このエントリーをはてなブックマークに追加

[概要]

従業員1000人の通信販売会社の話。カタログ販売とネット販売を行っている。

■図1 Y社のネットワーク構成
おなじみのDMZのパターン。

■ 表1 FWルール
こういう図は見るのが面倒だが、ちゃんと確認する。
4の[内部LAN1→すべて]が拒否されているのが気になった。

■表2 DMZに設置されているサーバのIPアドレス
この表記がみにくい

情報システム部の登場。技術グループ、開発グループ、運用グループで構成されている。
そして、このタイミングでセキュリティ対策を行うらしい。

■図2 DMZ対策基準
■図3 サーバ導入手順の概要

[設計書作成及び設計書審査の実施]

開発GのM主任とNさんが登場し、sshのログイン方式とDNSキャッシュポイゾニングを指摘する。

[DMZに設置されるサーバへのSSH接続に関する検討]

休日のトラブル用にwimaxをもっているという。そしてパスワード認証方式から公開鍵認証方式に変更した方がよいと通知する。やはりパスワード認証方式はだめなのか。たしかに、/var/log/secure のログをみると知らないアカウントでログインしようとしてる。公開鍵認証方式は鍵の管理がめんどくさい。そんなことないか。「Y社専用のIPアドレスが割り当てられる」サービスってあるんだと思う。

下線部①登場。問題文を読むとFWの設定の変更を聞いている。もちろん、送信元を「すべて」にすると不要なパケットが飛んでくるので、送信元を「Y社専用のIPアドレス」に変更する。

[DNS機能に関する検討]

空欄補充問題の登場。しかし、分からない。公開鍵認証方式のDNSなんてあったけ?(b)については、レコードに何かを付加して、受け取った側では検証すると書いているので、おそらくハッシュか何かと思った。しかし、考えてるとDNSサーバとリクエストした方のどっちが公開鍵でどっちが秘密鍵なのか分からなくなってきた。記憶では公開鍵で暗号化して、秘密鍵で復号化するはずなので、DNSサーバがレコードにハッシュを付加するんだったら、秘密鍵はリクエストしたサーバに渡すのかと思い、秘密鍵わたしたら意味ないなと思い返しわからなくなった。

結局(a)の方法はややこしいみたいで、現在の最適な設定を行うことに。そして下線部②登場。不適な設定とはなんですかと聞いている。何やろ。現在の設定は問題ないとのことなので、表や図を見直す。すると、表1のFW設定の中にDNSが設定が二つあるだけ。DNSキャッスポイゾニングの仕組みは分かっているつもりだったが、回答が浮かばない。

[サーバ及びサーバ設定検査の実施]

空欄c登場
しかし、わからない。

[迷惑メール対策に関する検討]

ここでNさんが(c)を行う意味がわからず、ナイスな質問をM主任にする。そしてspfは(c)の方法の一つであることが分かる。なので、(c)はスパム対策か?こういう専門用語でない微妙な空欄補充は気持ち悪い。

そして下線部③の登場。わざわざ、カタログWebサーバと受注Webサーバののドメインを利用したメールは送信しないと。
なので表2よりメールサーバのIPアドレスが書かれている4を選択する。

下線部④が登場。そのようなオープンリレーが防止されているかと聞いている。話の流れとして、カタログWebサーバ宛のメールは転送拒否すると言っていて、さらに表3中の語句を使えと言っているので、y-sha.co.jpのみ転送すればよい。

下線部⑤が登場。どのような被害が出るかを説明しろと。スパム認定されると、Y社のメールがはじかれてしまうのが問題になる。

[DMZ接続およびDMZ接続検査の実施]

なるほどテスト後問題発生。DNSキャッシュポイゾニングについて詳しく聞かれるのか。下線部⑥登場。どのような場合成功するかと聞いているが、基本的に問い合わせたら成功するんじゃないの?。キャッシュという単語をみて、キャッシュが残ってたらとか思いついたけど、そんな理由ってあってけと思った。

[オープンリゾルバ対策に関する検討]

DNSのキャッシュサーバとコンテンツサーバを切り分ける対策を検討している。もちろん、コンテンツDNSサーバへの問合せを有効にしないといけない。再帰問合せが出てきて俺は知ってるぞと思った。再帰問合せを有効にすると、ホスト名の問合せに対してIPアドレスを返さないといけない。

■表5 現状の名前解決問合せの通信アクセス制御ルール
■表6 Y社のDNSサーバの名前解決アルゴリズム
空欄fが登場。やはり、Y社が管理しているドメインに対しては非再帰的な問合せを有効にしないといけない。

[問題]

設問1
(1)sshのフィンガープリントから分かることはなんですかと聞いている。Amazon EC2を使っているときに鍵を再度ダウンロードできなかったのを思い出した。finger printがあったが、何やろ。みんな知ってるのか?
(2)下線部①のはなし。読みながら解いた。

設問2
(1)空欄補充問題。やはり(a)は分からない。
(2)DNSキャッシュポイゾニングの問題点を聞いている。フィッシングサイトなど意図しないサイトに誘導される可能性がある。
(3)下線部②の話。
DNSサーバの不適切な設定は何ですかと聞いている。一般的にはTTLが長過ぎとかそんな話を聞いたことがあるので、それを書く。
設問3
(1)(c)を10文字以内との指定。問題文をよんで、スパム対策と書く。
(2)問題文を読みながら解いた。
(3)問題文を読みながら解いた。
(4)問題文を読みながら解いた。
設問4
(1)問題文を読みながら解いた。
(2)問題文を読みながら解いた。
(3)問題文を読みながら解いた。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス