※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) [ア]、[イ]、[カ]に入る適切な機器名を答えよ
答: [ア] PC [イ] FW [カ] IP-PBX
[ア]はPCが入ります。
NAPTとはIPアドレスとポート番号を変換する機能です。
2ページの図1の概要の(4)にて「内部LANはプライベートIPアドレスで運用」していると記載があり、内部LANのみでしか通信できないIPアドレスを支店PCでは使用していることがわかります。
支店PCからインターネットに通信するためにはBBRのNAPT機能でプライベートIPアドレスをグローバルIPアドレスへ変換する必要があります。
[イ]はFWが入ります。
図1の概要(4)にて本社のDMZもプライベートIPアドレスで運用していると記載があるため、本社WEBサーバにはプライベートIPアドレスが割り当てられていることがわかります。支店PCから本社WEBサーバ宛の通信について、IPパケット中の宛先IPアドレスはWEBサーバのグローバルIPアドレスになっているため、WEBサーバのプライベートIPアドレスへ変換してあげる必要があります。本社の中でNAT機能及びNAPT機能を持っているのはFWになるため、解答はFWになります。
[カ]はIP-PBXが入ります。
「スマホのSIP-APから取引先への電話については、本社の公衆電話網の電話番号から発信となるように」とあります。
スマホのSIP-APがSIPサーバ機能を持つIP-PBXとSIPプロトコルによる通話セッションを確立することで、IP-PBXから取引先へ電話を発信でき、本社の公衆電話網の電話番号からの発信が可能となります。
(2) [ウ]~[オ]に入る適切な字句を答えよ
答: [ウ] REGISTER [エ] SIP UA [オ] 200 OK
[ウ]はREGISTERが入ります。REGISTERはユーザーエージェント情報(URI)を登録するメソッドです。
SIPにはこの他につぎのメソッドがあります。
INVITE…セッションを確立
ACK…INVITEリクエストに対する成功応答
BYE…セッションの終了
CANCEL…セッションの取消し
[エ]はSIP UAが入ります。スマホがSIP UAとして機能し、SIPサーバ(IP-PBX)に接続するためのHTTPダイジェスト方式による認証リクエストを行い、SIPサーバから認証情報を得るという流れになります。解答はSIP UAになります。
[オ]は 200 OKが入ります。SIPサーバ(IP-PBX)で認証に成功したときはSIP UAにレスポンス200 OKが返されます。
(3) 下線①のために、FWにおいて許可している通信を二つ挙げ、それぞれ答えよ
答:・インターネット及びIP電話機とIP-PBX間のSIP通信
・インターネットとIP電話機間のRTP通信
1つめは通話セッションを確立するためのSIP通信になります。
SIP UAとして機能しているのは、本社のIP電話機と電話用ソフトウエアを搭載したスマホになり、通信先はSIPサーバとして機能しているIP-PBXになります。
スマホについてはインターネットを経由して本社のIP-PBXに通信します。
よって、インターネットとIP-PBX間のSIP通信と、IP電話機とIP-PBX間の通信をFWでは許可しています。
2つめはIP通話を行うためのRTP通信になります。
RTPはデジタル化した音声データをIPパケット化して送信するためのプロトコルです。
SIPによる通話セッションを確立後、スマホはインターネット経由で本社IP電話機とIP通話を行います。
よってインターネットとIP電話機間のRTP通信になります。
(1) [キ]~[ケ]に入れる適切な字句を答えよ
答: [キ] MPLS [ク] フルメッシュ [ケ] Y-BBR
[キ]にはMPLSが入ります。MPLSはラベルと呼ばれるタグをIPパケットに付与するパケット転送技術です。このラベルを使用して経路決定をおこないます。
[ク]にはフルメッシュが入ります。フルメッシュ構成とは複数の拠点それぞれが他のすべての拠点と1対1で繋がる構成になります。
フルメッシュ構成にした場合、異なる拠点間の通話が他の拠点を経由しないようにすることが可能です。
[ケ]にはY-BBRが入ります。支店の端末のゲートウェイはY-BBRになります。Y-BBRは表1に記載があるようにブロードバンドルータですので、ルータの役割をしています。支店の端末はY-BBRを経由してインターネットやY-VPNに接続します。
