テクニカルエンジニア(ネットワーク)過去出題問題平成14年 午後2 問1最終更新日 2006/05/02
|
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成14年 午後2 問1 |
問1
セキュリティを重視したLANの構築に関する次の記述を読んで、設問1〜5に答えよ。
D社は、法人を主な顧客とする中規模な電子部品販売会社である。最近では、個人
に対してもパソコン部品の通信販売を行っている。業務の効率化を目的として、イン
ターネットを利用した受注システムを開発することにした。受注システムの開発は、
情報システム部が担当する。
受注システムでは、顧客の利便性の向上や開発コストの抑制を目的として、Webや
電子メール(以下、メールという)の仕組みを利用する。また、開発コストの抑制以
外に、適切なサービス応答時間の確保やインターネットを利用する際のセキュリティ
確保も必要である。
〔業務要件〕
D社は、インターネットを利用した受注システムでも従来と同様に、事前に顧客登
録を行っている法人と個人を会員として管理し、会員以外には商品を販売しない。法
人の顧客登録はD社の営業員が行い、個人の顧客登録は本人がWebサーバを利用し
て行う。会員の氏名や住所などの会員情報は、プライバシ保護の観点からも非常に重
要な情報であり、情報漏えいの脅威から保護しなければならない。
会員は、D社から商品紹介を受けたり、商品の仕様を確認したりするために、Web
の仕組みを用いた電子力タログを利用する。新商品のお知らせは、メールを利用して
会員に通知する。このメールを受け取った会員は、電子力タログを参照することで、
詳細な新商品情報を入手できる。
会員が注文する場合には、定められた注文フォームに必要事項を入力し、Webサー
バに見積りを要求する。Webサーバは、要求した会員に関する過去の購入実績を基に
見積りを行い、回答する。会員は、見積価格を確認して商品を発注する。
会員からD社への問合せには、メールを利用してもらうため、専用のメールアドレ
スが設けられている。このメールは、内容に従って担当者に転送され、その担当者が
回答する。
〔ネットワーク構成の検討〕
受注システムは,小規模なシステム構成でサービスを開始し,将来の需要に応じて
拡張が可能なシステム構成にする。
受注システムの開発担当である情報システム部のU君は、D社で保有しているスイ
ッチングハブの利用を予定している。表1にレイヤ2スイッチングハブ(以下,L2
スイッチという)の仕様を、表2にレイヤ3スイッチングハブ(以下、L3スイッチ
という)の仕様を示す。
表1 L2スイッチの仕様(抜粋)
ポート構成 | 100BASE-TX:10ポート |
スイッチング容量 | 5Gビット/秒 |
スイッチング方式 | ストアアンドフォワード |
VLAN | ボートベースVLAN |
フィルタリング機能 | なし |
ルーティング機能 | なし |
ネットワーク管理 | SNMP |
表2 L3スイッチの仕様(抜粋)
ポート構成 | 100BASE-TX:10ポート |
スイッチング容量 | 9Gビット/秒 |
ストアアンドフォワード | |
VLAN | ボートベースVLAN |
フィルタリング機能 | 次の条件を組み合わせて、IPパケットを通過、又は破棄 (1)送信元及びあて先IPアドレス (2)TCPヘッダの送信元及びあて先ポート番号 (3)TCPヘッダのSYN,ACK,FINの各ビット |
ルーティング機能 | 静的及び動的ルーティング |
ネットワーク管理 | SNMP |
U君は、SI業者のT氏に受注システムの設計を依頼した。T氏は,受注システムに
対する設計要件を確認するため、図1に示す受注システムのネットワーク構成の予備
検討案を示して、U君と検討を行った。
図1 受注システムのネットワーク構成の予備検討案
T氏:S1は、受注システムのDNSと問合せメール用のSMTP、POPの兼用サーバで
す。このサーバは、SMTPを用いてメールの送受信を行います。S2は、電子
力タログ機能を実現するWebとSMTPの兼用サーバです。このサーバは、会
員に電子力タログの情報を提供したり、新商品情報のお知らせをメールで送信
したりします。しかし、メールは受信しません。DB-1は、電子力タログの情
報を格納しているデータベースサーバで、S2から参照されます。S3は、受注
