解答
(1)社内用メールサーバ
中継用メールサーバ
(2)設置場所:(z)
設定内容:パケット抽出装置を接続しているポートを社内用メールサーバの接続ポートのミラーポートにする
(3)モニタ型メール収集システムのVLANと業務用VLANを分割し業務と監査のトラフィックを分離する
解説
(1)
まず、現状のメールの配信経路を考えます。メールのやりとりは、
- 社内PCから社内PC
- 社内PCから外部PC
- 外部PCから社内PC
の3パターンあります。この3パターンのメールの配信経路を簡略化して考えると次の図のようになります。
この解説では、中継型メール収集システムで、メールを収集する機器を便宜的にメール収集用サーバと呼ぶことにします。中継型メール収集システムを導入するには、このメール配信の経路上にメール収集用サーバを挿入します。どこに挿入するかがポイントです。
すべてのメールを収集しようとすると、社内PCと社内用メールサーバの間にメール収集用サーバを挿入すればいいでしょう。ただし、この場合、社内PCすべてでメールサーバの設定を変更しなければいけません。社内PCすべての設定を変更するのは、管理上、かなり負荷がかかりますし、設定ミスなどで思わぬトラブルを招く危険性があります。そして、問題の2つの機器ということに当てはまらないので、メール収集用サーバはこの部分ではありません。さらに、問題文の下記の部分を読むと、
送受信されるすべてのメールを収集するためにモニタ型を採用した
とあります。これは言い換えれば、中継型では送受信されるすべてのメールを
収集しないと読み取れます。
以上より、メール収集用サーバは社内用メールサーバと中継用メールサーバの間に挿入するのが適切だろうと考えられます。
設定変更は次の通りです。社内用メールサーバから外部あてのメールの転送先をいままでの中継用メールサーバからメール収集用サーバに変更します。そして、外部から社内あてのメールを中継サーバではいままでの社内用メールサーバからメール収集用サーバに転送するように変更します。そうすると、社内PC間のメールは収集できませんが、社内と外部でやりとりされるメールを収集できるようになります。この場合、メール配信経路は下記のようになります。
FWの設定変更は、問題文に明示的に書かれていないので推測するしかありませんが、IPアドレスとポート番号ベースでサーバ間の通信の組み合わせのみを許可しているものと思われます。社内用メールサーバと中継用メールサーバの間にメール収集用サーバが入ることで、FWで許可するサーバのIPアドレスの組み合わせを変更する必要があると考えられます。
(2)
問題では、メールをすべて収集するということでモニタ型メール収集システムを採用するとのことです。そのためのパケット抽出装置の設置場所を考えます。社内のみ、社内から社外、社外から社内問わず、すべてのメールは社内用メールサーバを経由して配信されます。そこで、社内用メールサーバに届くメールのパケットをモニタすればいいことがわかります。つまり、パケット抽出装置を接続するのは、社内用メールサーバが接続されているSWの(z)の位置です。
次にSWの設定についてです。SWはあて先MACアドレスを見て必要なポートにのみフレームを転送するので、社内用メールサーバと社内PC、社内用メールサーバと中継用メールサーバ間のパケットはそのままではパケット収集装置の接続ポートに転送されません。 そこで、パケット収集装置の接続ポートをミラーポートにする必要があります。社内用メールサーバが接続されているポートで送受信するパケットをパケット収集装置の接続ポートにコピーし、メールのパケットを抽出します。
(3)
モニタ型メール収集システムは、1つの機器ではなく、問題文の図3になるように
- パケット抽出装置
- NAS
- メール監査装置
の3つから構成されているようです。パケット抽出装置で、社内用メールサーバで送受信されるメールを抽出して、それをネットワーク経由でNASに保存。保存したメールをメール監査装置が監査するという動作になるでしょう。この3つの間でネットワークトラフィックが発生します。すべてのメールを抽出して監査するので、けっこうな量のトラフィックになることが予想されます。これを業務用のデータを送信するサブネットと同じサブネットに流してしまうと、業務用のデータトラフィックの利用できる帯域が少なくなってしまうことが考えられます。
こうした管理用のトラフィックのやりとりは、業務用のトラフィックと別サブネットを作成してその上で行うのが一般的です。これを50字以内でまとめると解答になります。
図3ではバス型の接続になっていますが、スイッチを使っているので、現実的な接続は次の図のようになるでしょう。この中のパケット抽出装置、NAS、メール監査装置の3つのポートのVLANを分けて、メール収集システムのトラフィックが業務用トラフィックを邪魔しないようにする必要があります。
【参考URL】
<
- a href="http://www.uis.co.jp/services/isp_mail_kansa.html">メール監査/保存サービス|ISP インターネット・サービス案内|UNISYS 日本ユニシス情報システム
- ポートミラーリング概説
解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!
