サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2 No.1】

ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

ネットワークのセキュリティ対策に関する次の記述を読んで、設問1〜6に答えよ。

 W社は、IT製品の卸売会社であり、国内外のベンダ50社の製品を、500社の販売代理店に卸している。W社では、販売代理店向けに販売代理店支援システム(以下、代理店システムという)を、自社営業員向けに営業支援システム(以下、営業システムという)を稼働させている。W社の本社LANの構成を図1に示す。

 本社LANの各システム又は各機器の構成、機能及び動作は、次のとおりである。


 昨今、サイバー攻撃が増加しており、情報システムは、情報漏えい、Webサービスの妨害、サーバの不正利用などの脅威にさらされている。そこで、W社では、本社LANのセキュリティ対策を見直すことにした。情報システム部のM課長は、ネットワーク運用担当のN主任に、本社LANのセキュリティ対策の見直しを指示した。
 N主任は、部下のJさんへの指導を兼ねて、Jさんと一緒に本社LANのセキュリティ対策を見直すことにした。

[本社LANのセキュリティ対策の状況]
 まず、N主任はJさんに、本社LANのセキュリティ対策の状況について確認した。その時の、2人の会話を次に示す。

N主任:本社LANのセキュリティ対策の状況を説明してくれないか。
Jさん:はい。本社LANは、FWでインターネットからのIPパケットをフィルタリングしています。また、FPサーバでは、フィルタリングソフトウェアを稼働させて、URLフィルタリングを行っています。DMZと内部LANのサーバではマルウェア対策ソフトが稼働しており、インターネット上のベンダのWebサイトにアクセスし、マルウェア定義ファイルが更新されているときは、自動でダウンロードするように設定されています。サーバOSやミドルウェアへのセキュリティパッチの適用は、サーバ運用担当が実施しているとのことです。
N主任:分かった。それでは、FWのフィルタリングの詳細を調べてくれないか。

 Jさんは、FWの設定内容を調査し、通信を許可するFWのルールを表1にまとめた。

ア:x.y.z.1、項番2のルールによって行われる通信の名称:ゾーン転送

 該当するのは、アクセス経路が「インターネット→DMZ」、宛先IPアドレスが「α.β.γ.1(外部DNSサーバ)」、プロトコル/ポート番号が「TCP/53」の送信元IPアドレスです。
 ポート番号:53からDNSの通信であることがわかります。
 DNSの通信はUDP/53が用いられると覚えていると思いますが、これは名前解決の通信の場合であり、応答速度の速さが求められているためUDPを使用します。
 これに対し、TCP/53は信頼性が要求されるゾーン転送の通信で使用されます。
 そして、外部DNSサーバとゾーン転送を行うインターネット側の機器は、スレーブDNSサーバであるR社DNSサーバ(IPアドレス:x.y.z.1)になります。
 ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバへゾーン転送の要求により行われるため、インターネット→DMZのアクセス経路となります。

モバイルバージョンを終了