ネットワークスペシャリスト 解説 令和元年度 午後1 問3

ネスペ

概要

ネットワークスペシャリスト令和元年度の解説をしております。


※IPA様から正式な解答は出ておりませんが、公表され次第、追記予定です。
※IPA様からの正式解答も追記しました。リンクは下記になります↓
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_nw_pm1_ans.pdf

引用元:
令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3」
※一部改変しております。

設問1

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p15」

問題文から読み取れること

  • DHCPサーバとPCのセグメントが異なっている場合に必要になる
  • スイッチの機能名

特に異なるセグメントのDHCPサーバと通信を行うことを捉えたい
上記の2点からDHCPリレーエージェントを答えたい

  • DHCPリレーエージェントが有効になっているスイッチ名を答える
  • ただし、台数が最小となるように考慮する

DHCPリレーエージェントを活用することがわかった上で、その設定するスイッチの数を最低限に抑えることが指示として与えられている
問題文の「ただし〜台数が最小となる」がヒント
条件を指定していることを必ず考慮する

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12,13」

本文から読み取れること

  • PCのIPアドレスは、DHCPサーバによって割り当てられる
  • フロアが2つあり、各フロアに2つのセグメントがある
  • フロアのL3SWに設定されているVLANは、全てポートVLAN

ざっくりまとめ

上記までの条件から答えを導く

  • PCのIPアドレスはDHCPサーバからもらう
  • PCはそもそもフロアにしか存在しない
  • PCはDHCPサーバを見つけるために、所属するセグメントでブロードキャストを行う
  • ブロードキャストはセグメントをまたぐ際には、通信ができない
  • DHCPリレーエージェントはルータやL3SWに設定する機能
  • その機能により、PCからのブロードキャストをL3SWでユニキャストに変換する
  • この時点で、L3SW1、L3SW2には設定が必須とわかる
  • 残り、L3SW0を考慮する必要がある
  • L3SW1、L3SW2でユニキャストに変換されるため、宛先(DHCPサーバ)をL3SW0は知っている
  • そのため、L3SW0にDHCPリレーエージェントの機能は必要ではない



答えは
機能名はDHCPリレーエージェント
スイッチはL2SW1、L2SW2

設問2

(1)DHCPスヌーピングの目的

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p15」

問題文から読み取れること

  • 下線②とあるので、それが指すものを明確にする
  • 下線②を実施しないことを考える、逆に考えると下線②を実施することで防げている問題が、実施しないことによってあらわになってしまうことを明確にする
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p13」

本文から読み取れること

  • 現状
    • PCのセキュリティ対策が万全であるかをチェックしている
    • セキュリティ対策が万全ではないPCには対処を促している
  • 問題
    • せキィリティ対策をしないままのPCが存在する
    • 個人のPCをLANに無断で接続されてしまうことが起きている
  • 対策
    • セキュリティルールに反したPCに対して、LANの利用を制限する
    • 要件として、セキュリティ対策をしていないPC(本文の不正PC)とプライベートのPC(本文の未登録PC)の通信を許可しないことにする
    • 上記、要件を満たすための具体的な実装案が2つ
      • 案1 DHCPサーバとL2SWによる通信制限
      • 案2 専用機器による通信制限
    • 案1に下線部②があるので、案1を考える


ざっくりまとめ

下線部②が示すことを理解する

  • DHCPサーバからIPアドレスを取得したPCだけが通信可能となるように、各フロアのL2SWでDHCPスヌーピングを有効にする

↓もっと具体的にすると

  • DHCPサーバからIPアドレスを自動的に取得した正常なPCだけが通信可能となるように、各フロアのL2SWでDHCPスヌーピングを有効にする。
  • DHCPスヌーピングを有効にすることで、自動的にIPアドレスを取得した正常なPCだけが通信可能となる
  • DHCPスヌーピングによって、静的・手動でIPアドレスを設定した不正なPC・未登録PCが通信可能となってしまうことを防いでいる

