[[ネットワークスペシャリスト]] > [[ネットワークスペシャリスト過去問研究]]
#norelated
#contents
*ネットワークスペシャリスト2010年 午後1 問3 [#h1a4c1be]
** 問題 [#i4df8a37]
http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2010h22_2/2010h22a_nw_pm1_qs.pdf
問3 ネットワークの見直しに関する次の記述を読んで、設問1~3に答えよ。
F社は、中堅の輸入食品卸売会社であり、5年前から営業支援システムを運用している。F社における現在の営業支援システムのネットワーク構成を、図1に示す。
CENTER:&ref(NW_2010_PM_1_Q3_zu1.png);
>図1 現在の営業支援システムのネットワーク構成(抜粋)
F社の営業部員は、社内では自席のPCを使い、社外ではモバイル端末を使って、営業支援システムにアクセスする。
営業支援システムが提供している主なサービスは、次のとおりである。
(1)案件管理サービス
営業部員がWeb画面のメニューから、活動中の営業内容をDBに登録し、随時更新することで進捗状況を管理する、対話型のサービスである。自席のPCからは、社内のネットワークを通じてWebサーバにアクセスするが、モバイル端末からはSSLを実装したRPサーバを経由して、Webサーバにアクセスする。
(2)商品検索サービス
Web画面のメニューから、F社で取り扱っている多種多様な商品を検索できる照会サービスである。営業部員だけでなくF社に顧客を含めた一般の利用者っも、インターネットに接続されたPCなどの端末を使って、RPサーバを経由してアクセスすることができる。
[現在のネットワーク構成の問題点]
最近になって、営業部員から情報システム部に対して、“外出先からアクセスしたとき、Webサーバのレスポンスが以前より悪くなった”とのクレームが寄せられた。そこで、FWのアクセスログを確認したところ、インターネットからのアクセスが2~3か月前から増大していることが判明した。営業部員数や業務量は以前と変わらず、一般の利用者からのアクセスが急増するような新商品の販売もなかったので、情報システム部では、原因は不正なアクセスではないかと考え、ピーク時間帯における30分間のFWのアクセスログを分析し、表に示すあて先ポート別分析レポートをまとめた。
>表 FWのアクセスログのあて先ポート別分析レポート(抜粋)
CENTER:&ref(NW_2010_PM_1_Q3_hyou.png);
分析レポートの内容を確認したところ、3か月前のレポートと比較して、正常なアクセスに加えて、インターネットの特定のグローバルIPアドレスからの不正と思われるアクセスが大量に記録されていた。このことによって、RPサーバの負荷が増大し、レスポンス悪化の原因となっていることが分かった。これを受け、情報システム部は、営業支援システムのセキュリティ向上のためのプロジェクトを立ち上げ、担当にはH君が任命された。
H君が営業支援システムのネットワーク構成を確認した結果、現在のFWには不正なアクセスに対する高度な検知機能がないことを確認した。また、FWは1台だけの構成となっており、故障が発生した場合の代替機がないことも確認した。そこで、H君は、FWの機能に詳しいベンダE社のG氏に助言を求めた。
次は、FWの機能向上に関するH君とG氏の会話である。
H君:不要なポートをブロックするなど、パケットのTCPヘッダを参照して不正侵入を防ぐFWの機能を利用していましたが、今回のような攻撃は防御できていません。不正侵入を確実に防ぐには、どのような仕組みが必要でしょうか。
G氏:現在の構成では、FWで通過が許可されているパケットを使った不正侵入は防御できないので、より高度な機能をもった侵入検知システム(以下、IDSという)が必要です。IDSには、監視対象のネットワークに設置するネットワーク型IDSと、監視対象のWebサーバなどにインストールする[ ア ]型IDSの2種類があります。また、侵入検知の仕組みとして、不正なパケットに関する一定のルールやパターンを使う[ イ ]型と、平常時のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型(異常検知型)の2種類があります。アノマリ型の場合、しきい値を高く設定したときだけでなく、%%%①しきい値の設定が低すぎたときにも弊害が発生する%%%ので、注意が必要です。
