLAN一覧を表1に、サーバ一覧を表2に、ディレクトリサーバ上に格納されているユーザ情報(一部)を表3にそれぞれ示す。

f:id:aolaniengineer:20200115212113p:plain

f:id:aolaniengineer:20200115212140p:plain

〔認証と検疫の処理の流れ〕

(1)所属VLANが設定されていない営業部エリアや製造部エリアのPCは、それぞれのエリア内のL2SWの空きポートに接続されると、L2SWやL3SWを介して、(a:RADIUS)サーバと限定的に通信し、端末認証を受ける。

 PCから送られたユーザ名などの認証情報を(a:RADIUS)サーバが受信すると、(a:RADIUS)サーバは、ユーザ情報を(b:ディレクトリ)サーバに問い合わせ、ユーザ認証を行う。

a:RADIUS(Remote Authentication Dial In User Service)サーバ

 端末認証を受けるため、サプリカントであるPCは、認証サーバであるRADIUSサーバと通信します。

b:ディレクトリサーバ

 RADIUSサーバはユーザ情報を格納しているディレクトリサーバに問い合わせを行います。

 ユーザ認証が(c:失敗)したPCは、引き続き、VLANが設定されないままとなる。

c:失敗

 「VLANが設定されないまま」というのは認証前の状態のままということなので、認証に失敗したことを示します。

(2)ユーザ認証が(d:成功)したPCの所属VLANを、検疫エリアに配置されたサーバと同じく(e:VLAN 0)に設定して、そのPCを隔離する。ここでは、所属VLANは、L2SWのポートごとに一つだけ設定される。
d:成功

 認証の次のステップである検疫エリアでの安全性チェックに進んでいるので、ユーザ認証は成功したことを示します。

e:VLAN 0

 表1、2から、検疫エリアのサーバはVLAN 0です。

(3)PCでは、検疫サーバによって、セキュリティパッチが適用されているかどうか、ウィルスワクチンのパターンファイルが最新かどうか、スクリーンセーバなどの各種設定状況が適切かどうかを調べる検査が行われる。この検査が不合格となったPCは、検査が合格となるまで、この(e:VLAN 0)に隔離され、検疫サーバによって、必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウィルス対策サーバによって、ウィルスチェックが行われる。

検査を隔離して行う理由:ウィルスなどの二次感染の範囲を限定できるから

 検疫エリアは社内ネットワークとはVLANが異なり、論理的に分離されています。また、問題文にはありませんが、検疫エリアのVLAN 0はL3SWによりルーティングされず、他のVLANからIPレベルでの到達性はないと考えられます。

 検査不合格となったPCがウィルスなどに感染していた場合、その影響範囲を検疫エリア内で留めることができます。

(4)検査が合格となったPCは、(b:ディレクトリ)サーバに登録された所属VLAN IDに従い、検疫システムによって、所属するVLANが割り当てられる。

 例えば、ユーザ名がCCCの場合、(f:製造部)サーバと同じVLANである(g:VLAN 30)が割り当てられる。

f:製造部、g:VLAN 30

 表2、3から、確認できます。

(5)所属するVLANを割り当てられたPCが、(h:DHCP)サーバにIPアドレスを要求すると、(h:DHCP)サーバは、VLAN IDに応じたIPアドレスを動的に割り当てる。

 IPアドレスが割り当てられたPCは、社内ネットワークを利用することができる。
【出典:応用情報技術者試験 平成22年度秋期午後問9(一部、加工あり)】

h:DHCP

 PCがIPアドレスを要求するのは、DHCPサーバになります。