ネットワークスペシャリスト 過去問 解説【令和元年度 午後2 問2】
ネットワークスペシャリスト令和元年度の過去問の解説をしております。
本記事では、令和元年度 午後2 問2の解説をしております。
引用元:
「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
※それぞれ一部改変しております。
午後2問1の問題解説はこちらから↓↓
設問1
空欄a
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p16」
- FWの設定で、空欄aとポートスキャンには対応できている
- 空欄aとポートスキャンと並列になっていることがヒント
- 本文中でFWはIPとポートのL4レベルでフィルタリングをおこなっているもヒント
- 攻撃者は必ず相手のIPアドレスを特定した上で、ポートスキャンを行う
スキャンとは脆弱性のある箇所を探すために使われる手法です。
スキャンは攻撃者が攻撃対象となりうる箇所を探すためにも使われますし、システム設計者や運用者が事前に脆弱性のある箇所を見つけるためにも使われます。
スキャンには大きく2種類あります。
それがアドレススキャン(ホストスキャン)とポートスキャンです。
アドレススキャンとは、対象となるネットワークの機器にPingパケットを送り、応答を確認することで対象の機器のIPアドレスを洗い出すことです。
ポートスキャンとは、サーバ上で動作しているアプリケーションを洗い出すことです。
攻撃者としては、対象の機器のIPアドレスを調べて、その機器のアプリケーションを特定します。
つまり、まずは場所を特定して、その上でサービスを把握することによって、攻撃する手法を検討することになります。
よって、答えはアドレス(ホスト)
空欄b
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p16」
- 攻撃者からサーバのクローズされたポート宛にUDPパケットを送る通信手段であること
- そのUDPパケットへの応答として、空欄bのパケットが送信元IPアドレスに返送される
- 上記の攻撃手段をUDP flood攻撃といい、その攻撃手段で使われるプロトコルを答える
スマーフ攻撃(Smurf Attack )とは、攻撃者が攻撃対象のIPアドレスになりすまし、大量のPing(ICMP request)をネットワーク機器に送りつけ、大量のPing応答が攻撃対象のIPアドレスに返ってくることを利用したDoS攻撃の一種です。
UDP flood攻撃とは、UDPの特徴であるコネクションレスを悪用して、Ping(ICMP request)で非常に大きなサイズのUDPパケットを大量に攻撃対象に送りつけたり、特定のアプリケーションポートをダウンさせるDoS攻撃の一種です。
どちらも攻撃者が送信元IPアドレスを攻撃対象のIPアドレスになりすました上で、Ping(ICMP request)を大量に送りつけ、その大量の応答処理(ICMP replyやICMP Unreachable)でサービスを妨害する事が目的です。
空欄bはUDP floodであることが明記されています。
よって、答えはICMP(ICMP Unreachable)
※本文の場合、サーバのクローズされたポート宛にUDPパケットを送ることが記述されているので、その応答として適切なICMP Unreachableと答えても良い
空欄c
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p16」
図や表から読み解く問題です。
インターネットから図1中のメール中継サーバ宛に送信されるとあるので、以下の図1で確認しましょう。
赤線の部分がインターネットからメール中継サーバへの通信経路となります。
青色の部分がメール中継サーバのIPアドレスとなります。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p13」
図1から以下の事がわかりました。
- インターネットからメール中継サーバ宛に送信される経路でFWがあり、そこで通信のフィルタリングをしていること
- メール中継サーバのIPアドレスがα.β.γ.2であること
次にFWの表1中のルールによって、メール中継サーバ宛の通信が許可されるとあるので下の表1を確認します。
赤線の部分が、インターネットからDMZ(メール中継サーバのある場所)へのアクセス経路
青色の部分が、インターネットからメール中継サーバ宛(α.β.γ.2)の通信を許可しているポリシー
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
メール中継サーバ(α.β.γ.2)へのTCP/25のSYNパケットはFWの項番3のポリシーによって、通信を許可されていることがわかります。
よって、答えは3
空欄d,e
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
- 本文中で、外部DNSサーバはフルリゾルバとコンテンツサーバの両方の機能を持ち合わせている
- その外部DNSサーバのフルリゾルバの機能によって、インターネット上のホストの名前解決を行う
- フルリゾルバとしてインターネット上の名前解決をする必要がある通信(DMZからインターネット向けの通信)は、FWでポリシー設定されているのでそれを確認する
