ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】
ネットワークのセキュリティ対策に関する次の記述を読んで、設問1〜6に答えよ。
W社は、IT製品の卸売会社であり、国内外のベンダ50社の製品を、500社の販売代理店に卸している。W社では、販売代理店向けに販売代理店支援システム(以下、代理店システムという)を、自社営業員向けに営業支援システム(以下、営業システムという)を稼働させている。W社の本社LANの構成を図1に示す。
本社LANの各システム又は各機器の構成、機能及び動作は、次のとおりである。
- 代理店システムは、DMZのLB、代理店サーバ及び内部LANのDBサーバから構成されている。代理店サーバは2台あり、LBで負荷分散されている。
- 営業システムは、DMZのRPサーバと内部LANの営業サーバから構成されている。外出先からの営業システムの利用は、RPサーバ経由で行われる。
- 内部LANの各部署のNPCから、インターネット上のWebサイトへのアクセス、及びDMZと内部LANのサーバから、マルウェア対策ソフトの定義ファイル更新のためのベンダのWebサイトへのアクセスは、FPサーバ経由で行われる。
- 外部DNSサーバは、DMZのゾーン情報を管理するだけでなく、再帰的な名前解決を行うフルリゾルバとしても機能している。外部DNSサーバはマスタDNSサーバであり、インターネット上のR社DNSサーバをスレーブDNSサーバとして利用している。
- メール中継サーバは、社外のメールサーバ及び社内メールサーバとの間で、電子メール(以下、メールという)の転送を行う。
- 内部DNSサーバは、内部LANのゾーン情報を管理し、当該ゾーンに存在しないホストの名前解決要求は、外部DNSサーバに転送する。
- 社内メールサーバは、社員のメールボックスを保持し、内部LANのNPCとの間でメールの送受信を行う。
昨今、サイバー攻撃が増加しており、情報システムは、情報漏えい、Webサービスの妨害、サーバの不正利用などの脅威にさらされている。そこで、W社では、本社LANのセキュリティ対策を見直すことにした。情報システム部のM課長は、ネットワーク運用担当のN主任に、本社LANのセキュリティ対策の見直しを指示した。
N主任は、部下のJさんへの指導を兼ねて、Jさんと一緒に本社LANのセキュリティ対策を見直すことにした。
[本社LANのセキュリティ対策の状況]
まず、N主任はJさんに、本社LANのセキュリティ対策の状況について確認した。その時の、2人の会話を次に示す。
N主任:本社LANのセキュリティ対策の状況を説明してくれないか。
Jさん:はい。本社LANは、FWでインターネットからのIPパケットをフィルタリングしています。また、FPサーバでは、フィルタリングソフトウェアを稼働させて、URLフィルタリングを行っています。DMZと内部LANのサーバではマルウェア対策ソフトが稼働しており、インターネット上のベンダのWebサイトにアクセスし、マルウェア定義ファイルが更新されているときは、自動でダウンロードするように設定されています。サーバOSやミドルウェアへのセキュリティパッチの適用は、サーバ運用担当が実施しているとのことです。
N主任:分かった。それでは、FWのフィルタリングの詳細を調べてくれないか。
Jさんは、FWの設定内容を調査し、通信を許可するFWのルールを表1にまとめた。
ア:x.y.z.1、項番2のルールによって行われる通信の名称:ゾーン転送
該当するのは、アクセス経路が「インターネット→DMZ」、宛先IPアドレスが「α.β.γ.1(外部DNSサーバ)」、プロトコル/ポート番号が「TCP/53」の送信元IPアドレスです。
ポート番号:53からDNSの通信であることがわかります。
DNSの通信はUDP/53が用いられると覚えていると思いますが、これは名前解決の通信の場合であり、応答速度の速さが求められているためUDPを使用します。
これに対し、TCP/53は信頼性が要求されるゾーン転送の通信で使用されます。
そして、外部DNSサーバとゾーン転送を行うインターネット側の機器は、スレーブDNSサーバであるR社DNSサーバ(IPアドレス:x.y.z.1)になります。
ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバへゾーン転送の要求により行われるため、インターネット→DMZのアクセス経路となります。