今週ずっと最終便で帰宅とか休憩時間も仕事だったりしたので少な目。
引き続き重点対策から、セキュリティ分野の問題です。
2019(R1) 秋 午後Ⅰ 問3
問題はこちらから(IPA 令和元年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
LANのセキュリティ対策に関する問題。昨年10月12日以来2回目。また出されたときに設問4ができる気がしない。
設問1
DHCPリレーエージェントが有効になっているスイッチを、台数が最小限になるように全て答える部分について。
DHCPの要求(DHCPDISCOVER、 DHCPREQUEST。設定次第ではDHCPOFFERとDHCPACKも)はブロードキャストで行われるため、DHCPサーバがクライアントの属するセグメントの外にある場合は届きません。異なるセグメントへの中継を行う必要があるため、DHCPリレーエージェントを有効にするスイッチはL3SWです。
図1にはL3SW0、L3SW1、L3SW2の3つのL3SWが存在しますが、どのL3SWで有効にするかが問題です。DHCP要求を送信するのはPCですから、少なくともL3SW1とL3SW2では有効にする必要がありそうです。
では残るL3SWはどうか?
ここで、DHCPリレーエージェントの通信はユニキャストであることに注意する必要があります。
フロア1のPCが要求する場合、行われる通信は以下です。
PC(クライアント)ーブロードキャスト→ L3SW1 ーユニキャスト→ DHCPサーバ
L3SW1とDHCPサーバ間はユニキャストになるため、その間の機器がDHCPリレーエージェントに対応している必要はありません。フロア2のL3SW2の場合でも同様です。
よって解答はL3SW1、L3SW2です。
L3SW0はいるかどうか悩んだのですが、DHCPリレーエージェントではユニキャストになることを失念していました。
DHCPリレーエージェントについて補足。
DHCPサーバが払い出すIPの範囲を知るために、giaddrフィールドが使用されます。
DHCPリレーが行われる際に、中継を行う機器がgiaddrフィールドにDHCPブロードキャストを受信したインタフェースのIPアドレスを埋め込み、その後サーバへと送信します。DHCPサーバはgiaddrの値を見ることで、どのセグメントのクライアントが要求を送信してきたか区別することができます。
設問2 (2)
あまり分かってなかったので。
DHCPスヌーピングとは、サーバとクライアントの間でやり取りされるDHCPメッセージを盗み見(snooping)することで、DHCPサーバのなりすましを防いだり、正規のDHCPサーバにIPアドレスを割り当てられたクライアントのみ通信を許可するといったことが可能になります。
問題文は、「フロア1、フロア2のL2SWで、DHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定を、25文字以内で答えよ」です。
L3SWは正規のDHCPサーバと繋がっているため、L3SWから届くDHCPパケットは通過させる必要があります。
よって解答は「DHCPスヌーピングの制限を受けない設定」です。
なお、この正規のDHCPサーバからパケットが届くポートは信頼できるポートだということで、trusted portとして設定すると、DHCPパケットが受信できます。反対に信頼できないポート(DHCPパケットが届いても破棄するポート)は、untrusted portとして設定します。
また正規のDHCPサーバとクライアントがやり取りしたメッセージを基に、通信を許可する(正規のDHCPサーバからIPアドレスを割り当てられた)PCのMACアドレスや接続ポート番号を管理するテーブルをバインディングテーブルと言います。
設問3 (2)
通信制限装置のLANポート1~4の接続先を答える問題。
通信制限装置の接続条件について、本文の記載をまとめると以下。
・各LANポートの接続先は全て異なるセグメントであること
・タグVLANは使用しない
・フロア間の配線も追加しない