上記のポイントをもとに、下の表1を確認する。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
DMZからインターネット通信をするためのポリシーが3つ許可されている。
- α.β.γ.1は外部DNSサーバ(この時点ではフルリゾルバとコンテンツサーバを兼ねる)で、フルリゾルバとして名前解決を行う通信が許可されている
- α.β.γ.2はメール中継サーバで、社外とのメール通信を行う通信が許可されている
- α.β.γ.4はFPサーバ(フォワードプロキシサーバ)で、社内LANからインターネットの通信を代理で行う通信が許可されている。補足で、その際にURLフィルタリングをして不適切なサイトにアクセスしないようにしている。
よって、フルリゾルバによって名前解決を行う必要があるのは、メール中継サーバとFPサーバであることがわかる。
答えはFPサーバ、メール中継サーバ
設問2
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
空欄アと通信の名称
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
表1の空欄アとその通信の名称を答える問題です。
空欄アはインターネットからDMZへの通信であり、宛先IPアドレスのα.β.γ.1は外部DNSサーバです。
外部DNSサーバではゾーンの管理をするコンテンツサーバと名前解決を行うフルリゾルバの機能の両方を担っていることがわかります。
そして、空欄アの該当する項番2のFWポリシーはインターネットから外部DNSサーバ宛に何かしらの通信要件があって許可しているものだと推測できます。
また、インターネットから外部DNSサーバ宛でもUDP/53とTCP/53でそれぞれ許可しているのには理由がありそうです。
↑の2点を踏まえた上でインターネット上でどのような要件で通信する必要があるのかを念頭におきながら、↓の図1を確認してみましょう。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p13」
すると、以下のことがわかります。
- インターネットを介して、R社DNSサーバと通信する要件がある
- 注釈より(緑色の線)、R社DNSサーバはx.y.z.1というグローバルIPアドレスをもち、スレーブサーバとして利用されていると書かれている
R社DNSサーバがスレーブサーバであれば、マスターサーバが存在するはずなので本文を探してみると↓の要件をみつけることができる
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p14」
ゾーン転送とは、コンテンツサーバ(権威サーバ)が管理するゾーンの情報を、冗長化する目的で、他のDNSサーバにコピーすることです。
マスターサーバ(プライマリーサーバ)とは、ゾーン転送するときの送信元となるゾーンを管理するコンテンツサーバ(権威サーバ)のことを指します
スレーブサーバ(セカンダリーサーバ)とは、ゾーン転送するときのマスターサーバ(プライマリーサーバ)からのゾーン情報をコピーする宛先のDNSサーバのことを指します
よって、IPアドレスはx.y.z.1
項番2の通信の名称はゾーン転送
設問3
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
(1)uRPFによるフィルタリング
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p16」
正答率が低かった問題です。
下線①のフィルタリングの内容を答える問題です。
下線①ではuRPFというフィルタリングを行っているとあります。
まずフィルタリングを行う理由としては、下線①の前後の文章から、送信元IPアドレスが偽装されたパケットを利用者のネットワークとの接続ルータでフィルタリングを行うことで、W社宛に到達することを少なくするためと読み取ることができます。
その際に、ISPの接続ルータで、着信したパケットを何と比較して、偽装されたパケットか否かを判断するのかを考えます。
勘が鋭い方は、ルータとあるので、ルーティングテーブルと比較して、想定された送信元IPアドレス以外はパケットを破棄するのではないかと考えることができたらベストだと思います。
uRPF(Unicast Reverse Path Forwarding)
- ルータに着信したパケットの送信元IPアドレスを、ルーティングテーブルと比較して、なければ通信を破棄するフィルタリング技術
- ルーティングテーブルと比較して、破棄することをlooseモード
- 着信したインターフェースから送信元IPアドレスへの通信をリバースして、確認できなかったら破棄するstrictモード
- 主にISPのルータで適用される
IPAの公式の模範解答はルータが受信したパケットのIPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを廃棄する。(54字)
(2)ブロードキャストの求め方
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p16」
続いては(2)で下線②のIPアドレスを答える問題です。
下線②は「DMZの全ての公開サーバを対象とするブロードキャストアドレス宛て」とあるので、まずはDMZのセグメントの情報がないので、記載のある箇所をさがします。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p13」
すると、図1の注記1(青色の線)に、DMZのネットワークアドレスはα.β.γ.0/28とあります。
プレフィックスが/28なので、サブネットマスクは255.255.255.240
サブネットマスクからIPアドレスの総数は15で、セグメントの最後の数がブロードキャストアドレスになるため、α.β.γ.15がブロードキャストアドレスになる。
よって、答えはα.β.γ.15
設問4
(1) 空欄埋め問題
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p17」
図3にある空欄を埋める問題です。
SYNクッキー技術の説明の中で、空欄があります。
それぞれの空欄を埋めていきながら進めて行きましょう。
3wayハンドシェイクとは、データを送る段階の前に、コネクションを確立するTCPの手順です。通信の信頼性を高めるために行われます。
3wayハンドシェイク
①SYN
- 送信者がシーケンス番号をランダムに決めて、SYNクッキー装置に送信する(例:100)
②SYN+ACK
- 逆にSYNクッキー装置がシーケンス番号をランダムに決めて、送信者に返信する(例:200)
- また①で受け取ったシーケンス番号(100)に1を加えた確認応答番号(101)を送信者に返信する
③ACK
- ②で確認をもらったシーケンス番号(101)をもとにSYNクッキー装置に返信する
- また、②で受け取ったシーケンス番号(200)に1を加えた確認応答番号(201)をSYNクッキー装置に返信する
空欄イ
空欄イはSYNクッキー機能を持つ装置がおこなう3wayハンドシェイク中のSYN/ACKの挙動について、問われています。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
↑本文をさがしますと、「変換値をクッキーとして、TCPヘッダ中のシーケンス番号に埋め込んで、」とあります。
↑本文中の「変換値」が図3の②SYN/ACKでおこなわれる「SYNパケットの情報などを基に計算した値」と同義であることがわかります。
また、本文中の「TCPヘッダ中のシーケンス番号に埋め込んで、」とあるので、前述の「変換値」をTCPヘッダ中のシーケンス番号に埋め込むことがわかります。
このことを図3の②で読み替えると、空欄イに適切な答えはシーケンスということがわかります。
よって、答えはシーケンス
空欄ウ
空欄ウはSYNクッキー機能を持つ装置がおこなう3wayハンドシェイク中のACKの挙動について、問われています。
TCPの3wayハンドシェイクの動作を確認しておきましょう。
図3の送信者は②のSYN/ACKで受け取ったTCPヘッダ中のシーケンス番号に1を加えた確認応答番号(ACK番号)を図3のSYNクッキー機能を持つ装置に返します。
そして、SYNクッキー機能を持つ装置が、②のSYN/ACKで送ったシーケンス番号に1を加えた値と③で送信者から受信した確認応答番号(ACK番号)が一致するかを確認します。確認できたら、コネクションを確立して、データ通信を行うことになります。
空欄ウに適切な答えは確認応答ということがわかります。
よって、答えは確認応答
空欄エ
空欄エも↑同様です。
よって、答えは1
(2)SYNクッキー方式を選ぶ理由
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
ディレイドバインディング方式
- SYNパケットを受け取った段階で、メモリの確保を行ってしまう
- サーバでの不要なメモリの確保を行うことができるが、ディレイドバインディング機能をもつ装置は結局その分のメモリの確保を代替する形になる
- したがってディレイドバインディング機能をもつ装置のメモリの容量によって、同時接続数の制限がかかってしまう
SYNクッキー方式
- SYNパケットを受け取った段階で、メモリの確保を行わない
- 3wayハンドシェイクで送信者からのACKを確認できたことをもって、初めてメモリの確保を行う
- したがって、送信者からのACKを確認ができるまでメモリの確保をしないため、同時接続数の制限を緩和することができる
よって、SYNクッキー方式では、コネクションが確立する前に、メモリの確保を行わないという理由をかけば得点を稼げると思います。
IPAの公式の模範解答は、コネクション確立の準備段階では、メモリの確保が不要だから(29字)
(3)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
下線④について、言及されているのでまずは下線④を確認しましょう。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
すると、下線④ではFPサーバ(フォワードプロキシサーバ)で攻撃者の踏み台に悪用される可能性を、FWの設定で防止できていることが書かれています。
ここで、「FWの設定で防止できている」とあるので、FWの設定内容を記載している箇所をさがします。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
- FPサーバ(フォワードプロキシサーバ)のIPアドレスはα.β.γ.4
- FPサーバからインターネット向けへの通信はFWのポリシーで許可されている
- 一方、インターネットからFPサーバへの通信はFWで許可されていない