↓言い換えると

  • DHCPスヌーピングを無効にすることで、静的・手動でIPアドレスを設定した不正なPC・未登録PCが通信可能となってしまう(問題)


文字数のまとめ

DHCPスヌーピングを無効にすることで、静的・手動でIPアドレスを設定した不正なPC・未登録PCが通信可能となってしまう

↓「DHCPスヌーピングを無効にすること」は問題文で明確だから削る

静的・手動でIPアドレスを設定した不正なPC・未登録PCが通信可能となってしまう(40字)

↓「不正なPC・未登録PC」はPCで置き換えられる

静的・手動でIPアドレスを設定したPCが通信可能となってしまう(31字)

よって、答えは静的・手動でIPアドレスを設定したPCが通信可能となってしまうこと(33字)
※IPA様の公式解答に随時修正予定です

IPAの正式解答は
IPアドレスを固定設定すれば、正常PC以外でも通信できる。(29字)

(2)DHCP trustedポート

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p15」

問題文から読み取れること

  • フロア1、フロア2のL2SWで、DHCPスヌーピングを有効にする
  • L2SWからL3SWへと接続するポートにだけ必要な設定

上記の問題文から答えを導き出す、知識問題になります。

ざっくりまとめ

  • DHCPスヌーピング
    • DHCPクライアント(IPアドレスをもらいたいPCなど)とDHCPサーバ(IPアドレスを付与するサーバ)のやりとり・通信をスヌーピング、つまり覗き見することで監視する機能
    • L2SWに実装される
    • L2SWのポートをtrustedポートとuntrustedポートにわける
      • trustedポートは信頼されるポートで、DHCPサーバと通信することが許可されているポート
      • untrustedポートは信頼されないポートで、untrustedポートに不当なDHCPサーバが接続されたとしても、通信することを許可しない
    • 覗き見して、監視することで、不正なDHCPサーバが立つことを防ぐことや手動でIPアドレスを設定したPCが通信することを防ぐことができる


L2SWからL3SWへと接続するポートにだけ必要な設定とあるので、L3SWへの接続ポートをtrustedポートにすることで、正当なDHCPサーバ(図1のサーバ室のDHCPサーバ)と通信できるように許可する設定が必要となる

文字数のまとめ

L3SWへの接続ポートをtrustedポートにすることで、正当なDHCPサーバ(図1のサーバ室のDHCPサーバ)と通信できるように許可する設定

↓「L3SWへの接続ポートを」は問題文で明確だから削る

trustedポートにすることで、正当なDHCPサーバ(図1のサーバ室のDHCPサーバ)と通信できるように許可する設定

↓設定が答えの核となるので通信対象は削れる

trustedポートにすることで、通信できるように許可する設定(31字)

↓文章をいい感じに整える

trustedポートにすることで通信を許可する設定(25字)

よって、答えはtrustedポートにすることで通信を許可する設定(25字)
※IPA様の公式解答に随時修正予定です

IPAの正式解答は
DHCPスヌーピングの制限を受けない設定(20字)

(3)ARPスプーフィング

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p15」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p14」

これまでのおさらい

  • 問題(問題文の構成での課題)
    • せキィリティ対策をしないままのPCが存在する
    • 個人のPCをLANに無断で接続されてしまうことが起きている
  • 対策
    • セキュリティルールに反したPCに対して、LANの利用を制限する
    • 要件として、セキュリティ対策をしていないPC(本文の不正PC)とプライベートのPC(本文の未登録PC)の通信を許可しないことにする
  • 上記、要件を満たすための具体的な実装案が2つ
    • 案1 DHCPサーバとL2SWによる通信制限
    • 案2 専用機器による通信制限

本文から読み取れること

  • 案2 専用機器である通信制限装置を導入して、セキュリティルールに反したPCの通信を制限する
  • 案2はARPスプーフィングを利用して、LAN上の通信を制限する
  • 通信制限装置は、セグメント内のARPパケットを監視する
    • 排除対象PCが送信したARP要求を検出すると、排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する
    • 排除対象PC宛てパケットの送信先が通信制限装置となるように偽装したARP要求を送信する

前提知識

ARP(Address Resolution Protocol)

  • IPアドレスに紐づく、MACアドレスを知るための機能
  • L3機器に実装

ARPスプーフィング

  • ARPはMACアドレスを知るための機能で、スプーフィングはなりすまし、偽装、だます行為そのもの
  • ARP要求に対して、正当なARP応答になりすまして(偽装して)、不当なARP応答を返答することにより、第三者の機器が通信を傍受できる機能
  • 要は正当な通信の間に、割り込んで入って、どちらにもいい顔してなりすますこと
  • スプーフィングは主に攻撃の意図で使用されるが、本問では監視の意図で使用されている

空欄a

  • 排除対象PCが送信したARP要求に対して、「通信制限装置が送信するARP応答」の「送信元ハードウェアアドレス」、つまりMACアドレスを答える
  • ↑ARP応答を「通信制限装置が送信する」とある
  • 排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する」

よって、答えはエ
通信制限装置のMACアドレスとなる

空欄b

  • 排除対象PCが送信したARP要求に対して、「通信制限装置が送信するARP応答」の「送信元プロトコルアドレス」、つまりIPアドレスを答える
  • ↑ARP応答を「通信制限装置が送信する」とある
  • 「排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する」
  • 排除対象PCが送信したARP要求の送信先プロトコルアドレスが表1からアドレス解決対象のIPアドレスと読み取れる
  • つまり、排除対象PCがARP解決したいIPアドレスに対して、正しい機器のMACアドレスを応答するのではなく、通信制限装置のMACアドレスを応答することで、排除対象PCは正しい機器になりすました・偽装した通信制限装置と通信を行うことになる。

よって、答えはア
アドレス解決対象のIPアドレスとなる

空欄c

  • 「通信制限装置が送信するARP要求」の「送信元ハードウェアアドレス」、つまりMACアドレスを答える
  • ↑ARP要求を「通信制限装置が送信する」とある
  • 排除対象PC宛パケットの送信先が通信制限装置となるように偽装したARP要求を送信する」

よって、答えはエ
通信制限装置のMACアドレスとなる

空欄d

  • 「通信制限装置が送信するARP要求」の「送信元プロトコルアドレス」、つまりIPアドレスを答える
  • ↑ARP要求を「通信制限装置が送信する」とある
  • 「排除対象PC宛パケットの送信先が通信制限装置となるように偽装したARP要求を送信する」
    • つまり、排除対象PC宛パケットのIPアドレスに対して、通信制限装置のMACアドレスを応答することで、通信制限装置が排除対象PCになりすまして・偽装するために、ARP要求を送信する

よって、答えはオ
排除対象PCのIPアドレス

設問3

(1)機器台数の考慮

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p16」

問題文から読み取れること

  • 「下線③の構成において、」とあるので、下線③を明確にする
  • 通信制限装置の最低限の数
  • サーバー室を考慮しなくてよい
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p14」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12」

本文から読み取れること

  • 通信制限装置のLANポート数は4つ
  • 各LANポートの接続先はすべて異なるセグメントにする
  • タグVLANを使用しない
  • フロア間の配線はない
  • L3SWに通信制限装置を接続する
  • L3SW1、L3SW2ではポートVLANを使用

ざっくりまとめ

①通信制限装置をL3SWに接続すること
②フロア間の配線はないこと、各フロアに一つずつ通信制限装置が必要
③問題文からサーバ室を考慮しないことになるので、サーバ室のL3SW0には接続しない

以上の3点から、通信制限装置はL3SW1とL3SW2の各フロアに接続する2台が必要となる
よって、答えは2台

(2)ポートアサイン

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p16」

問題文から読み取れること

  • 「下線④について、」とあるので、下線④を明確にする
  • 前問の(1)で問われた2台導入する通信制限装置のうち、1台のLANポートの接続先を答える
  • ただし、LANポートは小さい順に使用し、使用しないポートは空きと記入する
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p14」