(2) [a]に入れる適切な字句を答えよ
答: 支店~Y-VPN~本社
支店のスマホから本社のIP電話機宛の通話は項番1-2の逆パターンになので「支店~Y-VPN~本社」になります。支店と本社間でIP通話をおこなうためにはY-DCのIP-PBXへ接続する必要があります。
Y-DCのIP-PBXはY社の閉域網であるY-VPNを経由しますので、支店~Y-VPN~本社の経路になります。
(3) 表2中の支店のIP電話機から取引先の電話機の通信経路が2通りになる理由を述べよ
答: Y-GWの設置の有無によって異なる経路が使われるから
図2の注記1に記載があるように支店によってY-GWを設置しない支店があります。 Y-GWが設置されている支店ではY-GWが公衆電話網と接続されているため、表2の項番2-2の経路で通話ができます。
一方でY-GWが設置されていない支店では表2の項番2-1のとおりY-VPN、Y-VNWを経由しての通話になります。
よって、通信経路が2通りになる理由はY-GWの設置の有無によって異なる経路が使われるからになります。
(1) [コ]に入れる適切な字句を答えよ
答: [コ] 本社のスマホ
6ページのスマホの活用で「re-INVITEリクエストを送信し、転送先の電話機を保留状態にする」とあります。
保留転送をしている機器は、図3のシーケンスの中でre-INVITEリクエストを送信している機器になります。
シーケンス番号(10)と(22)に着目すると送信元、つまり保留転送をしている機器が本社のスマホであることがわかります。
(2) [b]に入れる適切な字句を答えよ
答: 本社のIP電話機の保留
図3の示す流れは、まず支店のスマホから本社のスマホ宛に発信し、電話を受けた本社のスマホが本社のIP電話機に通話転送するという流れになります。
本社のスマホから本社のIP電話機へre-INVITEリクエストを送信していますので、解答は本社のIP電話機の保留になります。
(3) シーケンス番号(31)、(32)の二つのBYEリクエストと同じCall-IDを持つINVITEリクエストのシーケンス番号を答えよ。
答: (5)、(16)
INVITEリクエストはセッションを確立するメソッド、BYEはセッションを終了する際に使用するメソッドになります。
(31)と(32)ではIP-PBXが本社のスマホとの2つのセッションを終了しており、これらのセッションを確立した際のINVITEリクエストが解答になります。
1つめはシーケンス番号(5)のINVITEリクエストです。このリクエストでIP-PBXが本社のスマホを呼び出しており、このときにセッションを確立しています。
2つめはシーケンス番号(16)のINVITEリクエストです。IP-PBXから呼び出された本社のスマホから今度は本社のIP電話機を呼び出すためのリクエストがIP-PBXに送信され、セッションを確立しています。この(5)、(16)のINVITEリクエストは支店のスマホと本社IP電話機で通話するための一連の通信となるため、同じCall-IDをもっていると判断できます。
(4)下線②について、同様の動作をシーケンス番号を用いて答えよ
答: 本社のIP電話機は(23)中のSDPの情報に従い保留音を出す
「(11)を受信したSIP-APは(11)中の情報に従って保留音を出す」という説明からre-INVITEリクエストを受信した機器はSDPの情報に従い保留音を出すことが分かります。
図3で(11)の他にはre-INVITEリクエストを受け取っている機器は(23)になり、リクエスト受け取っているのは本社のIP電話機になるため、解答は本社のIP電話機は(23)中のSDPの情報に従い保留音を出すになります。
(1)下線③に必要となる機器の設定を述べよ
答: L3SWのPoE-SW収容ポートを新しいセグメントにして、L2SW収容ポートとのルーティングを禁止する
現行環境と新環境を分離する場合、図5のL3SWの配下を確認すると、L2SWが接続されている現行環境セグメントと新たにPoE-SWが接続されているセグメントに分かれている構成になっていることがわかります。
この図のように新環境と現行環境の機器がお互いの通信が影響しないようするため、L3SWのPoE-SW収容ポートを新しいセグメントにして、さらにL3SW設定でPoE-SW収容ポートとL2SW収容ポートとのルーティングを禁止する設定をすることで環境の分離をすることが可能となります。
(2) [c]、[d]に入れる適切な字句を答えよ
答: [c]公衆電話網の電話番号の移行
