雑な記

ネットワークエンジニアのメモ書き。

令和元年度秋期ネットワークスペシャリスト試験午後Ⅰ問3が厳つい

問題

www.jitec.ipa.go.jp

URLが平成31年ですね。。こちらのネットワークスペシャリスト試験 午後Ⅰ問3です。

問題を引用していきます。

 

概要

E社という小売業を営む中堅企業のお話です。

 

・PCはメンテナンスサーバを利用して,OSやアプリケーションプログラムのアップデート,ウイルス定義ファイルのアップデートなどを行う。
・PCには,E社のセキュリティルールに従っているかどうかを検査するソフト(以下,Sエージェントという)がインストールされている。
・Sエージェントは,検査結果をPC管理サーバに登録する。 

ふむふむ、よくある話ですね。ここから、セキュリティルールに反したPCはLANの利用を制限しようという話に展開していきます。

 

〔LAN通信制限方法の検討〕
(中略)
・PC管理サーバ上の情報に応じて,PCを次の三つに区分する。
 正常PC:Sエージェントの検査結果が合格のPC
 不正PC:Sエージェントの検査結果が不合格のPC
 未登録PC:PC管理サーバに登録がないPC(無断持込みのPCは,これに該当)
・正常PCは,通信を許可し,不正PCと未登録PC(以下,排除対象PCという)は,通信を許可しない。

無断持込みをする輩がいるとは、なかなかの会社ですね・・・。

 

通信制限の実現方法

そして実現方法について案が2つ出てくるのですが、案2が以下の通り。

 

案2:専用機器による通信制
 ・ARPスプーフィングの手法を使って,LAN上の通信を制限する機能をもつ機器(以下,通信制限装置という)を新たに導入し,排除対象PCによる通信を禁止する。

おおお?マジで?

 

 案2の通信制限装置は,セグメント内のARPパケットを監視し,排除対象PCが送信したARP要求を検出すると,排除対象PCのパケット送信先通信制限装置となるように偽装したARP応答を送信する。同時に,排除対象PC宛てパケットの送信先通信制限装置となるように偽装したARP要求を送信する。
(中略)
 なお,通信制限装置が送信するARP応答は10秒間隔で繰り返し送信され,あらかじめ設定された時間,又はオペレータによる所定の操作があるまで,継続する。

大マジでした。 まさか攻撃手法を用いて通信制限をしようとは・・・すごい発想ですね。問題を解きながらも色々と気になってしまいます。

 

実際にそういう製品がある?

なんとTrend Microから出ていました。その名も「ウイルスバスター for Home Network」。

 

www.trendmicro.com

このページだけ見てもよくわからないので、レビュー記事を。

 

www.itmedia.co.jp

 しかし、このデバイスは「イーサネット1本」だけでしかつながっていません。それなのに、全通信を“のぞき見”できるのは不思議な気もしますね。実はこれ、“サイバー攻撃”と同じような方法を採っているのです。「ARPスプーフィング」と呼ばれる攻撃手法で使われている技術で、「ルーターに向けた通信内容を“ルーターになりすまして”横取りし、検査した上でルーターに送る」ということをしているのです。

全く同じ発想ですね。すごいな、ちょっと欲しい。

 

ちなみにE社は

 案1,案2ともに,同等のLAN通信制限ができるが,案2の通信制限装置には,PC管理サーバとの連携を容易にする機能が存在する。そこで,情シス部は案2を採用することにした。

採用するんかーい。そして問題は続きます・・・。