本文から読み取れること

  • 通信制限装置のLANポート数は4つ
  • 各LANポートの接続先はすべて異なるセグメントにする
  • L3SWに通信制限装置を接続する
  • L3SW1、L3SW2ではポートVLANを使用
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12」改変

よって、答えは以下の2通り
L3SW1、L3SW1、空き、空き  
L3SW2、L3SW2、空き、空き

設問4

(1)通信要件の理解

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p16」

問題文から読み取れること

  • 「下線⑤について、」とあるので、下線⑤を明確にする
  • 対処用セグメントのPCと通信する他セグメントの機器を答える
  • 対処用セグメントを明確にする
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p15」


出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12,13」

本文から読み取れること

  • 対処用セグメントとは、不正PCを正常PCに復帰させる対処を行うために、不正PCを接続するセグメント
    • 不正PCと正常PCの違いは、セキュリティ対策を施しているかいないかの違い
    • PCはメンテナンスサーバを利用して、アップデートを行っている
    • PCは内蔵されているセキュリティ検査ツールの結果をPC管理サーバに登録する
  • 対処用セグメントはフロア1とフロア2に追加する

ざっくりまとめ

①PCはメンテナンスサーバを利用して、アップデートを行っている
②PCは内蔵されているセキュリティ検査ツールの結果をPC管理サーバに登録する

よって、答えは以下の2つの機器となる
メンテナンスサーバ
PC管理サーバ

(2)ルーティング設定・DHCPサーバーの設定

出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p16」

問題文から読み取れること

  • 対処用セグメントを追加する際に、設定変更が必要な機器が2つ
  • またそれらの機器の設定変更内容を答える
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12」

本文から読み取れること

  • 対処用セグメントとは、不正PCを正常PCに復帰させる対処を行うために、不正PCを接続するセグメント
  • 「PCのIPアドレスは、DHCPサーバによって割り当てられる」
  • 「ルーティング情報は、全てスタティックに定義してある」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3 p12」改変

ざっくりまとめ

  • 「PCのIPアドレスは、DHCPサーバによって割り当てられる」ため、対処用セグメントに配置される不正PCに対して、DHCPサーバで対処用セグメントのIPアドレスを用意する必要がある
  • 「ルーティング情報は、全てスタティックに定義してある」ため、L3SW0で対処用セグメントへのルーティング・経路情報を設定追加する必要がある

文字数のまとめ

①対処用セグメントに配置される不正PCに対して、DHCPサーバで対処用セグメントのIPアドレスを用意する必要がある(56字)

↓「DHCPサーバで」は機器名で答えるため自明だから削る

対処用セグメントに配置される不正PCに対して、対処用セグメントのIPアドレスを用意する必要がある(48字)

↓「対処用セグメント」をまとめる

対処用セグメントに配置される不正PCに対して、IPアドレスを用意する必要がある(39字)

↓文章をいい感じに整える

対処用セグメントの不正PCに、IPアドレスを割り当てる設定(29字)


L3SW0で対処用セグメントへのルーティング・経路情報を設定追加する必要がある(39字)

↓「L3SW0で」は機器名で答えるため自明だから削る

対処用セグメントへのルーティング・経路情報を設定追加する必要がある(33字)

↓文章をいい感じに整える

対処用セグメントへのルーティング・経路情報を追加する設定(28字)


よって答えは以下の通りになる

機器:DHCPサーバ
機器の変更内容:対処用セグメントの不正PCに、IPアドレスを割り当てる設定(29字)
※IPA様の公式解答に随時修正予定です

IPAの正式解答は
対処用セグメントのアドレスプールを設定する。(22字)

機器:L3SW0
機器の変更内容:対処用セグメントへのルーティング・経路情報を追加する設定(28字)
※IPA様の公式解答に随時修正予定です

IPAの正式解答は
対処用セグメントへのルーティング情報を追加する。(24字)

コメント

タイトルとURLをコピーしました