H君:なるほど。適切な設定が重要ですね。更に必要な対策はありますか。
G氏:Webサーバのアクセスを通じて不正なSQLが実行される[ ウ ]や、Webフォームに不正なスクリプトを埋め込んで送る[ エ ]など、TCPヘッダのチェックやしきい値の設定では識別できないようなWebサーバへの攻撃にも対応できるIDSの導入をお勧めします。もちろん、FWの冗長化についても考慮が必要です。
[見直し後のネットワーク構成]
G氏の助言を受け、H君は現在のFWを、IDSの機能をもった機種に置き換えることにした。また、FWの障害に備え、2台による構成にした。
見直し後のネットワーク構成を図2に示す。
CENTER:&ref(NW_2010_PM_1_Q3_zu2.png);
>図2 見直し後のネットワーク構成(抜粋)
新たに導入したFWは、通過パケットのTCPヘッダの[ オ ]をセッションログとして保管しておき、パケットの到着順序に矛盾がないか確認する、ステートフルパケットインスペクションの機能をもっている。ステートフルパケットインスペクションデハ、LAN側から送信したパケットとWAN側から到着したパケットが矛盾した場合、パケットを遮断し、不正アクセスを防止する。さらに、このFWは、1台のFWが故障したときでも処理を中断させることなく、もう1台のFWが故障したときでも処理を中断させることなく、もう1台のFWで処理を継続させる、ステートフルフェールオーバの機能も備えている。
ステートフルフェールオーバを利用するため、2台のFWをネットワークに接続し、更にFW同士をケーブルで接続した。通常はFW1だけが機能しているが、管理情報をFW1からFW2に一定間隔で複製し、FW1に障害が発生した場合には、それまで稼動していないFW2が自動的に処理を引き継ぐ設定とした。この設定によって、%%%②営業部員は、FWが切り替わったことを意識せずに営業支援システムを継続利用できる%%%ようになった。ただし、FW2からFW1に管理情報を自動的に複製していないので、FWを切り戻すときは、手動の作業を必要とする設定にした。したがって、この切り戻し時、営業部員は営業支援システムを継続利用できないことになる。
F社では、H君の案に基づいてネットワーク構成を変更した後、テストのためにFW1をシャットダウンしたところ、設定どおりFW2への切替えが自動的に行われ、営業支援システムは継続利用できることを確認した。その後、FWの切り戻しを行って、元の状態に復旧させた。復旧後も営業支援システムは順調に稼動し、ネットワーク構成の見直しは完了した。
設問1 本文中の[ ア ]~[ オ ]に入れる適切な字句を答えよ。
設問2 [現在のネットワーク構成の問題点]について、(1)~(3)に答えよ。
(1)FWで防御できない不正と思われるアクセスとは何か。表を参考にして、20字以内で述べよ。
(2)G氏が指摘した、TCPヘッダのチェックやしきい値の設定では識別できないようなWebサーバへの攻撃に対応するために、侵入検知の際に着目すべきパケットの部分を、15字以内で述べよ。
(3)本文中の下線①について、発生する弊害を、40字以内で具体的に述べよ。
設問3 [見直し後のネットワーク構成]について、(1)~(3)に答えよ。
(1)FWの切替えが発生した場合に、FW1からFW2に引き継がれる情報を、OSI基本参照モデルの第3層以下から二つ挙げ、それぞれ10字以内で答えよ。
(2)本文中の下線②の実現に必要な管理情報を、45字以内で具体的に述べよ。
(3)実際にFWの故障による切替えが発生したとき、修理完了後にFW2からFW1に手動で切り戻す際に必要な運用上の留意点を、40字以内で述べよ。
** 解答用紙 [#f2b52190]
http://www.itec.co.jp/learner/download/
** 解答 [#i49faf89]
http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2010h22_2/2010h22a_nw_pm1_ans.pdf
** 解説 [#a2316241]
** 講評 [#z2d73608]
http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2010h22_2/2010h22a_nw_pm1_cmnt.pdf