セキュリティ要件実現のためのアクセスリスト【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問4】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「セキュリティ要件実現のためのアクセスリスト」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問4
問1 SSL-VPNの導入に関する次の記述を読んで、設問1〜4に答えよ。
(略)
H社では、受注した顧客システム構築専用のネットワーク(以下、顧客システム構築ネットワークという)をそれぞれ設け、一つの顧客システム構築ネットワークに、H社の内部LANのサブネットを一つ割り当てている。顧客システム構築は、開発LANに接続されたPCから顧客システム構築ネットワークにアクセスして行っている。現在、E社、F社、G社の3社から受注した顧客システムを構築中である。H社は、内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバ を経由して行っている。
(略)
H社では、顧客システム構築業務において次に示す問題を抱えている。
(問題1)顧客システム構築ネットワークに対して、当該構築業務とは関係がないPCから不正なアクセスを受ける可能性がある。
(略)
(略)
【問題1の解決策】
Sさんは、問題1の解決策として、次の二つの通信制限をすることにした。
(1)VLAN間の不正通信制限
(Ⅳ)表2に示すアクセスリストをL3SWに設定して通信制限する。
(Ⅳ)について、表2のアクセスリストを設定すべきインタフェースを、図2中の①〜⑥の起動で答えよ。ここで、アクセスリストはインタフェースの入力方向に設定するものとする。:②、③、④、⑤
VLAN間の不正通信制限として、項番1で宛先IPアドレス「172.16.0.0/16(内部LAN)」への通信が禁止されていることと、インタフェースの入力方向に設定することを考慮して、各インタフェースの通信を確認していきます。
①に該当するFWから内部LANへの通信ですが、問題文に「H社は、内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている」とあるように、インターネット向けの通信にプロキシサーバを利用しており、戻り方向の通信が①の入力方向に該当するため、このアクセスリストを適用すべきではありません。
②〜④に該当する各社のサーバ機器からの通信は、SSL-VPN装置(VLAN201)経由への通信のみ必要で、内部LANを宛先とする通信は不要です。したがって、アクセスリストを適用する必要があります。
⑤に該当する開発LANからの通信は、プロキシサーバ及びSSL-VPN装置を宛先とするFW(VLAN200)経由への通信のみ必要で、内部LANを宛先とする通信は不要です。したがって、アクセスリストを適用する必要があります。
⑥に該当するSSL-VPN装置からの通信は、各社のサーバ機器を宛先とするためアクセスリストを適用すべきではありません。
表2のアクセスリストは、H社内のVLAN間通信のうちで不正なものを禁止する。具体的には、開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)と、(Ⅴ)それ以外の不正な通信を禁止する。
(Ⅴ)について、禁止される通信は何か。本文中の字句を用いて、45字以内で答えよ。:顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信
「開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)」とは、前の設問の⑤インタフェースへのアクセスリスト適用で禁止される通信です。
そして残りの②〜④インタフェースへのアクセスリスト適用で禁止される通信は、顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信になります。
(2)SSL-VPN接続するPC(以下、VPN-PCという)の通信制限
(Ⅵ)表3に示すアクセスリストをL3SWに設定して通信制限する。
(Ⅵ)について、表3のアクセスリストを設定すべきインタフェースを、図2中の①〜⑥の起動で答えよ。ここで、アクセスリストはインタフェースの入力方向に設定するものとする。:⑥
表3のアクセスリストは、各社のVPN-PCに割り当てられたIPアドレスから、自社の顧客システム構築ネットワークへの通信を許可するものです。
したがって、SSL-VPN装置(VLAN201)が接続する⑥の入力方向に適用するアクセスリストになります。
表3のアクセスリストは、VPN-PCからの不正な通信を禁止する。その通信は、VPN-PCから、そのVPN-PCと関係がない顧客システム構築ネットワークへのアクセスである。
H社では、Sさんの検討結果を踏まえてSSL-VPNの導入を行った。その結果、社内PCからも顧客PCからも安全にアクセスできる、利便性が高い顧客システム構築ネットワークが実現した。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf