平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ 問3 リモート接続の見直し 設問41


平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ問題


解答

(1) [オ] 443
[カ] 方向2
[キ] a.b.1.5
[ク] x.y.1.4
[ケ] x.y.1.3
(2) SSL-VPNでY社に接続可能なモバイルPCを限定できる
(3) ポート番号に対応づけられたサーバのIPアドレス
(4) 社外から利用できるアプリケーションを限定する

解説

(1)

おなじみのファイアウォールのフィルタリング条件についての問題です。ファイアウォールを通過する通信フローをしっかりと把握することがポイントです。

インターネット上のクライアントPCからSSL-VPN経由のアプリケーションの通信は、SSL(TCPポート443)でカプセル化され、いったんすべてSSL-VPN装置に集約されます。そして、SSL-VPN装置から内部ネットワークの各サーバへリダイレクトされます。

まず考えるべきことは、インターネット側からSSL-VPN装置へのSSL通信を許可することです。問題文の表の1行目のフィルタリング条件に相当します。方向1、すなわちインターネットの方向の外部LANからDMZへのSSL-VPN装置への通信を許可します。SSLでカプセル化されているのであて先ポート番号は443です。

2行目以降のフィルタリング条件は、SSL-VPN経由で利用するアプリケーションについての条件です。いったんSSL-VPN装置に集約されてから各サーバへリダイレクトされるので方向2です。2行目はあて先ポート番号が15000なので業務用アプリケーションです。したがって、送信先IPアドレスは業務サーバのx.y.1.4です。送信元IPアドレスはSSL-VPN装置のa.b.1.5です。
3行目は、あて先ポート番号が25なのでSMTPです。したがって、送信先IPアドレスはメールサーバのx.y.1.3です。

 

H18TENW_18.png
図 18 SSL-VPN経由の通信フロー

(2)

SSLの通信でクライアント側にも証明書を利用する構成にした場合、証明書がインストールされていないクライアントはSSL-VPNを利用できません。
つまり、SSL-VPNを利用させたいモバイルPCにのみ証明書をインストールし、SSL-VPNを利用させたくないモバイルPCには証明書をインストールしないといったように、SSL-VPNを利用できるモバイルPCを制限することができます。

(3)

SSL-VPN装置は、アプリケーションの種類によって適切なサーバへリダイレクトします。アプリケーションの種類は、すなわちTCPポート番号です。TCPポート番号に対応して送信先IPアドレスの変換を行います。

(4)

「認証と暗号化以外のセキュリティ対策」という記述がちょっと曖昧で、出題者の主観の問題のような気がしますが・・・無理矢理考えると、利用可能なアプリケーションを限定できることでしょうか。

たとえば、IPSec VPNでリモートから内部ネットワークに接続した場合、その内部ネットワークのサブネットすべてに通信ができてしまいます。すると、仮にウィルスに感染しているなどクライアントのセキュリティに問題があれば、接続した内部ネットワークのサブネットすべてに影響が出てしまうことが考えられます。

一方、SSL-VPNであれば利用できるアプリケーションが限定され、通信する内部サーバも限定されます。仮にクライアントPCにセキュリティ上の問題があっても、その影響を限定することができます。
こういった内容をまとめればよいでしょう。

参考URL

特になし