よって、FWでインターネットからFPサーバ向けの通信を許可していないから、踏み台にされることはない。
FWでインターネットからFPサーバ向けの通信を許可していないという理由を記載すれば合格点はもらえると思います。
IPAの公式の模範解答はFPサーバには、インターネットからのコネクションが確立できないから(33字)
(4)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
下線⑤について、言及されているのでまずは下線⑤を確認しましょう。
すると、メール中継サーバはサーバ自体の転送設定によって、攻撃者による踏み台に悪用される可能性を防止しているということが読み取れます。
メール中継サーバでどのような転送設定をしているのかをさがしてみます。
すると以下の赤線部分の箇所を見つけることができます。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p14」
- メール中継サーバは、社外のメールサーバと社内メールサーバとの間の電子メールの転送を行う
- メール中継サーバは、文字通り、メールの中継を行う。中継するメールをW社のメールアドレスあてのみに制限することによって、攻撃者が中継サーバを踏み台として悪用することを防ぐことができる。
- 中継サーバがW社のメールアドレス宛て以外のメールを転送することができてしまった場合、攻撃者がその中継サーバを踏み台として悪用する恐れがある。
- 要は中継するメールは必要最低限に制限するということ。関係のないメールも転送できてしまう設定があると踏み台として悪用されやすい。
よって、W社あてのメールは転送して、それ以外の宛先のメールは転送処理をしない旨を記載すれば得点を稼げると思います。
IPAの公式の模範解答はインターネットから受信した、W社のメールアドレス宛て以外のメールは中継処理しない(40字)
(5)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
空欄を埋める問題です。
表2とあるので、表2を確認します。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p19」
表2を見ただけでは、何にもわからないので、本文中の説明を探します。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
すると、以下のことがわかります。
- 攻撃者に踏み台にされる可能性があるため、外部DNSサーバの構成を変更することになった。
- 外部DNSサーバをコンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)に分離することによって、問題を解決できると判断した。
- その際に、FWのポリシー設定である表1中の項番6を変更する必要があり、その変更内容を問われている。
- コンテンツサーバ(DNS1)のIPアドレスがα.β.γ.1
- フルリゾルバサーバ(DNS2)のIPアドレスがα.β.γ.6
- コンテンツサーバ(DNS1)は、インターネット上の不特定のホストからの名前解決要求に応答する必要がある。
- フルリゾルバサーバ(DNS2)は、FPサーバとメール中継サーバからのインターネット上のホストの名前解決を行う必要がある。
上記のことが読み取れたので、変更前の表1を確認します。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
変更前の表1の項番6は、外部DNSサーバからインターネットへのアクセスを許可するFWのポリシーです。
その外部DNSサーバを前述の通り、コンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)にわけることにしました。
DMZからインターネットに出ていく必要があるのは、フルリゾルバサーバ(DNS2)です。
FPサーバとメール中継サーバからのインターネット上のホストの名前解決を行う必要があるためです。
コンテンツサーバ(DNS1)もゾーン転送でインターネット上のR社DNSサーバと通信をする必要があります。しかし、表1の注記2からステートフルインスペクション機能によって、一旦入ったら戻りも許可することになっているので、FWの設定としては項番2で十分であることがわかります。
空欄オはフルリゾルバサーバ(DNS2)が送信元のIPアドレスになるので、α.β.γ.6です。
空欄カはフルリゾルバサーバ(DNS2)がインターネット上のホストの名前解決を行うので、anyです。
答えは空欄オはα.β.γ.6、空欄カはany
設問5
(1) 空欄埋め問題
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p20」
表3の空欄キ〜サを埋める問題です。
IPAの解説から設問5の正答率は高かったそうです。
問い合わせパケットは、フルリゾルバからコンテンツサーバへ送られる
一方、応答パケットは、コンテンツサーバからフルリゾルバへ送られる
要は、問い合わせと応答をどの機器が行うのかを導き出していればこの問題は解けます。
順番に埋めていきます。
空欄キ
空欄キを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
そのため、送信元IPアドレスはコンテンツサーバのIPアドレスになります。
