※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) 本文中の[a]~[c]に入れる適切な字句を答えよ
答: [a] syslog [b] ダイジェスト [c] CONNECT
[a]は「syslog」が入ります。本文中の説明の通りログメッセージをIPネットワーク上で転送するための標準規格で、RFC5424によって標準化されたプロトコルです。
[b]は「ダイジェスト」が入ります。プロキシサーバの認証方式にはBasic認証方式とダイジェスト認証方式が入ります。
Basic認証は、ユーザ名とパスワードの組みをコロン “:” でつなぎ、Base64で文字列をエンコードして送信する方法です。エンコード文字列(文字列を変換すること)はデコード(変換前の文字列に戻すこと)が可能なため、暗号化されていない平文のデータでの送信となります。
一方の「ダイジェスト」認証では、Basic認証とは異なり送信するデータをMD5やSHA-256でハッシュ化した状態で送信する方法になり、Basic認証と比べセキュアな通信となります。
[c]は「CONNECT」が入ります。CONNECTメソッドとは、プロキシサーバがHTTPS(HTTP暗号化)通信を行いたいサーバへトンネルを確立するように指示する場合に用いるメソッドです。
まずは、「CONNECT」メソッドにてプロキシサーバがLDAPサーバとHTTPコネクションを確立し、確立したトンネリング通信に利用するポートを443番に限定することでHTTPS通信を実現してます。
このように「CONNECT」メソッドを使うとHTTP以外のプロトコルを使用したトンネリング通信を提供することができます。
(2) 外部からアクセスできるサーバをFWによって独立したDMZに接続すると、OAセグメントに設置するのに比べて、どのようなセキュリティリスクが軽減されるか
答: 社外からサーバに侵入されたときにOAセグメントの機器に侵入されるリスク
図2の外部メールサーバやプロキシサーバなど外部からのアクセスを必要とするサーバは、インターネット上に公開するため外部から攻撃されてしまう可能性があります。
もしこれらのサーバをOAセグメントに設置した場合、サーバを乗っ取るような攻撃を受けると、サーバを踏み台にしてOAセグメントの全ての機器が攻撃を受けてしまいます。
一方で、DMZにサーバを設置した場合、DMZとOAセグメントは別ネットワークとして切り離されているため、もし外部からサーバが攻撃を受け、機器に侵入されたとしても、そこからOAセグメント宛ての通信がFWによって遮断されるのでOAセグメントの機器への侵入を防ぐことができます。よって解答は「社外からサーバに侵入されたときにOAセグメントの機器に侵入されるリスク」になります。
(1) 下線①について、利用者の認証を既存のサーバで一元的に管理する場合、どのサーバから認証情報を取得するのが良いか
答: LDAPサーバ
3ページの中段で”社員のメールボックスをもつ内部メールサーバと、プロキシサーバは、ユーザ認証のためLDAPサーバを参照する”とあります。LDAPサーバは、ネットワーク機器やユーザーなどの情報を一元管理する機能を持つサーバになりますので、FTAにWEBブラウザを使ってログインする際のユーザ情報についても「LDAPサーバ」を参照して取得すれば良いことになります。
(2) 下線②について、FTAにアクセスできるのはどのセグメントか
答: 管理セグメントとOAセグメント
表1のFTA利用時の流れに記載があるとおり、送信者はFTAにHTTPSでアクセスし、PC(OAセグメント)または操作端末(管理セグメント)からFTAにファイルをアップロードする”とありますので、FTAにアクセス可能なセグメントは管理セグメントとOAセグメントになります。
(3) 下線③について、FTAにおいて認証と認可はそれぞれ何をするために使われるか。違いが分かるようにそれぞれ答えよ
答: 認証:FTAの利用者が本人であることを確認するため
認可:操作ごとに実行権限を有するかを確認するため
認証というのはユーザ認証のことで、「FTAの利用者本人であることを確認するため」に使われ、認可は、指定されたファイルに対しアップロードまたはダウンロードを許可するような「操作ごとに実行権限を有するかを確認するため」に使われます。
(1) [d]に入れる適切な字句を答えよ
答: [d] フラッディング
MACアドレステーブルとは物理ポートとその先に存在するネットワーク機器のMACアドレスを対応づけた表のことでL2SWが内部で保持している表になります。5ページの下段に記載されているとおり、L2SWはフレームを受信したときに宛先MACアドレスがMACアドレステーブルに学習(登録)済みだった場合は、学習(登録)されているポートに転送します。 一方で、学習(登録)されていないときは、受信したポート以外のポート全てから送信します。これを「フラッディング」と呼びます。
