今度はL3スイッチのACL!
前回の続きで、今度はL3スイッチのACLに関する問題です。特に開発用LANについては、なんでこんな回りくどい方法で通信制限するんだと思いました。ACLがあるなら、それで直接制限すればいいじゃないか! …さぁ、問題に愚痴らず、がんばろー!
設問4:問題1の解決策について、(1)~(3)に答えよ。
(1)本文中の下線(Ⅳ)について、表2のアクセスリストを設定すべきインターフェースを、図2中の①~⑥の表記で全て答えよ。ここで、アクセスリストはインターフェースの入力方向に設定するものとする。
まず注意しないといけない点は問題文の「アクセスリストはインターフェースの入力方向に設定するものとする」です。フィルタリングのことを考えるときは必ず向き(通信の方向)を意識することが重要です。
次に注意する点は文章中の「Sさんは、問題1の解決策は…」の部分です。
問題1とは「顧客システム構築ネットワークに対して、当該業務とは関係がないPCから不
正なアクセスを受ける可能性がある」でした。
不正なアクセスとは… ここが悩むところですね。
ただ、これ、答えが文章の中に書いてました。表2の下です。
「具体的には、開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)と、それ以外の不正な通信を禁止する。」
例えば、E社システムサーバ機器を見た場合、まず、開発LANからの直接アクセスは禁止なので、⑤に入ってくる通信は禁止です。次に、F社、G社システムサーバ機器からの通信は不正というかいらない通信です。また逆にF社、G社システムサーバ機器から見るとE社システムサーバ機器からの通信は不要です。なので、②、③、④への入力は禁止です。
①についてですが、FW経由で内部LANに直接入ってくる通信はないので対象外ですね。あと、⑥ですが、ここで172.16.0.0/16を禁止しちゃったら、せっかくVPN組んだ意味がない!ということで対象外です。
答え:②、③、④、⑤
因みに、私は「具体的に…」の文章を見落としてて、見つけるのに15分ぐらいかかっしまいました。後の問題の時間が無くなり、かなり焦った。。(時計を見て一瞬頭が真っ白。)
(2)本文中の下線(Ⅴ)について、禁止される通信は何か。本文中の字句を用いて45字以内で答えよ。
あれ?この問題は、(1)とほぼ同じ内容が問われていますね。でも、短い文章でわかりやすく答えを書くのってすごく難しいですよね。私はテストで良い点をとるコツは知りませんが、答えを書くルールは勉強しました。(前に読んだ参考書に書いていました。これを書いた先生、パクッてすみません。)
・問題文で「…通信は何か」と聞かれたら、答えの最後に「○○通信」と書きます。
・問題文で「…理由は何か」と聞かれたら、「○○だから」と答えます。
・問題文で「…目的は何か」と聞かれたら「○○ため」です。
・問題文で「…通信は何か」と聞かれたら、答えの最後に「○○通信」と書きます。
・問題文で「…理由は何か」と聞かれたら、「○○だから」と答えます。
・問題文で「…目的は何か」と聞かれたら「○○ため」です。
IPAの答えはかなり上手な文章でした。さすがです。
答え:顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信
答え:顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信
因みに、別の参考書に、「答えを書く前に、関係のありそうなキーワードを紙の余ったところに羅列し、接続後などで結び付けて作文しよう」とありました。
あの短い試験時間の中で、こんなに時間的に余裕のある人はいるのだろうか…
私は挑戦しましたが、当日パニクってうまくできませんでした。。
(3)本文中の下線(Ⅵ)について、表3のアクセスリストを設定すべきインターフェースを、図2中の①~⑥の記号で答えよ。ここで、アクセスリストはインターフェースの入力方向に設定するものとする。
設問1の最後の問題です。
まず、表3を見ると、送信元のIPアドレスに10系のアドレスが並んでいます。次に宛先IPアドレスを172系のアドレスが並んでいます。また、注記2に「どのルールにも該当しないものは禁止される」とあります。(暗黙のDenyというやつです。)
表3の1行目は、E社がSSL/VPN接続して、SSL-VPN装置で10.100.1.1~200のうち1つのIPアドレスが割り当てられて、そのIPアドレスで、E社システムサーバ機器:172.16.100.0/24とだけ通信できると言っています。逆を言うと、E社のPCからF社、G社のサーバへはアクセスできないということで、問題文にある「VPN-PCからの不正な通信を禁止する」という意味になります。
このフィルタリングリールが必要なインターフェースは、そう⑥です。
(他の①~⑤に繋がっている機器は、そもそも10系のアドレスではないです。)
それにしても、なぜ割当IPアドレスが「1~200」なのでしょうか。書いていませんが、「201~254」は、SSL-VPN装置やL3スイッチなどで使われているのでしょうね。
答え:⑥
ふ~。あまり技術的なところを、うまく説明できませんでしたが、おいおい(私も勉強しながら)紹介していくつもりです。