こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成27年午後Ⅰ問3に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成27年午後Ⅰ問3における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 他方の[空欄ア]型は…
- 4 IDSは監視対象ネットワークにあるSWの[空欄イ]ポートに接続…
- 5 IDS側のネットワークポートを[空欄ウ]モードにすることで…
- 6 IDS側ネットワークポートに[空欄エ]アドレスを割り当てなければ…
- 7 下線部①IDSとFWが連携することで検知した送信元アドレスからの不正な接続を遮断する…
- 8 ICMPヘッダコードにport[空欄オ]を設定したパケットを送って…
- 9 下線部➁このICMPを使った攻撃防止のためのパケットが実際は攻撃者に届かないことがある…
- 10 下線部③防御対象のサーバに新たに脆弱性が発見された場合の一時的な運用に対応できるものがある…
- 11 下線部④IPSの機能の一部が故障した場合に備えた機能…
- 12 設問3⑶:IDS・IPS導入後…
- 13 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
他方の[空欄ア]型は…
設問1ですが、IDSに関する知識を問われており、IDSに関する知識が無いと解答は厳しいです。
参考:IDS・IPSの違いは?
模範解答は’アノマリ’でした。
IDSは監視対象ネットワークにあるSWの[空欄イ]ポートに接続…
設問1ですが、ネットワーク上のパケットを監視する際には、
- 監視する端末
- 監視するソフトウェア(Wire Shark等)
- 監視端末と監視対象のネットワークを連結するスイッチ
- そしてそのスイッチにミラーポートを設定する
このミラーポートを設定し、スイッチのモードをプロミスキャスモードに設定することで、スイッチに流れる全てのパケットを確認することができます。
模範解答は’ミラー’でした。
IDS側のネットワークポートを[空欄ウ]モードにすることで…
設問1ですが、[空欄イ]に記載の内容と同様ですが、IDSによるパケット監視には、スイッチのミラーポートをプロミスキャスモードで利用する必要があります。
模範解答は’プロミスキャス’でした。
IDS側ネットワークポートに[空欄エ]アドレスを割り当てなければ…
設問1ですが、ネットワークの世界において’~アドレス’ときたら、IPアドレスやMACアドレスです。(IPアドレスの種類として、ループバックアドレスやユニキャストアドレス、マルチキャストアドレス、ブロードキャスト、エニーキャストという選択肢もありますが、その場合は問題文により詳細な情報の記載があるはずです。)
模範解答は’IP’でした。
下線部①IDSとFWが連携することで検知した送信元アドレスからの不正な接続を遮断する…
設問2⑵ですが、IDSで検知した攻撃者のIPアドレスをリアルタイムでFWのフィルタリングルールに組み込んであげれば実現できそうですね。
[空欄ア]でも触れた通り、IDSは悪意があると思われる通信、具体的にいうと送信元の情報(IPアドレスとか、利用したポート番号とか、パケットを送ってきた頻度とか…)を記録してくれるわけですから、その送信元の情報をFW内のフィルタリングルール(この送信元のパケットは通過拒否しますetc)に組み込んであげれば、その悪意あるパケットがこちらに届くことはなくなります。
模範解答は’FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する’でした。
ICMPヘッダコードにport[空欄オ]を設定したパケットを送って…
※更新中
設問1ですが、模範解答は’Unreachable’でした。
下線部➁このICMPを使った攻撃防止のためのパケットが実際は攻撃者に届かないことがある…
設問2⑶ですが、なぜICMP(いわゆるping)パケットが攻撃者に到達しないか?を問われています。
ICMPについての知識が合っても、仮説が立てられそうにないですね…こういう時は、「本来はどうなるはずなのか?」VS「実際はこうなっている」の構図で考えていきましょう。
まず、本来であれば、パケットを送ってきた相手にパケットを送り返すことはできるはずです。しかし、実際はそれが難しそうですと。それはなぜか?可能性としては、FW等でルーティングが制御されている、もしくはアドレスが分からない、もしくは運用上の特定の時間にならないとネットワーク機器が利用できないetcが考えられます。
ここで問題文をもう一度読み直してみると、下線部➁の直後にこんな記載がありますね。
又は、このパケット自体が他のサイトへの攻撃となることもあると考えた。
フィルタリングや運用上の理由でICMPが届いていないとすれば、これはあり得ないですね。だってパケットが遮断されるわけですから。つまり、「実際」はどうなっているのかというと、攻撃者が送ってきたパケットが、踏み台サーバか何かをりようして、攻撃者ではない別のIPアドレスが設定され、送信された、という可能性が高いわけです。
模範解答は’不正アクセスの送信元アドレスが偽装されている可能性があるから’でした。
下線部③防御対象のサーバに新たに脆弱性が発見された場合の一時的な運用に対応できるものがある…
設問3⑴ですが、問題文にも’アプリケーションへの影響確認テストに時間がかかり、当該サーバにセキュリティパッチを適用するまで営業システムを数日間休止せざるを得なかった’とあるように、脆弱性への対応は、数日間サーバを止める事であると考えられます。
セキュリティパッチを当てている間、問題のない機能だけ利用できるようにする設定は何か問われているわけですが、これはもうそのまま、脆弱性を突くパケットを遮断する設定をIPSに設定する、です。
模範解答は’保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断する。’でした。
下線部④IPSの機能の一部が故障した場合に備えた機能…
設問3⑵ですが、問題文の下線部の後ろに
IPSを冗長化しないことにした
さらに障害対策の検討理由として
継続して利用できる状態にすることが重要であることから…
という記載も有ります。
これらから、この設問では’IPSを冗長化しなくても’、’通信を継続できる’機能は何か?が問われています。
実務で経験していないとなかなか解答は厳しいですが、
模範解答は’通信をそのまま通過させ、遮断しない機能’でした。
設問3⑶:IDS・IPS導入後…
※更新中
セキュリティレベルの継続的な向上のため、管理PCを使ってどのようなことを行うべきか、を問われています。
冒頭でも記載した通り、IDSで悪意あるアクセス情報を収集し、IPSで遮断する訳ですから、日々、新しい種類の攻撃にされされていないか、IDSが取得したログを確認し、適切なアクセス遮断設定をIPSに施す必要があります。
模範解答は’不正アクセスへの対応を最適化するために、ログを取得して解析する’でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう
