HOME»情報処理安全確保支援士掲示板»令和5年秋 午後 問2 設問3 (7)
投稿する
意図と異なるかもしれませんが、
サブネットマスクが255.255.255.0、255.255.255.248と記載があるので、
VLAN10,20,30は256-2の254個、VLAN1が8-2の6個のIPアドレスを扱えるのではないでしょうか?間違えてたらすみません。
・VLAN10が来客用無線LAN
・VLAN20が従業員用無線LAN
・VLAN30がサーバーセグメント
に分けられており、
異なるVLANID同士の通信は例えばFWで通す設定をしていない限りは遮断します。
本筋と離れ恐縮ですが、
数台の構成ならフィルタリングのみでVLANは必要ないのかもしれませんが、
実際は社内に複数のシステム、複数の利用者、
新規に導入するシステム、なくすシステムで入り乱れます。
情シスネットワーク担当者が、
クライアント、サーバー、インターネット間の
通信の制御(通すべきものは通す、それ以外は通さない)を
確実に管理するという点ではこれらは定番の手法であり、
規模間によっては必要かと考える方がいいかなと思います。
情シス目線でいうと、
この問2では、来客用に用意していた外への通信手段をDサービスに代替させることで、
結果的にM社内のネットワークに入らせる必要がなくなり、見事追い出せたので、
それに対する不要なVLAN、FW設定を消し込む設問のように理解しております。
も、あるかもですが、
皆それをやりたくてVLAN導入はしないと思います。
論理的にネットワークを分割することにより、セキュリティリスクを軽減することができるから導入しているところが多いのではないかと思います。
例えば、来客用無線LANはVLANで論理的にネットワーク分割しているので、この経路からはサーバーセグメントや従業員LANへの侵入リスクは少ないと言えるかと思います。
ざっくりした用途として、
VLANはネットワークの分割ができる仕組み、
FWのフィルタリングは例えば特定のIPから特定の場所の特定のプロトコルだけ通す仕組み、でいいのかなと思います。
思いますばかりですみません。
それぞれの機器のIPアドレスをそのままの状態で、VLANをなくした場合、
IF1-P9間の通信に影響が出るため、PCはデフォルト-ゲートウェイへの通信ができなくなります。
デフォルトゲートウェイへの通信ができなくなると、異なるネットワークへの通信ができなくなります。
仮に、それぞれの機器のIPアドレスを同一セグメントに変更した状態で、VLANをなくした場合、
LAN内の通信はデフォルトゲートウェイであるFWを通過しなくなる為、表4のフィルタリング設定は利用されなくなります。
その別途設定の例として、新たな物理IF、(FWではIF2とIF3)(L2SWはP7とP8)、が必要となり、
IF1-IF3に表3のようなIPアドレスの設定。配線としてはIF1とP7、IF2とP8、IF3とP9、が必要です。
これであれば別のネットワークへの通信時にデフォルトゲートウェイを経由する事となり、
表4が適用されるかと思います(入力出力インターフェースの変更は必要)。
ただし、上記の構成(L2SWでVLANを利用せずPCのIPアドレスによるセグメント分け)は例であって、
セキュリティ的には×です。ブロードキャストストーム的?にも×です。
ここまで言ってですが…(No.1)を含めスレ主様の質問の意図がいまいちわかりません。。
令和5年秋 午後 問2 設問3 (7) [1516]
sorablueさん(No.1)
令和5年秋 午後 問2 設問3 (7)
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05a_sc_pm_qs.pdf
について教えてください。
表3にはFWのインタフェース設定が記載されていますが、
それぞれのVLANにIPアドレスが設定されています。
これはFWのIF1は3個、WAN-IF1は1個のIPアドレスを持っている
という理解でよいでしょうか。
また、VLANについてなのですが、VLANとは一つのネットワークを
仮想的に区切るものですよね。もしVLANがなければ
L2SWに接続されているすべての機器が相互に通信可能になります。
しかし、表4のフィルタリング設定があれば、各機器の許可する通信の設定は
できている為、表3のVLANの設定は不要では?と思いました。
VLAN設定のメリットとしてはコリジョンとブロードキャストストームが
他のネットワークに送信されなくなるなどでしょうか。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05a_sc_pm_qs.pdf
について教えてください。
表3にはFWのインタフェース設定が記載されていますが、
それぞれのVLANにIPアドレスが設定されています。
これはFWのIF1は3個、WAN-IF1は1個のIPアドレスを持っている
という理解でよいでしょうか。