となると、フロアに2つあるセグメントとそれぞれ繋ぐ必要がありそうですが、どう2つとつなぐのか?L2SWは5個ずつあるし……。
ここで、「L3SW1, L3SW2で設定されているVLANは、全てポートVLANである。」という記述に注目します。
ポートVLANでは、スイッチの内部で仮想スイッチが動作することで分割を行っています。
L2SW11側をVLAN10、L2SW21側をVLAN20として図にすると以下のようになります(PCは省略)
L3SW1の中にはVLAN10と繋がるポートと、VLAN20と繋がるポートができることが分かります。それぞれのポートに繋ぐことで、条件を満たせるわけですね。
よって解答は、
LANポート1 L3SW1
LANポート2 L3SW1
LANポート3 空き
LANポート4 空き
(またはL3SW1を両方L3SW2)です。
ポートVLANの図がイメージできてませんでした。これなら別々のセグメントとつなげるんですね。
設問4 (2)
対処用セグメントを追加する際に、L3SW1とL3SW2以外に設定変更が必要な機器を二つ挙げます。
一つ目のヒントとして、本文中に「ルーティング情報は、全てスタティックに定義してある」とあります。対処用セグメントを追加した場合、対処用セグメント宛てのルーティング情報を追加する必要があるということです。
対処用セグメントはPC管理サーバやメンテナンスサーバなどのL3SW0下のセグメントと通信を行うため、L3SW0にL3SW0→対処用セグメントのルーティング情報の追加が必要です。
よって一つ目はL3SW0、設定は「対処用セグメントへのルーティング情報を追加する」です。
二つ目ですが、対処用セグメントで通信を行うためには、DHCPサーバにIPアドレスを割り当ててもらう必要があります。対処用セグメントは既存のセグメントとは異なるセグメントですので、別のIPアドレス範囲になります。そのため対処用セグメント用のアドレスプールが必要です。
よってもう一つはDHCPサーバ、設定は「対処用セグメントのアドレスプールを追加する」です。
解答見たらなるほど、と思ったんですが、導けなかったなあ。一つ目はスタティックなことに気が付けなかったこと、二つ目は知識とかセンス的な感じがするけど、存在しているサーバの役割から逆算すれば導けた気もします。
2017(H29) 秋 午後Ⅰ 問1
問題はこちらから(IPA 平成29年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
SSL-VPNの導入に関する問題。昨年12月5日以来3回目。記述はできたけど、凡ミスがちらほら……。
設問1
穴埋め。
イ.
解答は1.2です。
TLSのバージョンは1.0, 1.1, 1.2, 1.3があります。
バージョン | 策定年 | 変更点 | 備考 |
---|---|---|---|
TLS 1.0 | 1999年(RFC2246) | 機能的にはSSL 3.0とあまり変わらない | ダウングレード攻撃脆弱性により非推奨 |
TLS 1.1 | 2006年(RFC4346) | 攻撃手法に対する耐性の強化が中心 | ダウングレード攻撃脆弱性により非推奨 |
TLS 1.2 | 2008年(RFC5246) | ・ハッシュアルゴリズムにSHA-256追加 ・ブロック暗号のモード追加 など | |
TLS 1.3 | 2018年(RFC8446) | ・利用可能な暗号スイートを大幅に変更 ・データ圧縮の非サポート など | 変更点の多さから、TLS1.2とは実質的に別のプロトコルともいえる。 |
そもそもこの問題当時の2017年にはまだTLS1.2は登場していなかったんですね。
過去問はそこらへんのバージョンに関する話が古かったりするので時々分からなくなります。
ウ、エ
未だにTLSハンドシェイクが覚えられない……。
クライアントがサーバに最初に送るのはClient_Hello、それに対しサーバが送るのがServer_Hello。
単にHelloだけじゃなくて、それぞれ Client と Server が付いてるんですね。
表記ブレに関してはさすがに〇を貰えると思うのですが。
オ.