[d]本社と社外の電話の発着信
表3のa5のIP電話機の切替え作業の内容にて、本社のIP電話機の接続機器がL2SWからPoE-SWへ変更されることが分かります。
現行環境では、L2SWに接続されていた本社のIP電話機は”本社のIP-PBX”経由で社外へ発着信しています。
このとき”本社のIP-PBX”が社外とIP電話機で通話するために必要な公衆電話網用の電話番号の情報を保持しています。PoE-SWへ変更した新環境では”Y-DCのIP-PBX”経由で社外へ発着信するように変わりますので、Y-DCへ公衆電話網の電話番号の移行する必要があります。IP電話機の切替え前に、Y-DCへ公衆電話網の電話番号の移行をしていなければ、本社と社外の電話の発着信できないことになります。
よって[c]には公衆電話網の電話番号の移行、[d]本社と社外の電話の発着信が入ります。
(3) 下線④の設定変更を行うプロキシサーバの設置場所を答えよ。また、変更内容を答えよ
答: [設置場所] 本社
[変更内容] WebサーバのAレコードのIPアドレスをX-DCのWebサーバのIPアドレスに変える
10ページに「X-DCのプロキシサーバのDNS機能をスレーブDNSサーバとし、本社のプロキシサーバのDNS機能からゾーン転送を行う」とあります。大まかにいうとスレーブDNSサーバは子サーバという意味です。
この文章ではX-DCのプロキシサーバを子サーバとし、親サーバにあたる本社のプロキシサーバから、ゾーン転送という手法でゾーン情報が収められたゾーンファイルを受け取り情報を同期しているということになります。
そのため設定を変える際は親サーバにあたる本社のプロキシサーバを変更することになります。
続いて変更内容についてです。現状では本社のWebサーバのIPアドレスがDNSのAレコードでD社のドメイン名と紐付けられているため、D社にアクセスがあった際は本社のWebサーバ宛となります。このをAレコードのIPアドレスをX-DCのWebサーバのIPアドレスに変えればX-DCのWebサーバ宛となり切り替えができることになります。
(4) [サ]、[シ]に入れる適切な字句を答えよ
答: [サ]b2 [シ]b3 ※順不同
b3にて、PoE-SWへ変更しIP電話機の利用を開始する新環境では”Y-DCのIP-PBX”経由で社外へ発着信するように変わります。
支店のIP電話機からの発信について、表2の項番2-2のように支店~公衆電話網~取引先という通信経路をとりますが、図2からもわかるようにY-GWと公衆電話網を接続されていることで可能な通信経路になります。
b3のIP電話機の導入と同時に、b2の作業で「公衆電話網との接続をPBXからY-GWへ変更する」ことが必要になります。よって解答はb2のPBXの停止とb3のIP電話機の導入になります。
(5) 下線⑤の全ての機器はどの時点で撤去可能になるか。またそれまで撤去できない機器を全て答えよ
答: 【時点】本社PCの切り替えが終了した時点
【機器】本社のFW、本社のプロキシサーバ
まずは本社のFW、Webサーバ、プロキシサーバ、IP-PBXがそれぞれどの通信で使われているかを考えます。
2ページの図1の概要より下記の通信があることが分かります。
1.全社から本社Webサーバへのアクセス インターネット~FW~Webサーバ(名前解決でプロキシサーバのDNS機能を利用) よってFWとWebサーバとプロキシサーバを使用
2.(プロキシサーバとFW経由)本社PCからインターネットへのアクセス プロキシサーバ~FW~インターネット よってFWとプロキシサーバを使用
3.本社から社外宛の電話 FW~IP-PBX~公衆電話網 よってFWとIP-PBXを使用
1.については、[a4]終了時点でWebサーバがX-DCへ切り替わるため本社Webサーバが撤去可能です。FWとプロキシサーバも使用されませんが2.で使用しているため、この時点では撤去の判断はできません。
2.については、本社PCからインターネットへのアクセスとなり[a6]PCの切り替えが完全に完了するまで撤去できません。FWとプロキシサーバは[a6]終了時点で撤去可能です。
3.については、[a3]、[a5]でIP電話機の切り替えが完了しますので[a3]、[a5]時点でIP-PBXは撤去可能です。
よって、最終的に全て撤去できるのは[a6]本社PCの切り替え期間が終了した時点で、その時点まで撤去できない機器は本社のFWとプロキシサーバになります。
答: [a]アドレス [b]ICMP [c]3 [d]FPサーバ [e]メール中継サーバ