また、VLANについてなのですが、VLANとは一つのネットワークを
仮想的に区切るものですよね。もしVLANがなければ
L2SWに接続されているすべての機器が相互に通信可能になります。
しかし、表4のフィルタリング設定があれば、各機器の許可する通信の設定は
できている為、表3のVLANの設定は不要では?と思いました。
VLAN設定のメリットとしてはコリジョンとブロードキャストストームが
他のネットワークに送信されなくなるなどでしょうか。
2024.04.10 17:06
KMRさん(No.2)
> これはFWのIF1は3個、WAN-IF1は1個のIPアドレスを持っている
> という理解でよいでしょうか。
意図と異なるかもしれませんが、
サブネットマスクが255.255.255.0、255.255.255.248と記載があるので、
VLAN10,20,30は256-2の254個、VLAN1が8-2の6個のIPアドレスを扱えるのではないでしょうか?間違えてたらすみません。
> また、VLANについてなのですが、VLANとは一つのネットワークを
> 仮想的に区切るものですよね。もしVLANがなければ
> L2SWに接続されているすべての機器が相互に通信可能になります。
・VLAN10が来客用無線LAN
・VLAN20が従業員用無線LAN
・VLAN30がサーバーセグメント
に分けられており、
異なるVLANID同士の通信は例えばFWで通す設定をしていない限りは遮断します。
> しかし、表4のフィルタリング設定があれば、各機器の許可する通信の設定は
> できている為、表3のVLANの設定は不要では?と思いました。
本筋と離れ恐縮ですが、
数台の構成ならフィルタリングのみでVLANは必要ないのかもしれませんが、
実際は社内に複数のシステム、複数の利用者、
新規に導入するシステム、なくすシステムで入り乱れます。
情シスネットワーク担当者が、
クライアント、サーバー、インターネット間の
通信の制御(通すべきものは通す、それ以外は通さない)を
確実に管理するという点ではこれらは定番の手法であり、
規模間によっては必要かと考える方がいいかなと思います。
情シス目線でいうと、
この問2では、来客用に用意していた外への通信手段をDサービスに代替させることで、
結果的にM社内のネットワークに入らせる必要がなくなり、見事追い出せたので、
それに対する不要なVLAN、FW設定を消し込む設問のように理解しております。
> VLAN設定のメリットとしてはコリジョンとブロードキャストストームが
> 他のネットワークに送信されなくなるなどでしょうか。
も、あるかもですが、
皆それをやりたくてVLAN導入はしないと思います。
論理的にネットワークを分割することにより、セキュリティリスクを軽減することができるから導入しているところが多いのではないかと思います。
例えば、来客用無線LANはVLANで論理的にネットワーク分割しているので、この経路からはサーバーセグメントや従業員LANへの侵入リスクは少ないと言えるかと思います。
ざっくりした用途として、
VLANはネットワークの分割ができる仕組み、
FWのフィルタリングは例えば特定のIPから特定の場所の特定のプロトコルだけ通す仕組み、でいいのかなと思います。
思いますばかりですみません。
2024.04.10 20:00
sorablueさん(No.3)
KMR様
ご教授ありがとうございます。
確かに大企業では社員の端末が数万台はありますし、
通信の制御が必要だと思いました。
ご教授ありがとうございます。
確かに大企業では社員の端末が数万台はありますし、
通信の制御が必要だと思いました。
>実際は社内に複数のシステム、複数の利用者、
>新規に導入するシステム、なくすシステムで入り乱れま>す。
>情シスネットワーク担当者が、
>クライアント、サーバー、インターネット間の
>通信の制御(通すべきものは通す、それ以外は通さない)を
>確実に管理するという点ではこれらは定番の手法であり、
2024.04.11 02:36
tnsさん(No.4)
>また、VLANについてなのですが、VLANとは一つのネットワークを
>仮想的に区切るものですよね。もしVLANがなければ
>L2SWに接続されているすべての機器が相互に通信可能になります。
>しかし、表4のフィルタリング設定があれば、各機器の許可する通信の設定は
>できている為、表3のVLANの設定は不要では?と思いました。
それぞれの機器のIPアドレスをそのままの状態で、VLANをなくした場合、
IF1-P9間の通信に影響が出るため、PCはデフォルト-ゲートウェイへの通信ができなくなります。
デフォルトゲートウェイへの通信ができなくなると、異なるネットワークへの通信ができなくなります。
仮に、それぞれの機器のIPアドレスを同一セグメントに変更した状態で、VLANをなくした場合、
LAN内の通信はデフォルトゲートウェイであるFWを通過しなくなる為、表4のフィルタリング設定は利用されなくなります。