あってましたが、SSL-VPNの方式について整理しておきます。
リバースプロキシ方式
・接続先にSSL-VPNゲートウェイを設置する。
・Webブラウザからゲートウェイにアクセスし、ゲートウェイはサーバへ通信を中継。
・Webブラウザ上で動作するアプリケーションしか使用できない。
ポートフォワーディング方式
・クライアントにSSL-VPNエージェントを導入。
・エージェントがゲートウェイと通信、ゲートウェイはポート番号に応じてサーバへ振り分ける。
・ポート番号に対応するサーバを事前に定義する必要がある。
・ポート番号が固定されるため、FTPのようにポート番号が動的なプロトコルは使用できない。
L2フォワーディング方式
・クライアントにSSL-VPNクライアントソフトをインストール。
・SSL-VPNソフトが生成する仮想NICへ接続先のIPアドレスを割り振るため、組織内部のクライアントとして動作可能。
・プロトコルの制限がない。
設問3 ケ
FWルール設定表の穴埋め。
アクセス経路がインターネット→DMZで、プロトコル/宛先ポートがTCP/443の通信のあて先アドレスを答えます。
TCP/443は、HTTPSのポート番号です。つまりSSL/TLS通信。本文中に「SSL-VPNは、SSL/TLSプロトコルを利用したVPN技術である。」とあることからも、この通信の宛先はSSL-VPN装置だと考えられます。
SSL-VPN装置のIPアドレスは202.y.44.2ですが、表の1行目の宛先IPアドレスがCIDR表記になっているため、それに合わせて解答は202.y.44.2/32です。
宛先がどこかわからずDMZのIPを答えてしまいました。
TCP/443 → SSL/TLS → SSL-VPNと理解できなかったのがダメでした。
設問4 (1)
L3SWについて、表2のアクセスリストを設定すべきインタフェースを全て答える問題。
表2のアクセスリストは、送信元IPアドレスがAny、宛先IPアドレスが172.6.0.0/16(内部LAN)の通信を禁止するものです。
①のインタフェース
FWとつながるインタフェース。
本文中に「内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている。」とあります。このインタフェースにアクセスリストを設定してしまうとプロキシサーバから内部LANへの通信ができなくなるため設定しません。
②、③、④のインタフェース
それぞれ顧客システムネットワークとつながるインタフェースです。
このインタフェースから内部LANへ通信を行うということは、他の顧客システムネットワークや開発LANに対して通信をすることになってしまいます。その通信は不正な通信ですので禁止、よってこれらのインタフェースにはアクセスリストの設定が必要です。
⑤のインタフェース
開発LANにつながるインタフェースです。
開発のために、ここから顧客システムネットワークへ通信を行う必要はあるのですが、本文中に「開発LAN及び顧客各社のPCから顧客システム構築ネットワークに対する必要なアクセスを全てSSL-VPN経由で行うようにする」とあります。つまり直接の通信は禁止するということです。
よってこのインタフェースにもアクセスリストを設定する必要があります。
⑥のインタフェース
SSL-VPN装置が接続しているインタフェースです。
このインタフェースに対してアクセスリストを設定すると、SSL-VPN経由で内部LANと通信ができなくなります。そのためここには設定しません。
以上から②、③、④、⑤が正解です。
⑤を迷ったのですが、直接通信は禁止されてる表記を忘れていました。
設問4 (3)
表3のアクセスリストを設定すべきインタフェースを答える問題。
表3のアクセスリストはある顧客のVPN接続PC用IPアドレスからが接続元IPアドレスから、対応する顧客システム構築ネットワークへの通信を許可するものです。
インタフェースの入力方向に設定するので、L3SWの外側からL3SWの内側への通信に対してアクセスリストの内容が適用されます。VPN接続PCから顧客システム構築ネットワークの通信は、インターネット→SSL-VPN装置→L3SW→顧客ネットワークの流れです。
よって解答は⑥です。
②、③、④でないのは入力方向に設定するからと気づけませんでした。そもそも『全て』と書かれてないから答えは一つだけだったのでは
2022(R4) 春 午後Ⅰ 問3
問題はこちらから(IPA 令和4年度春期試験 問題冊子・解答例・採点講評・配点割合(PDF))。
シングルサインオンの導入に関する問題。初見です。ケルベロス認証の文字を見て全然覚えてなくて焦ったけど問題文にいろいろ書いてあったのでそこは問題なかったですね。ほんとにSC受かったのか?
