見出し画像

【基本情報技術者5問】ネットワーク構造とセキュリティ考慮

せんない

このNoteでは、セキュリティ機器・サーバやPCをネットワークにどう配置するかを問題演習を通して学習します。

今回がNWシリーズ最終回。必ず以下のNoteで学習してから進めてくださいね。

今回学ぶネットワーク構造は、基本情報技術者だけでなく応用情報以降も通用する内容ですよ。


なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。


FWのパケットフィルタリング


「基本情報技術者試験 平成27年秋問44」より

正答はア。

各項目の適合している部分を色枠で囲みました。

問題文から「一つのルールが適合したときには残りのルールは通用しない」より、番号1に適合したので終了です。



「基本情報技術者試験 平成25年秋問45」より

正答はウ。

発信したとき、送信元(PC、ポートは問題文に書かれず)・送信先(Webサーバ、80番)でした。応答したときは、送信先と送信元を逆にします。>>パケット通信<<

このときのファイアーウォールのフィルタリングルールは2通りあります。

  • スタティックパケットフィルタリング:往路と復路の両方を許可するルールを記述する

  • ダイナミックパケットフィルタリング:往路(行き)のみ許可するルールを記述する

ここで、社内PCと社外Webサーバ(インターネット)の通信を考えます。

スタティックでは、「社内PC→インターネット」「インターネット→社内PC」に許可をします。よって、インターネットから社内PCへの発信も許可してしまうので、攻撃を防げません。

ダイナミックでは、許可された往路の送信が行われたら、一定時間復路の許可設定を行います。「インターネット→社内PC」に許可は出ておらず、「社内PC→インターネット」の通信が発生したら、一定時間だけ「インターネット→社内PC」」の通信を許可します。



WAF(Webファイアウォール)


前回学習した問題をもう一度やっておきましょう。

正答はウ。

ポイントはWAFはデータの中身を検査する点。しかしHTTPS通信により暗号化されているため中身を検査できません。

よって、HTTPS暗号化通信が、HTTP通信に解読されたタイミング「c」に置きます。Webサーバの直前なので守れてますね。

SSLアクセラレータは、SSL/TLSによる暗号通信の暗号化・復号を行う機器です。要はHTTPS暗号通信のHTTP通信の相互変換をします。


なお、今回は問題にしませんが。Webサーバは外部からもアクセスできるDMZ、データベースサーバ(DBサーバ)は社内ネットワークに置く場合が多いです。DBサーバには顧客情報など大事な情報を格納しているので。



セキュリティを考慮したネットワーク構造


FWによって、DMZと社内LANに区画分けした構造が定石です。

  • DMZ:外部からもアクセスできるサーバを置く

  • 社内LAN:外部からガッチリ守りたい、社員PCやファイルサーバーなどを置く

FWによって外部・DMZ・内部ネットワークの3つに分割されたネットワークがある。このネットワークで、Webサーバと重要なデータをもつDBサーバから構成されるシステムサービスを、インターネットに公開する。適切なサーバの設置方法はどれか。
ア:WebサーバとDBサーバを、DMZに設置する
イ:WebサーバとDBサーバを、内部ネットワークに設置する
ウ:WebサーバをDMZに、DBサーバを内部ネットワークに設置する
エ:Webサーバを外部セグメントに、DBサーバをDMZに設置する

「基本情報技術者試験 平成26年秋問40」より改変

正答はウ。「重要なデータをもつDBサーバ」を、外部からアクセスできる外部セグメントやDMZに設置しません。DBサーバは内部ネットワークに設置します。

外部セグメントはFWの外なので、まずサーバーは置かないので、エはあり得ません。必ず消してくださいね。



プロキシサーバ


社内ネットワークからインターネットへのアクセスを中継するのはどれか。
ア:DMZ 
イ:IPマスカレード(NAPT) 
ウ:ファイアウォール(FW) 
エ:プロキシサーバ 

「基本情報技術者修了試験 平成4年6月秋問33」より改変

正答はエ。

プロキシサーバの利点を挙げておきます。

  • インターネットへのアクセスを代理する

  • 社内PCからのアクセスを一元管理できるので、組織としてアクセスできないWebサイトをブラックリストとして設定できる

  • アクセスしたWebの内容をキャッシュし、再度アクセス要求があった時にキャッシュしたデータを利用者PCに送る

    • 表示を速くすることができる

    • ネットワーク負荷を軽減できる


IPマスカレード(NAPT)は、複数のプライベートIPアドレスを一つのグローバルIPアドレスと対応付ける仕組みです。>>NAT/NAPTの対策Note<<



まとめ | ネットワーク構造の決定版


最後に、基本情報技術者試験科目Bや応用情報技術者以降も使えるネットワーク構造を図示しておきますね。

メールサーバが、内部メールサーバと外部メールサーバに分かれています。

メールは漏えいしたら大変なので、社内LANに設置してガッチリ守りたいです。しかしインターネットとアクセスもしないといけないもでDMZにも設置したいです。したがって、外部と送受信する外部メールサーバと、メールを保存する内部メールサーバに分けて設置します。

以下の図をひとまず覚えておけば、長らく大丈夫ですよ。

これにて、ネットワークの仕組み対策は一段落です。

もし正直まだ理解していないテーマがあったら、復習してくださいね。


次は、IPアドレスの計算がお薦めです。

\力試しは修了試験で!4回分の解説です/


p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。

でわでわ(・ω・▼)ノシ

この記事が参加している募集

スキしてみて

518,785件

学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