テクニカルエンジニア(ネットワーク)過去出題問題

 平成8年 午後1 問3

最終更新日 2004/01/31
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   テクニカルエンジニア (ネットワーク)過去問(午後)
     テクニカルエンジニア(ネットワーク)過去問 平成8年 午後1 問3

問3

社内ネットワークのセキュリティに関する次の記述を読んで、設問1〜3に答えよ。

G社は全国に10の拠点をもつ会社である。1年前に全社に電子メールシステムを導入し、
社員は社内ネットワークからこの電子メールシステムを利用している。最近、利用が本格化
するに従って、客先や自宅からも電子メールを使いたいという要望が出てきた。この要望を
取り入れる目的で、現在、ネットワークの拡張を検討中である。
G社の電子メールシステムはメールサーバとパソコンで構成されている。社員は、自分が
所属するメールサーバにパソコンからアクセスし、メールサーバ上にある自分のメールボッ
クスを介して電子メールを送費償する。社内ネットワークはインターネットと接続しており、
社内だけではなく社外との電子メール交換も可能である。
パソコンはメールサーバのある特定のTCPポート番号(以下、A-mailという)を利用し
て通信を行う。メールサーバ間の通信では、サーバ側のSMTP用のTCPポート番号(以下、
SMTPという)を利用する。


図1 現在のネットワーク

1)各拠点に敷設されたLAN(LAN1〜LAN10)は、TCP/IPを利用した通信が行えるよ
うにルータで相互接続されている。各LANはそれぞれ一つのクラスCのネットワークアド
レスをもち、LANk上のIPアドレスは"x.y.k.1〜x.y.k.254"のいずれかである。各拠点の
パソコンはこれらのLANに接続されている。

(2)LAN0はインターネットプロバイダと専用線を介してIP接続されている。LAN0上の
IPアドレスは、“x.y.20.1〜x.y.20.254"のいずれかである。

(3)ルータ0のパケットフィルタリングの設定を表1に示す。ここで、ルータ0のパケット
フィルタリングの仕様は次のとおりである。TCPのコネクション確立要求のパケットに
対し、ルータ0はそのパケットに該当する条件を表の上から順に探し、そこに定義されて
いる動作を行う。表中では、許可はパケットの転送を、拒否はパケットの破棄を表す。コ
ネクション確立要求以外のパケットに対しては、ルータ0はパケットフィルタリングを行
なわず、パケットを転送する。

表1 ルータ0のパケットフィルタリングの設定

動作

送信元IPアドレス

あて先IPアドレス

あて先のTCPポート番号

許可

x.y.20.240

x.y.1.240

SMTP

許可 

x.y.1.240

x.y.20.240

SMTP

拒否

0.0.0.0〜255.255.255.255

0.0.0.0〜255.255.255.255

0〜65535

社外のパソコンを社内ネットワークに接続する案として、公衆電話網を経由する“公衆電話網
経由"案と、インターネットを経由し社内ネットワークに至る"インターネット経由"案がある。G社
ではセキュリティの観点から両者を比較した。次にその検討内容の一部を示す。

(1)これまで“公衆電話網経由" ではあまり問題とはならなかったが、“インターネット経
由"では【 a 】を防ぐ仕組みが必要である。この対策例としては、通信データの
【 b 】がある。

(2)“公衆電話網経由"と"インターネット経由"のいずれも【 c 】をいかに行うかとい
う検討が必要である。これにはログインごとに有効なパスワードが変更されるような仕組
みの利用が考えられる。また、"公衆電話網経由"では【 d 】機能の利用も一般的であ
るが、G社の場合は客先の電話機からの利用要求があり、その機能は採用できない。

(3)上記の仕組み以外にも【 e 】機能の検討が一般的には必要である。この機能は、不正
なアクセスをしようとした端末の特定などに利用できる。
結局、G社では“公衆電話網経由"を採用することとし、アクセスサーバの導入を決めた。
アクセスサーバとは、公衆電話網経由の着信機能をもったネットワーク機器で、公衆電話網
経由で接続したパソコンに対してIPアドレスをその都度割り当て、TCP/IPによる社内ネッ
トワークとの接続を行う装置である。図2にその動作の概要を示す。図3はその設置案で、
アクセスサーバのIPアドレスはx.y.20.10、アクセスサーバに接続したパソコンに割り当てる
IPアドレスは“x.y.20.180〜x.y.20.199"である。
アクセスサーバの設置場所については、LAN0に設置する案(図3)以外にLAN1に設
置する案も有力であり、現在両者を検討中である。

図2 アクセスサーバの動作概要

図3 アクセスサーバをLAN0に収容する案


設問1

本文中の【 a 】〜【 e 】をそれぞれ10字以内の適切な字句で埋めよ。

設問2

現在のネットワークに関する次の小問に答えよ。

(1)セキュリティの観点からは、社外に公開するIPアドレスは必要最小限に留めること
が望ましい。現在のネットワークでG社が社外に公開せざるを得ないIPアドレスは何
か。20字以内で述べよ。

(2)社員のメールボックスをメールサーバ0に登録し直すと、その社員は電子メール
利用できなくなる。この理由をルータ0のパケットフィルタリングの設定に基づいて
30字以内で述べよ。

(3)メールサーバ0はG社とインターネット間のメール交換を行うためだけに設置され
ている。メールサーバ1が直接インターネットとのメール交換を行った場合に比べ、
この方式がG社のネットワークセキュリティ上優れている点を40字以内で述べよ。

設問3

“アクセスサーバをLAN0に収容する案(図3)"に関する次の小問に答えよ。

(1)G社の利用形態から見て、IPアドレスをその都度付与する方式が、クライアントご
とに固定する方式に比べ優れている点を20字以内で述べよ。

(2)メールサーバ1に所属する電子メールの利用者がアクセスサーバ経由で電子メール
を利用するとしたとき、必要となるルータ0のパケットフィルタリングを定義した表
2の【 f 】〜【 i 】をそれぞれ適切な字句で埋めよ。

表2 ルータ0のパケットフィルタリングの追加

動作 送信元IPアドレス あて先IPアドレス あて先のTCPポート番号
【 f 】 【 g 】 【 h 】  【 i 】
許可 x.y.20.240 x.y.1.240 SMTP
許可 x.y.1.240 x.y.20.240 SMTP
拒否 0.0.0.0〜255.255.255.255 0.0.0.0〜255.255.255.255 0〜65535

(3) "LAN1に収容する案"と比較し、アクセスサーバを "LAN0に収容する案"が
優れている点を、外部ネットワークからの不正なアクセスに対する防御という観点か
ら40字以内で述べよ。

(4) "LAN1に収容する案"と比較し、アクセスサーバを"LAN0に収容する案"で
運用上注意すべき点を、40字以内で述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   テクニカルエンジニア (ネットワーク)過去問(午後)
     テクニカルエンジニア(ネットワーク)過去問 平成8年 午後1 問3