(2) 下線④について、L2SWからミラーパケットでNPBにデータを入力する場合、ネットワークタップを用いてNPBにデータを入力する方式と比べて、性能面でどのような制約が生じるか
答: 送信側と受信側のトラフィックを合計1Gビットまでしか取り込めない
下線④で”想定トラフィックが少ないことからミラーポートを選択した”とあり、その次の文で”NPBにつながるケーブルは全て1000BASE-SX”と書かれています。1000BASE-SXとは、最高通信速度1GbpsのGigabit Ethernet規格です。
そのため、L2SWからミラーパケットでNPBにデータを入力する場合は、「送信側と受信側のトラフィックを合計1Gビットまでしか取り込めない」という制約が発生します。一方でネットワークタップを使用する場合は、監視対象の配線の経路の途中にかませるインライン接続で、装置でパケットを複製させて監視用のミラーパケットをNPBで取得しますのでこのような制約は発生しません。
(3) 下線⑤について、1ポートだけからミラーパケットを取得する設定にする場合にはどの装置が接続されているポートからミラーパケットを取得するように設定する必要があるか
答: 制御サーバ
図2を見るとL2SWはコントローラ、制御サーバ、NPBと接続していることが分かります。
まずNPBですが、L2SWとNPBを接続するポートが問題文にあるミラーポートに設定するポートのため、NPBは解答の選択肢から除外されます。
次にコントローラ~L2SW~制御サーバ間に流れるパケットについて考えます。制御サーバ→L2SW→コントローラというルートで設定値やコマンドを送出し、コントローラ→L2SW→制御サーバというルートで測定データを常に送出します。図2のようにコントローラは複数あるため、もしコントローラの1ポートをミラーポートを取得する設定にすると1つのコントローラのデータしか取得できません。一方で制御サーバを接続するポートを選択した場合は、L2SW~制御サーバ間は全てのコントローラのデータが通過するため、このポートをミラーポートすれば全データが取得できることになります。
(4) 下線⑥について、サーバでミラーパケットを受信するためにはサーバのインターフェースを何というモードに設定する必要があるか。また、このモードを設定することによって、設定しない場合と比べどのようなフレームを受信できるようになるか
答: モード:プロミスキャスモード
フレーム:宛先MACアドレスが自分の宛先MACアドレス以外のフレーム
インターフェース(NIC)は通常は自分宛のパケットしか受信を行いませんが、インターフェースに「プロミスキャスモード」を設定することで、同一セグメント内のネットワーク上を流れるすべてのパケットを受信することが可能となります。プロミスキャスモードは主に問題文のようなミラーパケットを受信するために使用するモードです。
(5) キャプチャサーバに流れるミラーパケットが平均100kビット/秒であるとき1000日間のミラーパケットを保存するのに必要なディスク容量は何Gバイトになるか。ここで、1kビット/秒は10の3乗ビット/秒、1Gバイトは10の9乗バイトとする
答: 1080
1日は秒換算すると、60秒×60分×24時間で86,400秒になります。問題文は1000日間の取得になるので、86,400×1,000で8,6400,000秒になります。そして、ミラーパケットが平均100kビットなので、8,6400,000×100,000で8640,000,000,000秒になります。整理すると8640×10の9乗で8640Gビットになり、最後に8で割ってバイトに変換し、解答は1080Gバイトになります。
(1) 下線①のIPアドレスを表1中のIPアドレスで答えよ
答: a.b.c.d
下線①の文で”P社営業支援サービスのでは特定のIPアドレスから送信されたパケットを許可する”、”本社のFWを経由しない経路からの接続を制限する”とあります。つまり、FWを通過するパケットを許可する制御となるので、表1よりFWのインターネットに接続する側のインターフェースに設定されたIPアドレスである「a.b.c.d」が解答になります。
(2) 本文中の[a]に入れる適切な字句を答えよ
答: [a] ルーティング
[a]にはルーティングが入ります。VRFとは、1台の物理ルータ上で複数の仮想ルータを動作させることができる技術です。仮想ルータを複数作成すると、その数のルーティングテーブルが存在し、VRF識別子によってそれぞれの経路情報を識別します。
(3) 本文中の[b]~[d]に入れる適切な字句を答えよ
答: [b] 本社のL3SW [c] 静的経路制御 [d] 静的経路制御
[b]には「本社のL3SW」が入ります。