※[d]、[e]順不同
[a]には”アドレス”が入ります。アドレススキャンとは対象ネットワーク内に順番にpingを送り、その応答から機器のIPアドレスを調査する手法です。
[b]には”ICMP”が入ります。クローズのポート宛にUDPパケットを送った場合、指定した宛先に到達できないことになります。その場合はDestination Unreachableと呼ばれるICMPパケットが送信元IPアドレス宛に返送されます。
[c] には”3”が入ります。インターネットからメール中継サーバ宛の通信が解答になります。まず送信元については、インターネット(不特定多数)からなので、送信元IPアドレスはanyになります。宛先はメール中継サーバのIPアドレスであるα.β.γ.2(図1より)になります。項番3が解答になります。TCP/25ポートを使っていることからも項番3であることがわかります。
[d]と[e]には”FPサーバ”と”メール中継サーバ”が入ります。(順不同)
1つめのFPサーバが入ります。14ページに「内部LANの各部署のNPCからインターネット上のWebサイトへのサクセスはFPサーバ経由で行われている」と記載があります。FPサーバを経由する場合はNPCの代わりにFPサーバがWebサイトへ通信することになり、FPサーバが名前解決をします。
2つめはメール中継サーバが入ります。「メール中継サーバは社外のメールサーバ及び社内メールサーバとの間で電子メールの転送を行う」とあります。メールを転送する際にメールアドレスの@以降のドメイン名からIPアドレスを調べる必要がありますのでメール中継サーバも名前解決が必要となります。
(1) [ア]に入れる適切なIPアドレスを答えよ
答: [ア]x.y.z.1 【通信の名称】ゾーン転送
表1より、項番2は インターネット上のIPアドレスが[ア]の機器から外部DNSサーバ(α.β.γ.1)宛の通信であることがわかります。
14ページに「外部DNSサーバはマスタDNSサーバであり、インターネット上のR社DNSサーバをスレーブDNSサーバとして利用」とあります。
スレーブDNSサーバとは大まかにいうと子サーバという意味です。
スレーブDNSサーバは親サーバにあたるDNSサーバと、ゾーン転送という手法でDNS情報の送受信し親サーバと情報を同期します。
子サーバであるR社DNSサーバと親サーバにあたる外部DNSサーバは、ゾーン転送を行うためFWで通信を許可する必要があります。項番2の[ア]にはR社DNSサーバのグローバルIPアドレスであるx.y.z.1が入ります。また、通信の名称はゾーン転送になります。
(1) 下線①についてフィルタリング内容を述べよ
答: ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを破棄する
uRPFとは、受信したパケットの送信元IPアドレスとルーティングテーブルの情報を利用したパケットフィルタリング技術です。
ルータに届いたIPアドレスが、ルーティングテーブルに存在するかチェックし、存在する場合はパケット転送を行い、存在しない場合は破棄することができます。よって解答は、ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを破棄するとなります。
(2) 下線②のIPアドレスを答えよ
答: α.β.γ.15
図1の注記1に「DMZの公開サーバ用のグローバルIPアドレスのネットワークアドレスはα.β.γ.0/28である」とあります。
サブネットマスクが/28のため下位4ビットがホストアドレスになります。ブロードキャストアドレスはホスト部を全て1にしたアドレスになりますので、1111となります。これを10進数に変換すると15になりますので、解答はα.β.γ.15になります。
(1) [イ]~[エ]に入れる適切な字句を答えよ
答: [イ] シーケンス [ウ] 確認応答 [エ] 1
[イ]には”シーケンス”、[ウ]には”確認応答”、[エ]には”1”が入ります。
まず、シーケンス番号とは、受信者(SYNクッキー機能を持つ装置)にコネクション確立を応答する際、送信データが何バイト目からかを示す番号になります。別の言い方をすると送信データの先頭バイトの番号になります。
確認応答番号とは、次の送られてくる(予定の)データの先頭バイトの番号になるため、「相手から受信したシーケンス番号」に「1」を加算した値と必ず一致します。もし一致しない場合はデータが正確に届いていないということになります。
