【ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問3 No.2】

ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問3

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問3(一部、加工あり)】

[LAN通信制限方法の検討]
 情シス部は、LAN通信制限の要件を次のとおり整理した。

  • 通信を許可するかしないかは、PC管理サーバ上の情報によって決定する。
  • PC管理サーバ上の情報に応じて、PCを次の三つに区分する。
    正常PC:Sエージェントの検査結果が合格のPC
    不正PC:Sエージェントの検査結果が不合格のPC
    未登録PC:PC管理サーバに登録がないPC(無断持込みのPCは、これに該当)
  • 正常PCは、通信を許可し、不正PCと未登録PC(以下、排除対象PCという)は、通信を許可しない。

情シス部は、LAN通信制限の実現策として、次の2案を検討した。
案1:DHCPサーバとL2SWによる通信制限

  • 正常PCだけにIPアドレスを付与するよう、DHCPサーバに機能追加する。
  • ②DHCPサーバからIPアドレスを取得したPCだけが通信可能となるように、各フロアのL2SWでDHCPスヌーピングを有効にする

案2:専用機器による通信制限

  • ARPスプーフィングの手法を使って、LAN上の通信を制限する機能をもつ機器(以下、通信制限装置という)を新たに導入し、排除対象PCによる通信を禁止する。


 案2の通信制限装置は、セグメント内のARPパケットを監視し、排除対象PCが送信したARP要求を検出すると、排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する。同時に、排除対象PC宛てパケットの送信先が通信制限装置となるように偽装したARP要求を送信する。こらら各ARPパケットのデータ部を、表1に示す。


 なお、通信制限装置が送信するARP応答は10秒間隔で繰り返し送信され、あらかじめ設定された時間、又はオペレータによる所定の操作があるまで、継続する。
 案1、案2ともに、同等のLAN通信制限ができるが、案2の通信制限装置には、PC管理サーバとの連携を容易にする機能が存在する。そこで、情シス部は案2を採用することにした。

案1において、本文中の下線②を実施しない場合に生じる問題を、35字以内で述べよ。:IPアドレスを固定設定すれば、正常PC以外でも通信できる。

 DHCPスヌーピングとは、PCとDHCPサーバ間でやり取りされるパケットをのぞき見(スヌーピング)して、DHCPサーバから正規にIPアドレスが割り振られたPCだけが通信可能となるよう制御する機能です。
 具体的には、DHCP要求パケット(DHCPDISCOVER、DHCPREQUESTパケット)とDHCP応答パケット(DHCPOFFER、DHCPACKパケット)をのぞき見して、PCのMACアドレスや接続ポートを認識することで、PCから送信されるフレームのMACアドレスを照合して通信許可するか判断します。
 DHCPスヌーピングにより遮断される不正な通信には以下のようなものがあります。

  • 不正なDHCPサーバによりIPアドレスが割り振られたPCの通信
  • IPアドレスを固定設定したPCの通信

 DHCPスヌーピングを実施しない場合には、上記の通信ができてしまいます。
 このうち、不正なDHCPサーバについては問題文にそれらしき記述がないため、解答としては固定設定が適当でしょう。

図1中のフロア1、フロア2のL2SWで、DHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定を、25字以内で述べよ。:DHCPスヌーピングの制限を受けない設定

 L2SWにおけるDHCPスヌーピングの通信制御が必要なのは、PCからの通信を受信するポート、つまり、PCが接続されるポートになります。
 図1で、PCからDHCPサーバへの通信はL3SWを介して行われるため、L2SWのL3SW向けポートにはDHCPスヌーピングの制限を受けない設定を行う必要があります。

表1中の(a)〜(d)に入れる適切な字句を解答群の中から選び、記号で答えよ。(ア)アドレス解決対象のIPアドレス、(イ)アドレス解決対象のMACアドレス、(ウ)通信制限装置のIPアドレス、(エ)通信制限装置のMACアドレス、(オ)排除対象PCのIPアドレス、(カ)排除対象PCのMACアドレス
a(エ)、b(ア)、c(エ)、d(オ)

 ARPスプーフィングとは、ARP要求に対し、アドレス解決対象のIPアドレスを持つ装置以外が、偽装したARP応答を返信することをいいます。
 問題文の「通信制限装置は、セグメント内のARPパケットを監視し、排除対象PCが送信したARP要求を検出すると、排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する。」の目的は何かを考えます。
 それは、排除対象PCのARPテーブルに嘘の情報を書き込んで、排除対象PCから他の機器への通信ができないようにすることです。
 また、「同時に、排除対象PC宛てパケットの送信先が通信制限装置となるように偽装したARP要求を送信する。」の目的は何かを考えます。
 それは、排除対象PCと同じセグメント内の他の機器(L3SWなど)に嘘の情報を書き込んで、他の機器から排除対象PCへの通信ができないようにすることです。
 これを基に表1中の、まずは「通信制御装置が送信するARP応答」の列(空欄a、b)を考えます。
 排除対象PCのARPテーブルに嘘の情報を書き込むために、送信元MACアドレスは「通信制限装置のMACアドレス」(=嘘の情報)、送信元プロトコルアドレス(=送信元IPアドレス)は「アドレス解決対象のIPアドレス」をセットします。
 次に、「通信制御装置が送信するARP要求」の列(空欄c、d)を考えます。
 他の機器(L3SWなど)に嘘の情報を書き込むために、送信元MACアドレスは「通信制限装置のMACアドレス」、送信元プロトコルアドレス(=送信元IPアドレス)は「排除対象PCのIPアドレス」(=嘘の情報)をセットします。