機能を実現するWebサーバです。このサーバは、会員からの注文内容の受信
と、会員への見積回答の送信を行います。DB-2は、会員情報、過去の購入実
績及び商品価格を格納しているデータベースサーバです。S3は、会員の識別
のために、DB-2を利用します。TPCは、受注システムの開発において、シス
テムの初期設定やテストを行うために使用します。
U君:受注システムの機能をS1、S2及びS3に分割しているのですね。
T氏:はい。三つのサーバに分割することで、セキュリティを確保することが目的で
す。仮に、一つのサーバに不正侵入されても、ほかのサーバヘの影響を回避す
るためです。
U君:DB-1はS2とだけ通信し、DB-2はS3とだけ通信するということで、どちらの
データベースサーバも定められたサーバ以外とは通信しないのですね。
T氏:はい。特に、DB-2には会員情報が格納されていますので、情報の漏えいには
万全の対策を講じたいと思います。サーバの静的ルーティング機能とサブネッ
ト分割を利用する方法では、不正侵入に対応できないと考えて、L2スイッチ
を利用したVLANを構成することにしました。一つのVLANにDB-1とS2、
ほかのVLANにDB-2とS3を収容したいと思います。
U君:ところで、受注システムの各サーバに、プライベートIPアドレスを割り当て
るかと思いますが、公開用のグローバルIPアドレスとの変換方法について教
えてください。
T氏:グローバルIPアドレスは、S1、S2及びS3の各サーバを、インターネット経
由でアクセスするために利用されます。これらは、S1のDNSに登録します。
各サーバのプライベートIPアドレスとグローバルIPアドレスの変換は、静的
に1対1に対応するNAT機能を利用します。この機能は、ルータで実現して
います。
U君:例えば、あて先IPアドレスがS1のグローバルIPアドレスの場合、ルータで
S1のプライベートIPアドレスに必ず変換されるのですね。
T氏:はい。さらに、IPパケットのヘッダ部だけでなく、FTPやDNSなどのプロト
コルでは、IPパケットのデータ部に含まれるIPアドレスに対しても同様な変
換が行われます。
U君:部内での検討の結果、問合せメールの受信や各サーバのメンテナンスは、既存
の社内LANを経由して社員のパソコンから実施する予定です。このため、社
内LANの接続方法に関しても検討してください。
T氏:はい。更に設計を進めます。
〔ネットワーク構成の再提案〕
T氏は、社内LANの接続を考慮し、受注システムのネットワーク構成に関して、
再提案を行った。
T氏:社内LANの接続も含めて設計しました。システム監視を行う監視サーバの設
置方法については、ほぼ検討が終わっていますが、運用方法が明確になった後
で提案させてください。図2に、受注システムのネットワーク構成を示します。
図2 受注システムのネットワーク構成
U君:予備検討案との大きな違いは、GWの追加やL2スイッチとL3スイッチの使い
方ですね。
T氏:はい。十分なセキュリティの確保と社内LANの接続方法を検討した結果です。
GWは、S3とDB-2の通信だけを中継します。VLAN機能はL2スイッチだけ
で利用し、L3スイッチではフィルタリング機能を利用します。VLANは、三
つのグループにします。それぞれのVLANは、独立したサブネットにし、ホ
スト部を8ビットにします。具体的には、"Q1とQ6とQ9"、"Q2とQ7"、
"Q3とQ8"で三つのVLANを構成し、S1、S2及びS3のIPアドレスには、
それぞれ"10.10.30.10"、"10.10.40.10"及び"10.10.60.10"を静的に割り当
てます。表3に、各サーバのIPアドレスを示します。
表3 各サーバのIPアドレス(抜粋)
サーバ | IPアドレス |
S1のC1 | 10.10.30.10 |
S1のC2 | 10.10.50.10 |
S2のC1 | 【 a 】.10 |
S2のC2 | 【 b 】.20 |
S3のC1 | 10.10.60.10 |
S3のC2 | 10.10.50.30 |
DB-1 | 10.10.50.40 |
DB-2 | 10.10.50.45 |
GW | 10.10.50.50 |
U君:DB-1、DB-2及びGWの環境構築のために、TPCからtelnetを用いてアクセス
する必要があると思います。このアクセスは、提案されたVLANの設定で、
