今日は、平成19年度秋期テクニカルエンジニア(ネットワーク)午後I 問2を解こうと思います。
問題文および模範解答(解答のみ、解説はありません)は下のリンクからどうぞ。
※IPAのサイトで公開されているPDFにリンクしています
各問解説
設問1
(a)
DHCP方式では、未検疫のPCが業務用LANに接続するのを防ぐことはできますが、それは未検疫のPCに与えられたIPアドレスからの通信をFWによって遮断することによって実現しています。よって、同じSWに接続されたPC同士の通信は制御の対象外です。このため、ワームに感染したPCがSWに接続された場合、同時に接続されている他の未検疫のPCがワームに感染する危険があります。
認証機能を持ったSWではその危険を低減できるという話ですから、同じSWに接続されたPC同士の通信を制限することができることになります。SWの機能についての話ですから、ポート単位でのネットワーク制御とするのがよいでしょう。
(b)
IEEE802.1Xは、LAN接続時に認証を行うための規格です。
IEEE802.1Xによる認証システムを構成する要素は、
サプリカント(Supplicant)
接続しようとするPC上にインストールされる認証クライアントソフトウェア。
オーセンティケータ(Authenticator)
サプリカントと認証サーバの仲介をするネットワーク機器。接続するIEEE802.1Xに対応したスイッチや無線LANアクセスポイント。
認証サーバ(Authentication Server)
認証を行うサーバ。Radiusサーバを使用する。
の3つです。問題文では『 ( b )と呼ばれる認証SW』とありますので、bに当てはまるのはオーセンティケータです。
(c)
前問での説明の通り、認証サーバで使用されるプロトコルはRadiusです。
問題文中にも書かれているとおり、サプリカントとオーセンティケータの間ではEAPメッセージでやりとりされ、オーセンティケータと認証サーバの間ではRadiusをプロトコルとして使用します。
(d)
EAP-TLS(EAP-Transport Layer Security)は電子証明書を用いて認証を行う方式です。トランスポート層を暗号化し、電子証明書を交換することにより相互に認証を行うため、高度なセキュリティを確保することができます。
設問2
(1)
DHCP方式によるアクセス制御では、接続されたPCが未検疫か検疫済かの区別を、PCに割り当てられたIPアドレスによって行います。従って、接続されたPCをDHCPからIPアドレスの割り当てを受ける設定にせず、業務用LANにアクセス可能なIPアドレスを事前に設定することにより、検疫を受けることなく業務用LANにアクセスできてしまいます。
(2)
設問1の(a)で説明したとおり、DHCP方式では未検疫のPC同士が通信可能な状態にあるため、ワームに感染したPCが接続されると他のみ検疫PCも感染の危険にさらされます。
設問3
(1)
IEEE802.1Xでは、サプリカント(PC)からの通信はEAPを利用します。EAPはデータリンク層と認証層を結びつけるための層で、TCP/IPとは異なるプロトコルスタックを構成しています。このため、認証装置(認証SW)においてEAPメッセージをIPパケットに載せ替える(IPパケットに変換する)ことにより、認証サーバと通信します。
(2)
⑫はセキュリティパッチ適用状況確認に合格した場合に実行される手続きです。⑬で業務用LANへのアクセスを行っていますので、⑫によってPCの接続先が検疫用LANから業務用LANに変更されることが判ります。接続先の切り替えは認証SWのVLAN機能によって行われているので、認証サーバが認証SWに対して業務用LANのVLAN名を通知していると考えるのが良いでしょう。
(3)
IEEE802.1XはPCに対する認証なので、再度認証をすることなく接続ポートを移動することもできるのですが、このシステムではSWのポート毎にVLANを切り替えることによって検疫ネットワークと業務用ネットワークのいずれかに接続させるという仕様なので、PCがSWのポートから切り離された時点で認証を解除し、同時にSWのポートもデフォルト状態(検疫ネットワークに接続)にするのがよいでしょう。解答例のとおり『PCが認証SWのポートから抜かれたとき,VLANを認証前の状態に初期化する』となります。
解説
Radiusに関する知識がないとかなり辛い問題ですが、落ち着いて考えれば約半分は解答可能です。
コメント