ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問3
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問3(一部、加工あり)】
[運用の整備]
新規に調達されたPCは、PC管理サーバに検査結果が登録されていないので、通信制限装置の排除対象になってしまう。そこで、新規のPCは、情シス部がPC管理サーバに正常PCとして登録した後に、利用者に配布する運用にした。
また、不正PCを正常PCに復帰させる対処を行うために、不正PCを接続するセグメント(以下、対処用セグメントという)を、フロア1とフロア2に追加することにした。⑤対処用セグメントから他セグメントの機器への通信は、L3SW1及びL3SW2のパケットフィルタリングによって必要最小限に制限する。
情シス部が作成した計画に基づいて、E社はLANのセキュリティ対策を導入し、運用を開始した。
下線⑤について、対処用セグメントのPCの通信先として許可される他セグメントの危機を二つ挙げ、それぞれ図1中の機器名で答えよ。:PC管理サーバ、メンテナンスサーバ
不正PCは「Sエージェントの検査結果が不合格のPC」であり、そのSエージェントについては「セキュリティルールに従っているかどうかを検査するソフト」「Sエージェントは、検査結果をPC管理サーバに登録する」とあります。
そして、対処用セグメントを追加した目的は、「不正PCを正常PCに復帰させる対処を行う」ことにあります。
正常PC(Sエージェントの検査結果が合格のPC)となるには、セキュリティルールに従っていること、具体的には「PCはメンテナンスサーバを利用して、OSやアプリケーションプログラムのアップデート、ウィルス定義ファイルのアップデートなどを行う」ことが必要です。
したがって、対処用セグメントのPCからメンテナンスサーバにアクセスしてセキュリティルールに従っている状態にすることと、その結果をSエージェントからPC管理サーバに登録する動作が必要で、通信先としてこららの機器を許可することになります。
対処用セグメントを追加する際に、L3SW1、L3SW2以外に設定変更が必要な機器を二つ挙げ、それぞれ図1中の機器名で答えよ。また、それぞれの機器の変更内容を、30字以内で述べよ。:L3SW0(対処用セグメントへのルーティング情報を追加する。)、DHCPサーバ(対処用セグメントのアドレスプールを追加する。)
前問から、対処用セグメントのPCからPC管理サーバ、メンテナンスサーバへ通信するにあたっての設定変更内容を考えます。
対処用セグメントという新しいセグメント(VLAN)について、L3SW1、L3SW2はそれぞれ直接接続しているため認識していますが、L3SW0はどうでしょうか。
問題文に「ルーティング情報は、全てスタティックに定義してある」とあり、L3SW0へ対処用セグメントの経路情報を設定する必要があることがわかります。
また、PCが通信するためには自身のIPアドレスやデフォルトゲートウェイなどの設定が必要ですが、これらはDHCPサーバによって割り当てられることがわかっています。
したがって、対処用セグメントに該当するアドレス情報(アドレスプール)を追加する必要があります。