表1より本社のIPsecルータでVRF識別子65000:1の項目は0.0.0.0/0(デフォルトルート)でネクストホップはISPルータとなっています。
これは本社IPsecルータが営業所IPsecルータとIPsecVPNを確立するときに必要なISPを経由したインターネット通信の経路です。
IPsecVPNを確立後はVRF識別子が65000:2の項目、172.17.1.0/24(営業所のLAN)宛ての通信が可能となり、その場合はトンネルIFにネクストホップさせます。
空欄となっている[b]ですが、”営業所のPCからP社営業支援サービス宛てのパケットは営業所IPsecルータ、本社IPsecルータ、L3SW、FW及びインターネットを経由してP社営業支援サービスに送信される”ときの経路で、営業所のPCからP社営業支援サービス宛の通信は、LAN-IF側である「本社のL3SW」側をネクストホップにしてパケットを転送します。
[c]、[d]にはどちらにも「静的経路制御」が入ります。
本社のIPsecルータと営業所のIPsecルータ間の通信となり、10ページに”本社及び営業所のIPsecルータには営業所のPCが通信するパケットをIPsecVPNを介して転送するためにトンネルIFをネクストホップとした静的経路を設定している”とあるように「静的経路制御」を設定しています。
(4) “本社のIPsecルータ”が、営業所のPCからP社営業支援サービス宛てのパケットを転送するときに選択する経路は、表2中のどれか。VRF識別子及び宛先ネットワークを答えよ
答: VRF識別子:65000:2 宛先ネットワーク:0.0.0.0/0
表2の本社のIPsecルータの経路制御は3つあります。
1番上の”VRF識別子:65000:1 宛先ネットワーク:0.0.0.0/0”と3番目の”VRF識別子:65000:2 宛先ネットワーク:172.17.1.0/24”は図1の本社のIPsecルータの右側のポートから送出されるパケットの経路制御になります。
まず、本社のIPsecルータは、ISPのルータに接続して、インターネット上に仮想のネットワーク環境を構築します。そしてトンネリングや暗号化技術を用いることで、本社と営業所のLANがIPsecVPNを確立します。
残す”VRF識別子:65000:2 宛先ネットワーク:0.0.0.0/0”は本社のIPsecルータの上側のポートから送出されるパケットの経路制御になり、接続先は本社のL3SWになります。P社業務支援サービス宛ての通信は9ページの上段に”L3SW、FW及びインターネットを経由して接続する”とありますので解答は「VRF識別子:65000:2 宛先ネットワーク:0.0.0.0/0」になります。
(5) 下線②について、デフォルトルート(宛先ネットワーク 0.0.0.0/0の経路)が必要になる理由を述べよ
答: ISPが割り当てるIPsecルータのIPアドレスが動的だから
表1の注4で「w.x.y.zは、ISPから割り当てられた動的なグローバルIPアドレスである」とあるように営業所のIPsecルータのIPアドレスは動的なIPアドレスのためIPアドレスを固定で指定する経路制御ができません。そこで、経路情報に記載のないアドレスを処理するための特殊なルートであるデフォルトルートを導入することで動的IPアドレスのルーティングが可能になります。
(6) 下線③の宛先ネットワークを表2中の字句を用いて答えよ
答: 172.17.1.0/24(営業所のLAN)
10ページに”本社のFW、L3SW、IPsecルータにはOSPFによる経路制御を稼働させるための設定を行っている。本社のFWにはOSPFにデフォルトルートを配布する設定を行っている。”とあり、経路情報に記載のない宛先の通信は、すべて本社のFWに向けるように設定を行っています。しかし営業所のPC宛ての通信は、本社IPsecルータからトンネルIFをネクストホップさせて営業所のIPsecルータにルーティングする必要があります。これを実現するには本社IPsecルータから172.17.1.0/24(営業所のLAN)宛ての通信経路をOSPFで再配布する必要があります。
(1) 本文中の[e]~[h]に入れる字句を答えよ
答: [e] 暗号 [f] IP [g] Child [h] 鍵長
[e]には「暗号」が入り、[f]には「IP」が入ります。ESPはIPsecにおいてペイロード部を「暗号」化するためのプロトコルです。 IPsecではトランスポートモードとトンネルモードの2つの通信モードを利用できます。 トランスポートモードは、TCP(またはUDP)ヘッダ、データ部を暗号化し、その先頭に元のIPヘッダとESPヘッダを付加してカプセル化したパケットをIPsec対応機器同士でやり取りする方式です。 トンネルモードは、元のIPパケット、TCP(またはUDP)ヘッダ、データ部を暗号化し、その先頭に新しいIPヘッダとESPヘッダを付加してカプセル化したパケットをIPsec対応機器同士でやり取りする方式です。また、パケットの後方にはどちらの方式でもパケット長の調整する役割を持つESPトレーラ、改ざんされていないかを確認するESP認証データが追加されます。