(2) 下線③の制限が緩和されるのは、ディレイドバインディング方式よりメモリ消費が少なくて済むからである。その理由を述べよ
答: コネクション確立の準備段階ではメモリ確保が不要だから
2つの方式のメモリを確保のタイミングについて着目します。
ディレイドバインディング方式では図2の①’「SYNパケットを受信するとTCP確立のためのメモリを確保」します。
一方でSYNクッキー方式は図2の①「SYNパケットを受信した段階ではTCP確立のためのメモリ確保は行わない」と書かれています。
このことから、SYNクッキー方式は準備段階ではメモリ確保をしないため、ディレイドバインディング方式と比べメモリ消費を抑えることができます。
(3) 下線④について防止できていると判断した理由を述べよ
答: FPサーバではインターネットからのコネクションが確立できないから
表1のインターネット→DMZのアクセス(項番1~5)をみると宛先IPアドレスがα.β.γ.4(FPサーバ)宛の通信がありません。インターネットからFPサーバ宛の通信がFWで遮断されるため、インターネットとFPサーバ間のコネクションが確立できません。
よってFPサーバではインターネットからのコネクションが確立できないから、が解答になります。
(4) 下線⑤について防止するために中継サーバに設定されている処理方法を述べよ
答: インターネットから受信したW社以外のメールアドレス宛のメールは中継しない
18ページに「DMZのサーバが送信元偽装の目的で踏み台にされる」と書かれています。
インターネットからW社メールアドレス宛のメールについては内部メールサーバへ転送しますが、インターネットからのW社以外のメールアドレス宛のメールについてはインターネット上に存在するそのドメインのメールサーバへ転送します。つまりW社以外のメールアドレス宛のメールが送られてきた場合、メール中継サーバが踏み台とされ、送信元が偽装できてしまいます。
そこで、メール中継サーバの該当するメールの転送を防止をするため、インターネットから受信したW社以外のメールアドレス宛のメールは中継しないように処理する設定をします。
(5) [オ]、[カ]に入れる適切な字句を解答群から選び記号で答えよ
答: [オ] α.β.γ.6 [カ] any
18ページの説明文にあるようにDNSサーバを機能ごとに下記IPアドレスで分離します。
①DNSサーバ1はIPアドレスがα.β.γ.1でコンテンツサーバの役割をします。
コンテンツサーバはインターネットからの名前解決に応答します。
②DNSサーバ2はIPアドレスがα.β.γ.6でフルサービスリゾルバの役割をします。
フルサービスリゾルバはインターネットへ名前解決要求を要求します
次に表1のFWのルールを確認します。
項番1では、インターネットからα.β.γ.1へのアクセスを許可するルールになりますので①の通信が可能になります。
項番6では残る②の通信を許可するようなルールにする必要がありますので「α.β.γ.6」から「any」へのアクセスを許可するルールに設定します。
この項番6ルールにより、FPサーバとメール中継サーバから名前解決要求を受けたフルサービスリゾルバがインターネット宛の名前解決要求をすることが可能となります。
よって[オ]に”α.β.γ.6”、[カ]に ”any”が入ります。
(1) [キ]~[サ]に入れる適切な機器名を図2中の機器名で全て答えよ
答: [キ] コンテンツサーバのIPアドレス [ク] フルサービスリゾルバのIPアドレス [ケ] 53[コ] n[サ] m
問合せパケットに対する応答パケットは、送信元と宛先IPアドレスが入れ替わるかたちになります。
まず、送信元IPアドレスがフルサービスリゾルバのIPアドレスで宛先IPアドレスがコンテンツサーバのIPアドレスということで、応答パケットの[キ]の送信元IPアドレスに”コンテンツサーバのIPアドレス”が、[ク]の宛先IPアドレスに”フルサービスリゾルバのIPアドレス”が入ります。
続いて[ケ] に”53”、[コ] に”n”が入ります。
問合せパケットの宛先ポート番号が53番で送信元ポート番号をn番の場合の応答パケットは送信元と宛先のポート番号が入れ替わるかたちになります。
DNSヘッダの識別子は応答パケットが問合せパケットに対応したパケットかを判断するためのもので、この識別子が両者のパケットで一致する必要があります。
よって最後の[サ]には問合せパケットと同じ識別子である”m”が入ります。
(2) 下線⑥では大量の偽の応答パケットが送信される。当該パケット中でパケットごとに異なる内容が設定される表3中の項目名を全て答えよ