2024.04.11 11:03
sorablueさん(No.5)
tns様
ご回答ありがとうございます。
お返事が遅れまして申し訳ありません。
以下の「通信に影響が出る」とは、トラフィックが増大することによって、
帯域がパンクしてしまうということでしょうか。
以下について理解しました。社内から社内への通信も、表4の4~6で
定義されており、一度FWを経由して通信するルールになっていますね。
ご回答ありがとうございます。
お返事が遅れまして申し訳ありません。
以下の「通信に影響が出る」とは、トラフィックが増大することによって、
帯域がパンクしてしまうということでしょうか。
>それぞれの機器のIPアドレスをそのままの状態で、VLANをなくした場合、
>IF1-P9間の通信に影響が出るため、PCはデフォルト-ゲートウェイへの通信ができなく>なります。
>デフォルトゲートウェイへの通信ができなくなると、異なるネットワークへの通信がで>きなくなります。
以下について理解しました。社内から社内への通信も、表4の4~6で
定義されており、一度FWを経由して通信するルールになっていますね。
>仮に、それぞれの機器のIPアドレスを同一セグメントに変更した状態で、VLANをなく>した場合、
>LAN内の通信はデフォルトゲートウェイであるFWを通過しなくなる為、表4のフィルタ>リング設定は利用されなくなります。
2024.04.16 11:23
tnsさん(No.6)
わかりづらかったようで申し訳ありません。
VLANをなくした場合、IF1-P9間でのタグ情報も無い事になり、
物理IF1に設定されている3個の仮想IFで情報を受けられなくなる(通信ができなくなる)という意味です。
表4はフィルタリング設定ですので、スレ主様が疑問にされている内容とは異なるかと思います。
>以下の「通信に影響が出る」とは、トラフィックが増大することによって、
>帯域がパンクしてしまうということでしょうか。
VLANをなくした場合、IF1-P9間でのタグ情報も無い事になり、
物理IF1に設定されている3個の仮想IFで情報を受けられなくなる(通信ができなくなる)という意味です。
> 以下について理解しました。社内から社内への通信も、表4の4~6で
> 定義されており、一度FWを経由して通信するルールになっていますね。
表4はフィルタリング設定ですので、スレ主様が疑問にされている内容とは異なるかと思います。
2024.04.16 11:43
sorablueさん(No.7)
tns様
ご回答ありがとうございます。
IF1はタグVLANなので、VLANを廃止すると通信ができなくなりますね。
その場合は、別途FWにP9と通信するための設定が必要ですね。
社内から社内への通信は、表4の4~6で定義されている為、
そう考えたのですが、間違っていますでしょうか。
ご回答ありがとうございます。
IF1はタグVLANなので、VLANを廃止すると通信ができなくなりますね。
その場合は、別途FWにP9と通信するための設定が必要ですね。
社内から社内への通信は、表4の4~6で定義されている為、
そう考えたのですが、間違っていますでしょうか。
>表4はフィルタリング設定ですので、スレ主様が疑問にされている内容とは異なるかと思います。
>LAN内の通信はデフォルトゲートウェイであるFWを通過しなくなる為、表4のフィルタ>リング設定は利用されなくなります。
2024.04.16 12:02
tnsさん(No.8)
>IF1はタグVLANなので、VLANを廃止すると通信ができなくなりますね。
>その場合は、別途FWにP9と通信するための設定が必要ですね。
その別途設定の例として、新たな物理IF、(FWではIF2とIF3)(L2SWはP7とP8)、が必要となり、
IF1-IF3に表3のようなIPアドレスの設定。配線としてはIF1とP7、IF2とP8、IF3とP9、が必要です。
これであれば別のネットワークへの通信時にデフォルトゲートウェイを経由する事となり、
表4が適用されるかと思います(入力出力インターフェースの変更は必要)。
ただし、上記の構成(L2SWでVLANを利用せずPCのIPアドレスによるセグメント分け)は例であって、
セキュリティ的には×です。ブロードキャストストーム的?にも×です。
ここまで言ってですが…(No.1)を含めスレ主様の質問の意図がいまいちわかりません。。
2024.04.16 13:30
sorablueさん(No.9)
tns様
ご回答ありがとうございます。
質問の意図としては、VLANを廃止しても
フィルタリング設定があれば問題ないのでは?
と考え質問しました。
しかし、セキュリティ的には
ネットワークを分割する必要があることがわかりました。
ご回答ありがとうございます。
質問の意図としては、VLANを廃止しても
フィルタリング設定があれば問題ないのでは?
と考え質問しました。
しかし、セキュリティ的には
ネットワークを分割する必要があることがわかりました。
2024.04.16 14:21