[g]には「Child」が入ります。ESPヘッダにはchild SA(IPsec SA)を識別するためにSPI(セキュリティパラメータインデックス)というフィールドがあります。
[h]には「鍵長」が入ります。 フェーズ1と呼ばれるIKE SAを確立する際は暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム、鍵長を定めているDiffie-Hellmanグループ番号をパラメータで指定して送信者と受信者でどれを利用するかを決定します。
(2) POPとIPsecVPNを確立できない場合に、失敗しているネゴシエーションを特定するためには、何の状態を確認するべきか。本文中の字句を用いて二つ答えよ
答: IKE SAの確立とChild SAの確立
VPN接続が正常に確立できていない場合は、フェーズ1(IKE SA)もしくはフェーズ2(Child SA)にて通信が失敗していると考えられますので、IKE SAの確立とChild SAの確立を確認する必要があります。
(1) 下線④について、情報セキュリティの観点でR主任が確認した内容を答えよ
答: N社専用のIPアドレスであること
下線④の直前の文章にて”Q社SGWサービスがN社以外にも提供されている”可能性があると記載があります。つまりQ社SGWサービスが割り当てるIPアドレス範囲がN社以外の他社にも割り当てているIPアドレスだとした場合、他社からP社業務支援サービスへ不正に接続されてしまう可能性があります。そのため、Q社SGWサービスが割り当てるIPアドレスが「N社専用のIPアドレスであること」を確認しておく必要があります。
(2) 下線⑤について、P社営業支援サービスの応答時間が、現行よりも長くなると考えられる要因を答えよ
答: Q社SGWサービスの経由によって発生する遅延
Q社PaaS及びSGWサービスを導入することによって、P社業務支援サービスへのアクセスするルートがQ社SGWサービスを経由するルートに変わります。そのためP社業務支援サービスへのアクセス時に「Q社SGWサービスの経由によって発生する遅延」が発生するかどうかを確認する必要があります。
(1) 下線(a)の動作を行うために、PCのプロキシ設定で登録すべき内容について述べよ
答: 業務サーバ及び営業支援サーバのFQDNをプロキシ例外リストに登録する
プロキシサーバとは、インターネットへのアクセスを代理で行うサーバのことです。 プロキシサーバを利用するPCは、プロキシ設定にて、プロキシサーバのFQDN(またはIPアドレスやポート番号)を設定します。また、プロキシ設定の例外リストにてサーバのFQDNを指定することで、そのサーバ間との通信に関してはプロキシを使用しないようにすることが可能となります。
(2) 下線(b)について(iii)~(v)の実行を可能とするためのネットワーク情報を二つ答えよ
答: ・社内DNSサーバのIPアドレス
・デフォルトゲートウエイのIPアドレス
DHCPサーバには、名前解決に用いるサーバ(DNSサーバ)のIPアドレスとデフォルトゲートウエイのIPアドレスが設定でき、これらのIPアドレスを各PC(DHCPクライアント)に通知する機能を持っています。よって解答は「社内DNSサーバのIPアドレス」と「デフォルトゲートウエイのIPアドレス」になります。
(3) 表1中の[ア]、[ウ]~[カ]に入れる適切な字句を答えよ
答: [ア] 外部DNSサーバ [ウ] 公開Webサーバ
[エ] プロキシサーバ [オ] any [カ] 社内DNSサーバ
[ア]には「外部DNSサーバ」が入ります。 DNSサーバとDNS通信するときはDNSサーバの53番ポートに接続します。項番1よりインターネットからDMZにあるサーバ宛てへの通信ということもわかっていますので、[ア]には外部DNSサーバが入ります。
[ウ]には「公開Webサーバ」が入ります。 WebサーバとHTTPS通信するときはWebサーバの443番ポートに接続します。項番1よりインターネットからDMZにあるサーバ宛てへの通信ということもわかっていますので、[ウ]には公開Webサーバが入ります。
[エ]には「プロキシサーバ」、[オ]には「any」が入ります。項番4のポート番号が80または443となっているため、インターネット上のWebサーバ宛のHTTPもしくはHTTPS通信となります。インターネットへのアクセスはするときは「プロキシサーバ」代理で行い、宛先は全てを意味する「any」が入ります。
[カ]には「社内DNSサーバ」が入ります。項番5のポート番号53となっているためDNS通信であることがわかります。(ii)にて内部LANにある「社内DNSサーバ」から外部DNSサーバ宛に再帰問合せ要求は受付、と書いてあることからも「社内DNSサーバ」が入ることがわかります。