よって、答えはコンテンツサーバのIPアドレス
空欄ク
空欄クを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
そのため、宛先IPアドレスはフルリゾルバサーバのIPアドレスになります。
よって、答えはフルリゾルバサーバのIPアドレス
空欄ケ
空欄ケを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
フルリゾルバからコンテンツサーバへの問い合わせパケットとして、53の宛先ポート番号に送られたことになるので、その応答パケットとして送信元のポート番号も53になります。
よって、答えは53
空欄コ
空欄コを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
問い合わせパケットの送信元ポート番号は注釈1からn(特定の範囲の値)が利用されているので、その応答パケットとしては宛先ポート番号をn(特定の範囲の値)になります。
よって、答えはn
空欄サ
空欄サを含む応答パケットは、コンテンツサーバからフルリゾルバサーバへ送られるパケットになります。
問い合わせパケットの識別子は注釈2からm(任意の値)が利用されているので、その応答パケットとしては識別子はm(任意の値)になります。
よって、答えはm
(2)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
引き続いて、表3に関する問題です。
まずは、下線⑥が指しているものを確認してみましょう。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p19」
DNSキャッシュポイズニングの攻撃手順の中に、下線⑥があります。
そして、攻撃者がコンテンツサーバからの正当なパケットが返ってくる前に、偽の応答パケットをフルリゾルバサーバに送信できる理由が記述されています。(上の画像の赤線部分)
●問題
- フルリゾルバサーバからコンテンツサーバへの問い合わせパケットの送信元ポート番号には特定の範囲の値が使用されやすい
- 要は決められた1-100のようなポート番号の中から選ばれるので攻撃者としては送信元ポート番号を推測しやすい
- そのため、攻撃者は偽の応答パケットを正当なパケットとしてなりすますことができてしまう
●解決策
- 送信元ポート番号のランダム化
- 要は、決められた範囲の値(1-100みたいな)を決めるのではなく、完全にランダム化して攻撃者が行うフルリゾルバサーバの宛先ポート番号の特定に労力をかけさせる
したがって、コンテンツサーバからフルリゾルバサーバへの応答パケットをなりすます攻撃者のパケットは宛先ポート番号がランダム化されることになるので、パケットごとに異なる内容になる
また、表3を再度確認すると、注釈2で識別子も任意の値が設定されるので、パケットごとに異なる内容になる
よって、答えは宛先ポート番号、識別子
(3)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
下線⑦で、防げると判断した理由を答える問題ですね。
本文中で下線⑦をさがしましょう。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p20」
すると、下線部⑦で外部DNSサーバの構成変更によって、サーバ2へのキャッシュポイズニング攻撃を防げると判断した理由を具体的に答えることが求められているとわかります。
外部DNSサーバの構成変更が起点になっているので、その点を本文中で確認します。↓
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p18」
- 攻撃者に踏み台にされる可能性があるため、外部DNSサーバの構成を変更することになった。
- 外部DNSサーバをコンテンツサーバ(DNS1)とフルリゾルバサーバ(DNS2)に分離することによって、問題を解決できると判断した。
- その際に、FWのポリシー設定である表1中の項番6を変更する必要があり、その変更内容を問われている。
※設問4の(5)でふれているように、DMZからインターネットへの通信を許可する項番6はフルリゾルバサーバ(DNS2)から宛先anyで通信を許可するに変更している。 - コンテンツサーバ(DNS1)のIPアドレスがα.β.γ.1
- フルリゾルバサーバ(DNS2)のIPアドレスがα.β.γ.6
- コンテンツサーバ(DNS1)は、インターネット上の不特定のホストからの名前解決要求に応答する必要がある。
- フルリゾルバサーバ(DNS2)は、FPサーバとメール中継サーバからのインターネット上のホストの名前解決を行う必要がある。
以上の本文中から読み取れることをもとに、もう一度、下線⑦を読み替えてみる。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p20」
上記のように、下線⑦を読み替えることができたら、さらに、なぜ外部DNSサーバを分離することによって、フルリゾルバサーバへの攻撃を防ぐことができるのかを考えることになる。
ここで、気づいてほしいのが外部DNSサーバを分離する時に変更している設定内容はFWのみであるということである。まずは設定変更をした箇所がヒントになるのではないかと考える。
↓が外部DNSサーバの構成変更後のFWのポリシーになります。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
