平成17年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問Ⅰ設問5解答と解説

目次

解答

(1)VLAN番号など業務用VLANの設定情報を認証SWに送る。
(2)【b】検疫用VLAN
【c】業務用VLAN
(3)ポートのリンクダウンを検出する。
一定時間以上のPCの無通信状態を計測する
(4)

  • ネットワークの不正利用を防止できる。
  • メールの私的利用を抑止できる。

(5)その他のPCやネットワークシステム全体にウィルス感染が広がることを防ぐ。

解説

(1)
検疫システムの処理の流れについて知っていれば簡単に解答できます。まず、検疫システムの定義についてから考えます。

※個人的には検疫「ネットワーク」という言葉をよく使いますが、問題文に合わせて検疫「システム」という言葉を使います。

検疫とは、本来、人やモノが外国から入国する場合に伝染病に感染していないかを検査することです。コンピュータシステムのウィルスを伝染病に見立てて、ネットワークに接続するPCがウィルスに感染していないかを検査するシステムが検疫システムです。

問題文の図5の検疫システム構成とT氏が説明した検疫システムの手順をもう少し細かく見ていくことにします。
(1)~(4)の手順は、設問4で考えたIEEE802.1xのユーザ認証の手順です。PCが認証SWに接続された場合、そのポートは検疫用VLANに割り当てられています。
そして、PC上のサプリカントと認証SW上のオーセンティケータ、認証サーバ間でIEEE802.1xによるユーザ認証を行います。認証がOKだったら、PCが接続されたポートがAuthorizedポートになって、PCは認証SWを通じてレイヤ2の通信ができるようになります。
検疫システムでは、ウィルス感染のチェックを行うときに、PCを業務用VLANとは別の検疫用VLANに隔離しなければいけません。それを認証SWの未認証の状態のVLANを検疫用VLANにすることで実現していると考えられます。

TENW-H17-PM2-07.jpg

PCを検疫用VLANに隔離したあと検査を行うのはTCP/IPの通信で行わせるようです。そのためのIPアドレスなどの設定情報が必要です。これを手順(5)、(6)のDHCPでのアドレス配布で実現しています。問題文には明示的に書いていませんが、DHCPのアドレス配布でもPCの隔離を制御しているのではないかと思います。
検疫用VLANと業務用VLANでは当然、ネットワークアドレスが異なるはずなので、検疫用VLANのネットワークアドレスからIPアドレスを配布していると考えられます。そして、このIPアドレスはあくまでも検疫処理のときだけの一時的なアドレスなので非常に短いリース期間でしょう。

TENW-H17-PM2-08.jpg

検疫用の一時的なIPアドレスでPCと検査サーバで通信を行い、ウィルスの感染チェックやOSのセキュリティパッチ、ウィルス定義ファイルのバージョンを確認します。検査して問題がなければ、その旨を認証サーバに通知します。これが手順(7)です。

TENW-H17-PM2-09.jpg

もし、ウィルスに感染していたり、セキュリティパッチやウィルス定義ファイルがきちんと更新されていなければ、その旨がPCに通知されます。そして、PCでセキュリティパッチやウィルス定義ファイルを更新するという手順が(8)です。手順(9)で治療サーバがPCにウィルスチェックを指示して、再起動を促しています。再起動後、手順(1)からもう一度検疫システムの処理を行うことになります。

検査結果を受信すると認証サーバは、PCのVLANを業務用VLANに変更させる処理をしなければいけません。認証サーバにはおそらくユーザ名に対応するVLAN番号が登録されていると思われます。ユーザ名に対応するVLAN番号(業務用VLAN)を認証SWに送信します。認証SWはPCが接続されているポートのVLANを検疫用VLANから業務用VLANに変更し、PCが業務用の各種サーバと通信できるようにします。これが手順(10)です。

TENW-H17-PM2-10.jpg

この後、ちょっと問題で記述が不足していると思いますが、業務用VLANのPCのIPアドレスの問題があります。検疫システムの導入前は、PCにはスタティックでIPアドレスを設定していると問題文にありましたが、検疫システムでチェックした後にスタティックでPCにIPアドレスを設定するのは、ナンセンスです。おそらく業務用VLANにDHCPサーバが存在していて、業務用VLANのIPアドレスの割り当てを受けるような構成になるでしょう。

以上のように検疫システムのもう少し細かい動作を見ると、手順(10)で認証サーバから認証SWに送信される情報はVLAN番号やVLAN名などの業務用VLANの設定情報になります。

(2)
(1)の流れを見れば明らかです。PCは最初、検疫用VLANに所属しています。検疫システムでのチェックをパスすれば、業務用VLANの所属に変わります。ですから、【b】には「検疫用VLAN」、【c】には「業務用VLAN」が当てはまります。