問題なく行うことができるのでしょうか。、
T氏:はい。できます。各サブネットに収容されているサーバのデフォルトゲートウ
ェイには、それぞれ ルータのIPアドレスを設定します。また、受注システ
ムの開発時に限っては、ルータを用いてVLAN間の通信を行います。このた
め、DB-1、DB-2及びGWに対しては、アクセス可能なS2とS3のサーバにロ
グインした後、そのサーバからtelnetを利用してアクセスします。繰り返しに
なりますが、これらのアクセスは開発時だけ許可し、サービス開始以降は禁止と
する必要があります。
U君:はい。サービス開始時には十分注意します。ところで、GWの必要性を教えて
ください。
T氏:DB-2の情報を外部から守るため、GWを新たに設置しました。GWは、S3と
DB-2間の通信を定められたルールに基づいて中継します。仮に、S3からパス
ワードに対する取得命令が発せられても、GWはこれを排除します。S3は、
会員認証のため、GWを介してDB-2に会員が入力したIDやパスワードなど
の認証識別情報を転送します。その認証結果は、GWを介してDB−2からS3
に回答されます。
U君:DB-2に格納されている商品価格の情報は、社内LANを通じて設定されますが、
この構成であれば社内LANへの不正侵入対策も十分だと思います。
〔受注システムのテスト〕
受注システムのテストが始まって間もなく、U君は、情報システム部の後輩である
K君から、サーバに接続できないので助けてほしいとの相談を受けた。ほかのTPC
からは接続できるので、U君は、K君の使用しているTPCにおけるTCP/IPの設定を
確認させた。
K君の使用したTPCのIPアドレスは正しかったが、そのほかの設定に間違いがあ
ったので修正した。その結果、S1にはアクセスすることができたが、S2にはアクセ
スすることができなかった。その後、別の設定の間違いに気付いて、それを修正した
ところ、S2へのアクセスも可能になった。K君は、これらをU君に報告した。
K君:【 c 】の設定を修正したところ、S1だけにはアクセスできましたが、S2
にもアクセスするためには、【 d 】の設定の修正が必要でした。
U君:TPC と S1は、同一のVLAN に収容されています。しかし、TPCは、
【 c 】の設定が正しくないので、S1が同一の【 e 】ドメインに存
在しないと判断し、誤った【 d 】ヘの通信を試みます。
K君:【 d 】を間違えても、S1へのアクセスは可能でした。なぜでしょうか。
U君:【 c 】の設定が正しく修正されたので、K君のパソコンがARPを利用し
て【 f 】の【 g 】を取得できたからです。
K君:分かりました。ありがとうございました。
内部に閉じたテストが完了したので、外部からのアクセスに関してテストを行った。
内部に閉じたテストの段階では、S2にプライベートIPアドレスを回答するDNSを
構築し、各TPCやサーバがDNSサーバとしてS2を指定していた。外部からのアク
セスを確認するために、グローバルIPアドレスを回答するDNSをS1に構築した。
D社は、S1のDNS設定が正しいことを確認し、利用しているISPに対して、受注シ
ステムのゾーン情報のコピーを保有するような設定を依頼した。
翌日、K君は、TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、
S3の名前解決を試みた。その結果、TPCには、S3のプライベートIPアドレスが回
答された。次に、K君は、TPCの設定を変更せずに、ISPにダイアルアップ接続して、
S3の名前解決を試みた。今度は、S3のグローバルIPアドレスが回答された。K君は、
U君から、ISPのDNSがフルサービスリゾルバ用のDNSとして機能したので、この
動作には問題がないと説明され 納得した。
U君は、テストの終盤に、社内のセキュリティポリシに従い、チェックツールを用
いてSMTPに関する設定を確認した。その結果、S1は、メールの不正中継が可能で
あることが判明した。このため、U君は、T氏に対策を相談した。
U君:S1の設定を見直し、メールの不正中継対策を行いたいと思います。
T氏:メールの不正中継対策を行うには、SMTPに関する設定を適切に行う必要があ
ります。図3に、メールの不正中継の代表例を示します。
図3 メールの不正中継の代表例
U君:不正利用者は、侵入したサーバからメールを自由に送信できるのに、なぜ、中