外部DNSサーバの構成変更後には、インターネットからフルリゾルバサーバ宛への通信を許可するポリシーをFWで許可していないため、インターネットからフルリゾルバサーバ宛の全てのパケットは破棄されます。
構成変更をすることによって、FWでポリシーが適用され、インターネットからフルリゾルバサーバへのパケットは破棄されることがキャッシュポイズニング攻撃を防ぐことができる理由になります。
IPAの公式の模範解答は攻撃者が送信する、キャッシュポイズニングのための名前解決要求パケットは、FWで廃棄されるから(46字)
設問6
(1)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
図4中の、名前解決要求とその応答の通信順番を答える問題です。正答率が低かったそうです。
図4を確認してみましょう。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p21」
fast-flux.example.comの名前解決をする際に、確認しなければならない点が2つあります。
- fast-flux.example.comを管理するコンテンツサーバ
- 名前解決を行う機器
図4より、fast-flux.example.comを管理するのはexample.comドメインコンテンツサーバであることが読み取れます。
名前解決する機器を調べていきます。
すると、内部LANのNPCから、インターネット上のWebサイトへのアクセスはFPサーバ経由で行われることが↓の記述から読み取れます。
したがって、NPCからインターネットへのアクセスをする際にはFPサーバ経由で行われるため、インターネット上の名前解決要求もNPCに代わってFPサーバが行うと読み解くことができます。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p14」
また、↓図1からDMZからインターネットへの通信は中継サーバとフルリゾルバサーバを除くとFPサーバしかないことを確認できます。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
よって、名前解決要求とその応答の通信は以下のような順番になります。
- 社内NPCからのインターネット上の通信はFPサーバ(フォワードプロキシサーバ)が担う。
- そのため、FPサーバ(フォワードプロキシサーバ)からフルリゾルバサーバ(DNS2)に名前解決要求を問い合わせる
- フルリゾルバサーバ(DNS2)がexample.comドメインコンテンツサーバに名前解決を行い、その応答をもらう
- フルリゾルバサーバ(DNS2)がexample.comドメインコンテンツサーバにもらった応答をFPサーバ(フォワードプロキシサーバ)に返答する
以上の順番を踏まえた上で、記号で答えます。
よって、答えはe,g,h,f
(2)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p21」
問題文のDNSサーバ2はフルリゾルバサーバを指します。
フルリゾルバサーバがexample.comドメインコンテンツサーバからの応答をキャッシュする時間が問われています。
↑のdigコマンドでns.example.comに問い合わせた時に応答される情報(赤線部分)を確認しましょう。
example.comドメインコンテンツサーバからの応答である、ANSWER SECTION部分に180秒という記載があります。180秒であり、180分ではありません。
180秒を分に換算すると、3分です。
よって、答えは3
(3)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
正答率が低い問題です。
まず問題文のC&Cサーバを効果的に隠蔽したマルウェアによるC&Cサーバへアクセス方法を調べる前に、マルウェアのC&Cサーバへアクセスする際の通常時の挙動を確認しましょう。
マルウェアのC&Cサーバへのアクセス方法
- NPCに侵入したマルウェアは攻撃者が管理するC&Cサーバと通信をする
- C&Cサーバからマルウェアに感染したNPCに命令が行われ、マルウェアの拡散やC&Cサーバへ秘密情報を盗み出したりする
- 攻撃者の心理としては、侵入したシステムの管理者からC&CサーバのIPアドレスを特定されてしまうと通信の遮断や攻撃者自身を特定されてしまう。証拠を残さないことが攻撃者の理想
- そのため、IPアドレスを隠蔽するためにFast Fluxと呼ばれる手法が使われる
- また、ドメイン名を隠蔽するためにDomain Fluxと呼ばれる手法が使われる
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p20」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p21」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
それでは、↑の図5を確認してみましょう。
図5は「Fast FluxとDomain Fluxを組み合わせたときのns.example.comに設定されるゾーンレコードの例」であることがわかります。
