2018年10月3日水曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問2

メールのセキュリティにやりすぎということはない!

次はメールサーバのセキュリティに関する問題です。ここら辺が情報処理安全確保支援士 (昔のセキスぺ)との違いというか境界がわかりません。まぁ、とにかく、メールサーバを設定する時は、流行りのセキュリティ設定をするに越したことはありません。
踏み台にされたらえらいことですから。



設問2.[サポート業務委託時のメール運用の検討]について、(1)~(5)に答えよ。


(1)本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のリスクを25字以内で答えよ。

本文中の下線①には、「たとえB社のPCからMSV3へSMTPによるメール送信ができたとしても、MSV3は、a-sha.co.jpドメイン以外への宛先へは、そのメールを転送しない設定となっています」とあります。最近のメールソフトでは、当たり前のように設定するから、忘れがちですが、大事な設定です。
これを設定しとかないと、第三者がこのメールサーバを経由して大量の迷惑メールをリレーさせることができるから。昔Sendmailの時代に、この設定せずに、踏み台にされました。(あのときは怖かった~)
答えを言ってしまいましたが、メールサーバを立てるときは、ドメイン名やIPアドレス、メールアドレスの制限をかけるのは当然の設定です!(めんどくさがらずにね。)

 答え:不正メールの踏み台にされてしまうリスク

(2)本文中の下線②のルータ名を答えよ。

まずは、OP25B(Outbound Port 25 Blocking)とは、外部に対してポート25番宛ての通信を遮断することで、スパムメールを防止する機能です。最近のプロバイダとかは必ず設定されています。
午前Ⅱにもありました。
******************
問.スパムメールの対策として,宛先ポート番号25番の通信に対してISPが実施するOP25Bの説明はどれか。

ア.ISP管理外のネットワークからの受信メールのうち,スパムメールのシグネチャに該当するメールを遮断する。

イ.動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。

ウ.メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからのメールを遮断する。

エ.メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
******************
 答え:イ

まず、本文中に「P社及びQ社はいずれも迷惑メールの送信を防止する対策としてOP25Bのポリシーでメールシステムを運用している」とあります。だからQ社の場合、ルータ4かルータ5です。次にこれはもう暗記してよいですが、OP25Bはインターネットとの境界で行います。理由はLAN内では行う必要がないから。(OP25Bは外部への25番ポートアクセスを禁止します。)総合するとルータ4です。

 答え:ルータ4 


(3)表1の【 オ 】~【 キ 】に入れる適切な字句を答えよ。


この問題はOP25Bを知っていたら簡単です。【 オ 】と【 キ 】はSMTPのポートだから、25/tcp。つまり、【 オ 】が「TCP」で【 キ 】が25。よゆーですね。次に【 カ 】ですが、B社PCからなので、Q社から割り当てられたグローバルアドレスになります。

答え:【 オ 】:TCP、【 カ 】:a.b.0.0/20、【 キ 】:25

(4)本文中の下線③について、このポートを何と呼ぶか答えよ。


これは知識問題です。結論から言うとサブミッションポートというのですが、午前Ⅱにも出ています。仕事でもために出るので覚えておこう!

******************
問.TCPのサブミッションポート(ポート番号587)の説明として,適切なものはどれか。

ア.FTPサービスで,制御用コネクションのポート番号21とは別にデータ転送用に使用する。

イ.Webアプリケーションで,ポート80番のHTTP要求とは別に,サブミットボタンをクリックした際の入力フォームのデータ送信に使用する。

ウ.コマンド操作の遠隔ログインで,通信内容を暗号化するためにTELNETのポート番号23の代わりに使用する。

エ.電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。
******************
 答え:エ


(5)本文中の下線④について、2種類の通信の宛先ポート番号をそれぞれ答えよ。


まず、2種類の通信は「メール送信」と「メール受信」です。メールの送信については、本文にもあるように、サブミッションポートで接続するため587/tcpですね。
因みに25/tcpとはポートが異なりますが、実は平文です。

次に「メール受信」ですが、こちらは本文に以下の文章があります「受信についてはPOP3をTLSで暗号化」のようにPOP3です。また次のポチで、STARTTLSが唄われています。
STARTTLSは本文の説明のように「接続時に平文で通信を開始して途中で暗号化通信に切り替える」だそうです。そしたら、110/tcpだね。


最後に

う~む。改めて解いたら意外といけますね。この年は私も一応午後Ⅰは解けましたよ!
本番まであと少し、がんばれ~!