答: 宛先ポート番号、識別子
大量の偽の応答パケットを攻撃者から送られてきた場合、表3の注1)と2)に記載のとおり任意で変更可能なのはDNSヘッダの”識別子”と”宛先ポート番号”になります。
IPヘッダとUDPヘッダの送信元ポート番号、DNSヘッダのフラグ中のQRビットについては固定です。
(3) 下線⑦について防げると判断した根拠を述べよ
答: 攻撃者が送信するキャッシュポイズニングのための名前解決要求パケットはFWで破棄されるから
DNSサーバ1とDNSサーバ2に分離しDNSの機能を分けたことで、表1の項番1では、インターネットからコンテンツサーバであるDNSサーバ1(α.β.γ.1)へのアクセスのみを許可するように変更しました。
インターネットから名前解決要求を行う(フルサービスリゾルバ機能を持つ)DNSサーバ2(α.β.γ.6)宛の通信はFWで許可されていないため破棄されます。
よって解答は攻撃者が送信するキャッシュポイズニングのための名前解決要求パケットはFWで破棄されるからになります。
(1) 図4中で、fast-flux.exsample.comの名前解決要求と応答の通信をa~nの中から全て選び、通信が行われる順に答えよ
答: e,g,h,f
マルウエアが侵入したNPCは、まずはFPサーバを経由して名前解決要求をDNSサーバ2に行います。(経路:e)
DNSサーバ2は、DNSフルサービスリゾルバとして機能し、example.comドメインコンテンツサーバに問合せを行います。(経路:g)
example.comドメインコンテンツサーバはDNSサーバ2へ問合せの結果を応答します。(経路:h)
DNSサーバ2は、FPサーバに名前解決の結果を応答します。(経路:f)
よって解答はe,g,h,fになります。
(2) 下線⑧について、DNSサーバ2がキャッシュしたDNSレコードが消去されるまでの時間(分)を答えよ
答: 3
ゾーンレコード「fast-flux.exsample.com. 180 IN A IPb1」の180にあたる部分はキャッシュしたDNSレコードの有効期限になります。単位は秒となりますので解答は3分になります。
(3) 図5のようにゾーンレコードが設定された場合、C&Cサーバを効果的に隠蔽するためのマルウエアによるC&Cサーバへのアクセス方法について述べよ
答: アクセス先のホスト名をランダムに変更する
図5の*はワイルドカードと呼び、どのようなものでも該当するという意味になります。
例えば図5のゾーンレコード「* 180 IN A IPb1」行では、全てのFQDNに対してIPb1のIPアドレスが紐付けされていることを意味します。
このようにドメインをワイルドカードに設定することでアクセス先のホスト名をランダムに変更した場合でもIPアドレスが取得することが可能になり、C&Cサーバを効果的に隠蔽することが可能となります。
(4) 下線⑨について、FPサーバのログにマルウエアの活動が疑われる異常な通信が記録される場合がある。その通信内容を答えよ
答: FPサーバでの認証エラーが短時間に繰り返されている
プロキシ認証とはFPサーバでユーザ名とパスワードを要求しユーザを認証する機能です。
マルウエアは認証を成功させるためにユーザ名とパスワードをランダムに変えながら連続で試行する活動を行い、その過程で短時間に連続で認証エラーとなりFPサーバのログにそのエラーログが記録されると考えられます。
よって、マルウエアの活動が疑われる通信と考えられるのは、FPサーバでの認証エラーが短時間に繰り返されている、になります。
(5) 内部LANでNPCに侵入したマルウエアが、FPサーバを経由せずにC&CサーバのFQDN宛にアクセスを試みた場合はマルウエアによるC&Cサーバとの通信が失敗する。失敗する理由を述べよ
答: C&CサーバのIPアドレスが取得できないので宛先が設定できないから
NPCからC&CサーバのFQDN宛にアクセスを試みる場合、FQDNに対するIPアドレスを取得するためフルサービスリゾルバとして機能するDNSサーバ2(α.β.γ.6)に名前解決要求を行う必要があります。
しかし、表1のFWルールの項番19より内部LANのNPCはDMZのFPサーバとLB宛の通信だけがアクセス許可されているため、FPサーバを経由せず直接DNSサーバ2へ名前解決要求した場合はFWで通信が遮断されることになります。
これによりC&CサーバのIPアドレスが取得できないので宛先が設定できないことになります。