SSL-VPN装置導入時のFWルール設定【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.2】
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.2
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1(一部、加工あり)】
問1 SSL-VPNの導入に関する次の記述を読んで、設問1〜4に答えよ。
(略)
【SSL-VPN装置の導入のための検討】
Sさんは、SSL-VPN装置導入のための具体的な項目の検討を行った。検討結果は、次のとおりである。
- SSL-VPN装置の設置位置
- 顧客からインターネット経由でVPN接続することと、開発LANからVPN接続することを考慮して、SSL-VPN装置の設置位置はDMZとL3SWの間とする。
- SSL-VPN装置から内部LANへの通信用に、L3SWに新たなVLAN(VLAN201)を設け、SSL-VPN装置の内側のインタフェースをL3SWに接続する。PCから顧客システム構築ネットワークへのアクセス経路が「PC→SSL-VPN装置→VLAN201→顧客システム構築ネットワーク」となるように経路を設定する。
- SSL-VPN装置へのユーザに関する情報登録
- SSL-VPN装置に、VPNを利用するユーザに関する情報(以下、ユーザ情報という)を登録する。ユーザ情報には、VPN接続時のユーザ認証のための情報も含まれる。
- ユーザ情報中の設定項目であるグループ番号には、そのユーザに対応する顧客番号を設定する。顧客番号は、顧客ごとに割り当てられている1以上100以下の整数である。以下、この整数をκで表す。
- IPアドレスの割当て
- 顧客番号κの顧客(以下、顧客κという)に対応する顧客システム構築ネットワーク:172.16.z.0/24(ここで、zは99+κとする)
- 顧客κに対応するVPN接続PC用IPアドレスプール:10.100.κ.1〜10.100.κ.200
- VPN接続時には、認証されたユーザに対応する顧客番号を用いて、IPアドレスプールを選択する。
- FWのルール設定
SSL-VPN導入後のFWのルールは、表1のとおり設定する。
カ:内部LAN、キ:DMZ、ク:172.16.0.0/16
FWを通過するアクセス経路としては、基本的には「内部LAN→DMZ」「DMZ→インターネット」「インターネット→DMZ」となります。
このうち2行目、3行目で定義されていないのは「内部LAN→DMZ」であり、1行目の宛先IPアドレス:202.y.44.0/28は図2からDMZであることが分かるので、これは「内部LAN→DMZ」のアクセス経路となります。
送信元IPアドレスには、内部LANの172.16.0.0/16が該当します。
ケ:202.y.44.2/32
3行目はアクセス経路が「インターネット→DMZ」であり、DMZに追加されたSSL-VPN装置が宛先であることは想像がつきます。
プロトコル/宛先ポートが「TCP/443」とあり、問題文には該当するSSL-VPN装置で利用しているポート番号についての説明はありませんが、一般的に「TCP/443」と考えて良さそうです。
したがって、SSL-VPN装置のIPアドレスである「202.y.44.2/32」が該当します。
【検討後のネットワーク構成】
Sさんは、更に検討を進め、図2に示すネットワーク構成を作成した。