2010年 秋期 応用情報技術者試験 問9
検疫ネットワーク
W 社は,食品の製造と販売を営む中堅の会社である。W 社には営業部と製造部があり,それぞれの部の各社員にノート PC(以下,PC という)が 1 台ずつ配布されている。社員は,配布された PC を W 社社内ネットワーク(以下,社内ネットワークという)に接続して利用している。社内ネットワークでは,情報セキュリティ強化のための施策の一環として,IEEE 802.1x 方式による認証 VLAN を用いた検疫ネットワークシステム(以下,検疫システムという)を導入している。
検疫システムは,セキュリティ対策の検査を行い,セキュリティ対策が不十分な端末を社内ネットワークに接続させず,隔離したり,必要なセキュリティ対策を施したりする機能をもつ。
社内ネットワークの構成は,図のとおりである。各種サーバ,レイヤ 2 スイッチ(L2SW),レイヤ 3 スイッチ(L3SW),ファイアウォール(FW),ルータなどから構成される。設定された VLAN 一覧を表 1 に,サーバ一覧を表 2 に,ディレクトリサーバ上に格納されているユーザ情報(一部)を表 3 にそれぞれ示す。
| VLAN ID | 用途 |
|---|---|
| VLAN 0 | 検疫用 |
| VLAN 10 | 共通サーバ用 |
| VLAN 20 | 営業部用 |
| VLAN 30 | 製造部用 |
| VLAN 40 | インターネット接続用 |
| VLAN 50 | 未使用(予備) |
| サーバ名 | 所属 VLAN |
|---|---|
| 検疫サーバ | VLAN 0 |
| ウイルス対策サーバ | VLAN 0 |
| DHCP サーバ | VLAN 10 |
| RADIUS サーバ | VLAN 10 |
| ディレクトリサーバ | VLAN 10 |
| 営業部サーバ | VLAN 20 |
| 製造部サーバ | VLAN 30 |
| ユーザ名 | パスワード | 所属 VLAN |
|---|---|---|
| AAA | ******** | VLAN 20 |
| BBB | ******** | VLAN 20 |
| CCC | ******** | VLAN 30 |
| DDD | ******** | VLAN 30 |
| EEE | ******** | VLAN 30 |
【認証と検疫の処理の流れ】
(1) 所属 VLAN が設定されていない営業部エリアや製造部エリアの PC は,それぞれのエリア内の L2SW の空きポートに接続されると,L2SW や L3SW を介して,aサーバと限定的に通信し,端末認証を受ける。
PC から送られたユーザ名などの認証情報をaサーバが受信すると,aサーバは,ユーザ情報をbサーバに問い合わせ,ユーザ認証を行う。
ユーザ認証がcした PC は,引き続き,VLAN が設定されないままとなる。
(2) ユーザ認証がdした PC の所属 VLAN を,検疫エリアに配置されたサーバと同じくeに設定して,その PC を隔離する。ここでは,所属 VLAN は,L2SW のポートごとに一つだけ設定される。
(3) PC では,検疫サーバによって,セキュリティパッチが適用されているかどうか,ウイルスワクチンのパターンファイルが最新かどうか,スクリーンセーバなどの各種設定状況が適切かどうかを調べる検査が行われる。この検査が不合格となった PC は,検査が合格となるまで,このeに隔離され,検疫サーバによって,必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウイルス対策サーバによって,ウイルスチェックが行われる。
(4) 検査が合格となった PC は,bサーバに登録された所属 VLAN ID に従い,検疫システムによって,所属する VLAN が割り当てられる。
例えば,ユーザ名が CCC の場合,fサーバと同じ VLAN であるgが割り当てられる。
(5) 所属する VLAN を割り当てられた PC が,hサーバに IP アドレスを要求すると,hサーバは,VLAN ID に応じた IP アドレスを動的に割り当てる。
IP アドレスが割り当てられた PC は,社内ネットワークを利用することができる。