セキュリティ要件実現のためのアクセスリスト【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.3】

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.3

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1(一部、加工あり)】

【問題1の解決策】
 Sさんは、問題1の解決策として、次の二つの通信制限をすることにした。

  1. VLAN間の不正通信制限
    (Ⅳ)表2に示すアクセスリストをL3SWに設定して通信制限する。

 表2のアクセスリストは、H社内のVLAN間通信のうちで不正なものを禁止する。具体的には、開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)と、(Ⅴ)それ以外の不正な通信を禁止する

  1. SSL-VPN接続するPC(以下、VPN-PCという)の通信制限
    (Ⅵ)表3に示すアクセスリストをL3SWに設定して通信制限する。

 表3のアクセスリストは、VPN-PCからの不正な通信を禁止する。その通信は、VPN-PCから、そのVPN-PCと関係がない顧客システム構築ネットワークへのアクセスである。

 H社では、Sさんの検討結果を踏まえてSSL-VPNの導入を行った。その結果、社内PCからも顧客PCからも安全にアクセスできる、利便性が高い顧客システム構築ネットワークが実現した。

(Ⅳ)について、表2のアクセスリストを設定すべきインタフェースを、図2中の①〜⑥の記号で答えよ。ここで、アクセスリストはインタフェースの入力方向に設定するものとする。:②、③、④、⑤

 VLAN間の不正通信制限として、項番1で宛先IPアドレス「172.16.0.0/16(内部LAN)」への通信が禁止されていることと、インタフェースの入力方向に設定することを考慮して、各インタフェースの通信を確認していきます。
 ①に該当するFWから内部LANへの通信ですが、問題文に「H社は、内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている」とあるように、インターネット向けの通信にプロキシサーバを利用しており、戻り方向の通信が①の入力方向に該当するため、このアクセスリストを適用すべきではありません。
 ②〜④に該当する各社のサーバ機器からの通信は、SSL-VPN装置(VLAN201)経由への通信のみ必要で、内部LANを宛先とする通信は不要です。したがって、アクセスリストを適用する必要があります。
 ⑤に該当する開発LANからの通信は、プロキシサーバ及びSSL-VPN装置を宛先とするFW(VLAN200)経由への通信のみ必要で、内部LANを宛先とする通信は不要です。したがって、アクセスリストを適用する必要があります。
 ⑥に該当するSSL-VPN装置からの通信は、各社のサーバ機器を宛先とするためアクセスリストを適用すべきではありません。

(Ⅴ)について、禁止される通信は何か。本文中の字句を用いて、45字以内で答えよ。:顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信

 「開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)」とは、前の設問の⑤インタフェースへのアクセスリスト適用で禁止される通信です。
 そして残りの②〜④インタフェースへのアクセスリスト適用で禁止される通信は、顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信になります。

(Ⅵ)について、表3のアクセスリストを設定すべきインタフェースを、図2中の①〜⑥の記号で答えよ。ここで、アクセスリストはインタフェースの入力方向に設定するものとする。:

 表3のアクセスリストは、各社のVPN-PCに割り当てられたIPアドレスから、自社の顧客システム構築ネットワークへの通信のみを許可するものです。
 したがって、SSL-VPN装置(VLAN201)が接続する⑥の入力方向に適用するアクセスリストになります。

Follow me!