図4はFast Fluxのみが使われた場合でしたが、図5はFast Fluxに加えて、Domain Fluxを組み合わせたと読み取ることができます。そのため、Domain Fluxの特徴を答えることが得点に結びつきます。
Domain Fluxによって、ドメインにはワイルドカードが使用され、あらゆるホスト名に対して、同一のIPアドレスを応答することができるようになっています。
そのため、アクセス先のIPアドレスを短い時間で変更することによって特定されることを防ぐFast Fluxの効果に加えて、ドメインワイルドカードでアクセス先のドメイン名も特定しにくいようにしています。
IPAの公式の模範解答はアクセス先のホスト名をランダムに変更する。(21字)
(4)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
正答率が低い問題です。
まずは下線⑨を確認しましょう。
↓の通り、Fast FluxとDomain Fluxを組み合わせた攻撃(C&CサーバのIPアドレスとドメイン名の隠蔽)の対策として行う、運用上の対策が下線⑨の「FPサーバとFWのログを定期的に検査すること」になります。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p22」
Fast FluxとDomain Fluxを組み合わせた攻撃(C&CサーバのIPアドレスとドメイン名の隠蔽)への対策
- FPサーバでHTTPS通信の復号化を行う。また、FPサーバでプロキシ認証を行う。
- 社内NPCのブラウザでIDやパスワードのキャッシュを残さないで、都度入力するようにする
- 通過点となるFPサーバとFWのログを定期的に確認することで異常な通信を迅速に発見する
マルウェアに感染したNPCがインターネット上の攻撃者の管理サーバであるC&Cサーバにアクセスする際には、FPサーバを介することになる。
その際、FPサーバでプロキシ認証を行うことになるが、本文の場合、攻撃者は乗っ取ったNPCのIPやパスワードを知らないので、プロキシ認証で短い時間の間に失敗するログがFPサーバに吐き出される。
したがって、プロキシ認証で認証の失敗がFPサーバのログでたびたび検出されることを解答に盛り込めば、点数を得られると思います。
IPAの公式の模範解答はFPサーバでの認証エラーが短時間に繰り返されている。(26字)
(5)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p23」
マルウェア感染したNPCが、FPサーバを経由せずに、C&CサーバのFQDN宛にアクセスを試みた場合に通信が失敗する理由を答える問題です。
一つずつ通信の挙動を確認していきましょう。
●FPサーバを経由する通信(NPCからインターネットへの通信)
- NPCがインターネットへのアクセスを試みる際に、FPサーバを経由する
- FPサーバでプロキシ認証を行う。認証がOKであれば次に進む。NGであれば通信が拒否される。
- FPサーバでさらにURLフィルタリングを行う。不正なURLであれば、通信が拒否される。
- FPサーバがFQDNの名前解決要求をフルリゾルバサーバ(DNS2)に行う
- フルリゾルバサーバ(DNS2)がexample.comドメインコンテンツサーバからFQDNに対するIPアドレスをFPサーバに応答する
- FPサーバが知り得たFQDNに対するIPアドレスにアクセスを試みる
- FWのポリシーで許可されて、目的のIPアドレスにアクセスできる
●FPサーバを経由しない通信(NPCからC&Cサーバへの通信)
- マルウェアに感染したNPCが内部DNSサーバに名前解決要求を行う。
- 内部DNSサーバはC&CサーバのFQDNを自身のゾーンで確認して、ないものは外部DNSサーバ(コンテンツサーバ、DNS1)に転送する。
※フルリゾルバサーバではないことに注意する。 - 外部DNSサーバ(コンテンツサーバ、DNS1)でも当然、C&CサーバのFQDNはゾーン情報として登録していないので、NPCはC&CサーバのFQDNの名前解決ができないことになる。
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p15」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ問2 p14」
したがって、FPサーバを経由しない場合、NPCはC&CサーバのFQDNを名前解決することができず、目的のIPアドレスを指定することができない。この旨を解答に盛り込むと十分に合格点だと思います。
IPAの公式の模範解答はC&CサーバのIPアドレスが取得できないので、宛先が設定できないから(34字)
※ちなみに、FPサーバを経由しない場合、「NPCの名前解決要求がFWで許可されていないから通信することができない」といった解答が予想されますが、こちらは解答としては不適切だと思われます。
なぜなら、FWで通信をフィルタリングをする以前の問題で、名前解決ができず、IPアドレスを指定できていないのでそもそも通信が始まっていないからです。
午後2問1の問題解説はこちらから↓↓
AWSに特化したコースがあるエンジニアリングスクールはまだまだ少ないです。
ですが、Raisetech(レイズテック)は現場レベルのAWSスキルを身につけられる実践的なエンジニアリングスクールとしておすすめできます!!
筆者自身も実際にAWSフルコースを4ヶ月間完走しており、エンジニアとしてスキルアップできました!