継サーバを利用するのでしょうか。
T氏:不正利用者の目的は、複数の相手に対して大量にメールを送信することです。
メールの送信処理では、あて先サーバヘのデータ転送に要する時間以外にも、
必要な処理に多くの時間が費やされます。この時間は、複数の異なるあて先に
対してメールを送信する場合、より多く必要になります。そのため、不正利用
者は、これらの処理を図3の複数の中継サーバで並列に実行させます。
U君:SMTPに関する設定がぜい弱だと、S1が図3の中継サーバとして利用されて
しまうのですね。具体的な不正中継対策の方法を教えてください。
T氏:メールを中継する条件として、あて先か送信元のアドレスにD社のドメインが
含まれている場合で、かつ、D社内から発信したメールに限定します。さらに、
ルータの設定も確認してください。
U君は、S1のSMTPに関する設定を変更した。また、ルータの設定も確認し、メ
ールの不正中継ができないことを確認した。
〔監視サーバの運用方法〕
社内LANに接続されたパソコンには、商品価格や電子力タログの更新など、業務
上必要なアクセスだけを許可し、ルータやスイッチングハブなどのネットワーク機器
とサーバの監視を禁止する。監視サーバは、SNMPを利用して、サーバやネットワー
ク機器の動作状態やトラフィックを監視する。各サーバにおけるサービスプロセスの
状態監視は、監視サーバからサービスプロセスに定期的に自動接続して確認する。
監視サーバは、2枚のLANカードを搭載する。一方のLANカードは、【 h 】
と接続し、もう一方のLANカードは、【 i 】と接続する。また、今後のサーバ
増設を考慮して、静的なルーティング機能は使用しない。
監視サーバが障害を検知した場合、S2を介したメールで、定められた運用担当者
に障害情報を通知する。障害情報を受け取った運用担当者は、監視サーバから状況を
確認する。_障害の状況に応じて、サーバやネットワーク機器を操作し、障害からの復
旧を行う。
監視サーバを用いた運用方法も確立できたので、D社は、受注システムのサービス
を開始した。
設問1
IPアドレス計画に関する次の問いに答えよ。
(1)表3中の【 a 】、【 b 】について、表3のほかの項目表記に従
って答えよ。
(2)各サーバで使用しているサブネットマスクを答えよ。
設問2
テスト期間中に発生した事象に関する次の問いに答えよ。
(1)TPCにおけるTCP/IPの設定に関して、本文中の【 c 】〜【 g 】
に入れる適切な字句を答えよ。
(2)TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、S3の名
前解決を試みた結果、S3のプライベートIPアドレスが回答された理由を、70
字以内で述べよ。
設問3
図1の受注システムのネットワーク構成の予備検討案に関する次の問いに答えよ。
(1)T氏がサーバの静的ルーティング機能とサブネット分割を利用する方法では、
不正侵入に対応できないと考えて、L2スイッチを利用したVLANを構成する
ことにした理由を、60字以内で述べよ。
(2)図1に示したネットワーク構成のままで、L2スイッチの一つのポートを利
用して社内LANを収容した場合に生じる不具合とその発生理由を、50字以内
で述べよ。
設問4
メールの不正中継に関する次の問いに答えよ。
(1)T氏が述べた中継サーバを利用して並列に実行する処理に関して、中継サー
バとあて先サーバのデータ転送以外の処理を、40字以内で述べよ。
(2)T氏が指示した、D社内から発信したメールに限定するためのルータの設定
に関する確認事項を、40字以内で述べよ。
設問5
図2の受注システムのネットワーク構成に関する次の問いに答えよ。
(1)監視サーバの接続方法に関して、本文中の【 h 】、【 i 】に入
れる適切なネットワーク機器名を、図2から選び答えよ。
(2)監視サーバが設置され、サービスを開始したときのルータのルーティング処
理に関して、開発時との変更点を、60字以内で述べよ。
(3)予備検討案に社内LANやGWを付加したので、L2スイッチとL3スイッチ
を入れ替えている。DB-2とGWを目的どおりに機能させるため、L3スイッチ
で利用する機能とその設定すべき内容を、80字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成14年 午後2 問1 |