(3)
IEEE802.1xのユーザ認証でユーザが切断するときは、EAPOL-Logoffフレームを認証サーバに送信します。正常にPCが終了すれば、この処理が行われて認証SWのポートがUnauthorizedポートになり利用できなくなります。しかし、この処理が正常に行われなければ認証SWのポートはAuthorizedポートのままで、ほかのクライアントPCが接続できてしまう危険性があります。そこで、認証SWで配下のPCの状態を監視しましょうと言うことです。PCの状態を監視するために一番簡単に思いつくのが、リンクダウンの検出です。PCとSWは今では1対1で接続されているのでPCのリンクが落ちたら自動的に認証SWのリンクもダウンします。これを検出するのが一番簡単です。ただし、間にシェアードハブが入っているような環境では、PCがダウンしてもSW側のリンクダウンは発生しません。シェアードハブが間にはいるような構成にしていること自体がまずいとは思いますが、こうした状況を考慮して、ほかの監視方法も考えます。

ほかの監視方法として、PCの通信を計測して、一定時間通信が発生しなければダウンしたと見なす方法も考えられます。後は、PCに対して定期的にPingを行う方法も考えられます。ただ、PingするためにはPCのIPアドレスが必要です。認証SWにPCのIPアドレスを保持する必要があるので、Pingで確認するのはちょっと難しいかもしれません。

最後のPingは現実的には難しいかもしれませんが、

  • リンクダウン
  • 無通信状態の計測
  • Ping

の3つのうち2つを解答すればいいでしょう。
また、この問題とは直接関係ありませんが、IEEE802.1xのユーザ認証では、ユーザIDとパスワードがわからなくてもクラッカーに侵入されてしまう可能性があるので注意しましょう。
下記の図のように、認証SWとPCの間にシェアードハブを挿入しておいて、正規のPCのユーザ認証が成功した後にシェアードハブに別のPCを接続してLANにアクセスすることが可能です。

TENW-H17-PM2-11.jpg

こうした危険性をなくすために、IEEE802.1xのユーザ認証と一緒にMACアドレスベースのポートセキュリティの設定もしておくとより安全になるでしょう。

(4)
この問題のネットワークの目的とその解決策は次の通りです。

  • メールによる情報漏えいの防止

解決策:モニタ型メール収集システムによるメール監査

  • ウィルス侵入の防止

解決策:検疫システムの導入

2つの目的に対する解決策の別の効果を解答すればいいです。

まず、モニタ型メール収集システムによるメール監査を行うことによって、社員がやりとりするすべてのメールを保存して内容を確認できる仕組みが整います。実際に通常時のメールの中身をチェックするかどうかは社員のプライバシー保護の観点から難しいです。
しかし、社員に対して「すべてのメールは保存されていて後から、内容をチェックすることができる」ということを周知すれば、業務に関係ない私用メールの抑止になるでしょう。
また誤って削除してしまったメールも、復旧できるようになります。メールのやりとりでトラブルが発生した場合でも、メールをトラブル解決の証拠として利用しやすい環境になります。
モニタ型メール収集システムによるメール監査の運用上の効果としては、

  • 私用メールの抑止
  • メール復旧の容易性
  • メールの証拠能力の維持

などを考えればいいでしょう。

次に、検疫システムの導入の効果についてです。検疫システムでは、認証SWによるIEEE802.1xのユーザ認証を行うようにしています。これにより、ネットワークの不正利用・侵入を抑止することができます。前問の補足のケースのように100%不正利用・不正侵入を防ぐことができるわけではありませんが、何も行わない場合よりも格段にネットワークの不正利用・侵入を防ぐことができます。
また、検疫システムを導入することで、PCのセキュリティレベルを維持する作業が自動化されます。これまでは、管理者からの通知によってユーザ自らが作業しなければいけませんでした。これを人件費に換算するとバカにならない金額になるはずです。それが自動化されることに伴うコスト削減の効果も見込めます。検疫システム導入の効果としては、

  • 不正利用の防止
  • PCのセキュリティレベルを維持するためのコスト削減

あたりを考えればいいでしょう。

解答としては、片方の解決策に偏るのではなく、両方から1つずつ解答した方がいいと思います。

(5)
問題文の前半部分から下線5の部分の「本来の目的」を読み取ればいいだけなので、そんなに難しくないでしょう。

ウィルスに感染したPCがネットワークに接続されたことによって、その他のPCも合計40台ウィルスに感染し、最終的にはネットワークシステム全体が8時間停止しました。これを何とかしようと考えて、検疫システムの導入を決めたわけです。

つまり、ウィルス対策の本来の目的とは、ほかのPCやネットワークシステム全体にウィルス感染が広がらないようにすることです。これを40字以内でまとめれば解答になります。

【参考URL】

written by Gene


解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!