(4) [イ]に入れるプロトコル/ポート番号を答えよ
答: [イ] UDP/53
DNSで使うポートは、TCPとUDPの両方のプロトコルを使用します。TCPとUDPの違いを簡単に言うとUDPは通信相手の状態を確認せず一方的に送る方式で、TCPは通信相手の状態を確認しながら通信を行う方式です。DNS通信では状況に応じてUDPとTCPのどちらも使用します。よって[イ]には「UDP/53」が入ります。
(1) 攻撃者が図2中の②の通信を盗聴して通信データを取得しても、攻撃者は⑦の通信を正しく行えないので、営業支援サーバを利用することはできない。⑦の通信を正しく行えない理由を述べよ
答: STを取り出せないから
攻撃者は図2の通信②を盗聴し、TGTの入手に成功します。TGT(Ticket Granting Ticket)は、通信⑤のようにKDCにST(Service Ticket)を要求するためのもととなるチケットのことです。 この、ST(Service Ticket)は実際に営業支援サーバへアクセスするときに利用されるチケットのことですが、17ページの通信⑥の説明にあるとおり、”暗号化したSTにセッション鍵を付加し、全体をPCの鍵で暗号化した情報をPCに払い出し”ています。STを取り出すためには、復号する鍵が必要となり、その鍵はKDCが管理するドメインに所属している事前申請したPCだけに登録してあるため、盗聴した攻撃者のPCはSTが取り出せず、通信⑦が失敗し業務支援サーバへはアクセスできません。よって解答は「STを取り出せないから」になります。
(2) 図2中で、ケルベロス認証サービスのポート番号88が用いられる通信を①~⑧の中から全て選び記号で答えよ
答: ①、②、⑤、⑥
ケルベロス認証サービスはシングルサインオンを実現する認証・認可プロトコルでTCPの88番ポートを使用します。図2のPCとKDCが通信をしている部分に着目すれば良いので、解答は①、②、⑤、⑥となります。
(3) 本文中の下線(c)の問題を発生させないため、PCとサーバにおける対策を述べよ
答: PCとサーバで時刻同期をしておく
”有効期限が正しく判定できない”という部分がポイントになります。PCではサーバなどのネットワーク機器がそれぞれで設定している時刻がずれていると、一方では期限内と判断し、もう片方は期限外と判断してしまう状況が発生してしまいます。その対策として、ネットワーク内の全ての機器の時刻が一致させる「時刻同期」をします。
(1) ケルベロス認証を行うPCが、図4のSRVレコードを利用しない場合、PCに設定しなければならないサーバに関する情報を答えよ
答: ケルベロス認証を行うサーバのFQDN
17ページ下部に”DNSサーバにSRVレコードが登録されていればサービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる”とあります。SRVレコードは図4のとおりホスト名(Target)に紐付くドメイン名(_Service._Proto.Name)を定義していますので、もしSRVレコードを利用しない場合PCのHostファイルに「ケルベロス認証を行うサーバのFQDN」を設定すれば良いことになります。※FQDNとはホスト名、ドメイン名(サブドメイン名)などすべてを省略せずに指定した記述形式のことです。
(2) 図4のSRVレコードが、PCのキャッシュに存在する時間は何分か答えよ
答: 720(分)
TTLがキャッシュの生存時間になり、単位は秒なので図4の43200を60で割って720分になります。
(3) 図4の二つのSRVレコードの代わりに、図5の一つのSRVレコードを使った場合、DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。図4と同様の比率でDS1とDS2が使用されるようにする場合の、Aレコードの設定内容を述べよ。ここで、DS1のIPアドレスをadd1、DS2のIPアドレスをadd2とする
答: ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する
図4のSRVレコードのWeightに着目します。WeightはPriorityが同じものの中で負荷分散する場合の分散割合になります。まず図4の設定について、1行目のDS1はWeightが”2”、2行目のDS2はWeightが”1”で設定されています。Weightが高い方が負荷がかかるという意味になりますので、DS1が2回応答したらDS2が1回応答するという2対1の比率になります。DS1はadd1、DS2はadd2のIPアドレスとのことで、解答は「ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する」となります。