設問1 (1)
プロキシサーバを経由させずに通信を行うために、PCのプロキシ設定で登録すべき内容を答える問題。
何か除外させるための設定があったことは覚えてたけど名前が出てこなかった!(支援士の方で見た気がするんだけどどれだったかなあ)
プロキシ設定が行われている状態で、プロキシサーバを経由させない通信がある場合は、プロキシ例外設定を行う必要があります。
よって解答は「業務サーバと営業支援サーバのFQDNを、プロキシ例外リストに登録する」です。
プロキシ例外設定。プロキシ例外リスト。
以下おまけ。
Windows10は以下みたいなプロキシの設定画面があるみたいです。
例外とするアドレス(FQDN)を記載したり、ローカルのアドレスにはプロキシサーバを使用しないチェックボックスとかがあるんですね。
なおWebブラウザによっては個別に設定が必要な場合もあるようですが、ChromeはPC本体のプロキシ設定(上の画面の設定)が適用されるようです。
設問1 (2)
「社内」を付けるのを忘れてました。社内DNSサーバのIPアドレス。
設問1 (4)
穴埋め。プロトコル/ポート番号が空欄で、TCP/53ともう一つを答えます。
(3)から該当行の送信元あるいは宛先が(外部)DNSサーバと判明しています。
DNSの通信は通常UDPが使用されます(DNSキャッシュポイズニングとかDNSリフレクション攻撃なんかはそのせい)。
よって解答はUDP/53。
ポート番号53が既に記載されているので、他に何番かあったか悩んだのですが、普通DNSはUDPだと気付かず……冷静になるのは大事。
ちなみにTCP/53の方はDNSの応答メッセージが512バイトを超えた場合用らしいです。そもそもDNSがUDPを使用している理由がやりとりされるデータが小さいことと、UDPのプロトコルオーバーヘッドがTCPより小さいからだとか。あと速いし。
それからゾーン転送もTCPでやってますよね。
設問3 (1)
SRVレコードを利用しない場合に、PCに設定する必要がある内容を答える問題。
記述内容が悪かった振り返り。
本文中に「SRVレコードが登録されていれば、サービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる。」とあるので、登録されてないならサービスが稼働するホスト名の情報をPCに登録する必要がある。と思ったんですが、それって言い換えると「ケルベロス認証を行うサーバのFQDN」なんですよね。のでそれが答えです。
設問3 (3)
二つのSRVレコードを使用するのではなく一つのSRVレコードを使用する場合に、DNSラウンドロビンでDS1とDS2へ負荷分散する場合のAレコードの設定内容を答える問題。
図4と同等の比率で分散させます。
SRVレコードでは、Weightの比によって使用比率が決まります。
図4を見ると、DS1とDS2の使用比率は2:1になっていますので、Aレコードでもこの比率になるようにします。addr1とaddr2に対して登録されているAレコードの数を2:1にすれば良いです。
よって解答は「ホスト名がDSに対して、addr1のAレコードを二つ、addr2のAレコードを一つ記述する」です。
比率に関する言及を完全に見落としていました……。よく読みましょう。
あとDNSラウンドロビンは登録されているアドレスを順に返すので、比率をつけたければ登録数で調整するんですね。
振り返り
知識がなくてできなかったというよりも、凡ミス的なものが目立った気がします……。まあ今のうちにいっぱい間違えて本番でミスらなければOK?
しばらく忙しそうなので時間が取れるか心配ですが、隙間時間を見つけて頑張りたいですね。
コメント