令和元年度秋期ネットワークスペシャリスト試験午後Ⅰ問3が厳つい
問題
URLが平成31年ですね。。こちらのネットワークスペシャリスト試験 午後Ⅰ問3です。
問題を引用していきます。
概要
E社という小売業を営む中堅企業のお話です。
・PCはメンテナンスサーバを利用して,OSやアプリケーションプログラムのアップデート,ウイルス定義ファイルのアップデートなどを行う。
・PCには,E社のセキュリティルールに従っているかどうかを検査するソフト(以下,Sエージェントという)がインストールされている。
・Sエージェントは,検査結果をPC管理サーバに登録する。
ふむふむ、よくある話ですね。ここから、セキュリティルールに反したPCはLANの利用を制限しようという話に展開していきます。
〔LAN通信制限方法の検討〕
(中略)
・PC管理サーバ上の情報に応じて,PCを次の三つに区分する。
正常PC:Sエージェントの検査結果が合格のPC
不正PC:Sエージェントの検査結果が不合格のPC
未登録PC:PC管理サーバに登録がないPC(無断持込みのPCは,これに該当)
・正常PCは,通信を許可し,不正PCと未登録PC(以下,排除対象PCという)は,通信を許可しない。
無断持込みをする輩がいるとは、なかなかの会社ですね・・・。
通信制限の実現方法
そして実現方法について案が2つ出てくるのですが、案2が以下の通り。
案2:専用機器による通信制限
・ARPスプーフィングの手法を使って,LAN上の通信を制限する機能をもつ機器(以下,通信制限装置という)を新たに導入し,排除対象PCによる通信を禁止する。
おおお?マジで?
案2の通信制限装置は,セグメント内のARPパケットを監視し,排除対象PCが送信したARP要求を検出すると,排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する。同時に,排除対象PC宛てパケットの送信先が通信制限装置となるように偽装したARP要求を送信する。
(中略)
なお,通信制限装置が送信するARP応答は10秒間隔で繰り返し送信され,あらかじめ設定された時間,又はオペレータによる所定の操作があるまで,継続する。
大マジでした。 まさか攻撃手法を用いて通信制限をしようとは・・・すごい発想ですね。問題を解きながらも色々と気になってしまいます。
実際にそういう製品がある?
なんとTrend Microから出ていました。その名も「ウイルスバスター for Home Network」。
このページだけ見てもよくわからないので、レビュー記事を。
しかし、このデバイスは「イーサネット1本」だけでしかつながっていません。それなのに、全通信を“のぞき見”できるのは不思議な気もしますね。実はこれ、“サイバー攻撃”と同じような方法を採っているのです。「ARPスプーフィング」と呼ばれる攻撃手法で使われている技術で、「ルーターに向けた通信内容を“ルーターになりすまして”横取りし、検査した上でルーターに送る」ということをしているのです。
全く同じ発想ですね。すごいな、ちょっと欲しい。
ちなみにE社は
案1,案2ともに,同等のLAN通信制限ができるが,案2の通信制限装置には,PC管理サーバとの連携を容易にする機能が存在する。そこで,情シス部は案2を採用することにした。
採用するんかーい。そして問題は続きます・・・。