平成17年度テクニカルエンジニア(ネットワーク)午後Ⅰ 問Ⅰ設問4解答と解説

目次

解答

(1)BBルータの運用の観点 : 
VPN装置にユーザ認証を任せることができるから(23字)
BBルータのセキュリティの観点 :
外部からBBルータへのアタックを防止できるから(23字)

 

(2)利用者向け障害対応マニュアルの策定(17字)
FAQ集の策定(7字)

解説

(1)
S君は、VPN装置の接続箇所として図2の1~3を検討しましたが、結果として3に接続することにしました。3に接続することにした理由を問う問題です。これは正直とても答えにくい問題だと思います。というのは、構成変更後の前提となる構成が明確にされていないからです。VPN機器はトランスポートモードを使うのか?、トンネルモードを使うのか?、構成変更によりIPアドレッシングは変更するのか?、ISPからのグローバルIP割り当てルールはどうなっているのか?、などいろいろと疑問が出てきます。(そもそも札幌側の端末に直接グローバルIPを割りあてる構成はセキュリティ上やめたほうがいいと思いますし・・)

そこで、変更後の構成を推定してみました。既存の設備になるべく設定変更がない構成を考えると以下のようになるかと思います。

TENW-H17-PM1-09.jpg

ESPトランスポートモードを採用し、各機器や端末のIPアドレスを変更せず、BBルータのフィルタリングの設定もそのまま流用する構成を前提としています。

ここでVPN装置の設置位置をそれぞれ検討してみます。
まず2の場所は好ましくないことはすぐにわかるでしょう。インターネットからの接続を内部セグメントで直接受けることになってしまいます。インターネットから内部セグメントに直接通信を許可させるのはセキュリティ上NGです。

では1はどうでしょう?IPsec装置がDMZ上にあるため2よりはセキュリティ上のリスクは少ないですが、すべての通信がIPsecプロトコルにカプセル化されてしまうため、BBルータでプロトコルごとに細かいアクセス制限をすることはできなくなってしまいます。

一方3の場所であれば、BBルータの手前で暗号化は終端されるため、BBルータのフィルタリングがそのまま流用できます。またVPN装置でユーザ認証を行うため、許可されたユーザの通信しか入ってくることはありません。BBルータがインターネット上からの攻撃を直接受けることはなく、VPN機器で攻撃を防止できるということも考えられます。

以上よりVPN専用装置を3の場所に接続した理由としては

BBルータの運用の観点:VPN装置にユーザ認証を任せることができるから
BBルータのセキュリティの観点:外部からBBルータへのアタックを防止できるから

となります。

(2)
テクニカルエンジニア(NW)では、過去にも類似した運用に関する問題が出ています。単純に構築するだけでなく、運用担当に引き継ぐためにどういった準備が必要か、またユーザ自身がトラブル対応するためにはどうすればよいかを考えれば難しくはないでしょう。

まず運用担当者に引き継ぐためには、構成面での資料整備が必要です。具体的にはネットワーク構成図、機器設定表、ラックマウント図などが考えられます。運用面の資料として整備するものは、運用手順書、障害対応マニュアル、問合せ先窓口一覧などが考えられます。

一方、今回の問題は「障害発生時に利用者自身で対処できるようにする」ことが目的です。そのために準備するものとしては、利用者向け障害対応マニュアル、FAQ集などを作成することが考えられるでしょう。

よって回答としては

  • 利用者向け障害対応マニュアルの策定
  • FAQ集の策定

となります。

【参考URL】

written by Gene


解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!