ネットワークスペシャリスト 平成28年秋期試験 午後Ⅰ 問1 設問2

ネットワークスペシャリスト 平成28年秋期試験 午後Ⅰ 問1

設問2 [サポート業務委託時のメール運用の検討]について、(1)〜(5)に答えよ。

今回もまずは図1を確認しておく。

(1) 本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のリスクを、25字以内で答えよ。

まずは①を確認。

①たとえB社のPCからMSV3へSMTPによるメール送信ができたとしても、MSV3は、a-sha.co.jpドメイン以外への宛先へは、そのメールを転送しない設定になっています。

メールサーバの転送におけるセキュリティ上のリスクとして考えられるのは「第三者中継(踏み台)」である。外部からのメールの転送を許可すると、MSV3を中継してスパムメールなどを送信することができてしまう。

よって解答としては「不正メールの踏み台にされてしまうリスク」となる。

標準的なメールの仕様では様々なリスクを抱えている。それぞれどのような問題があり、どのような対策があるのかを把握しておくとよいかと思う。

参考資料:メールが抱える根本的な弱点とスパム対策

 

また直接問題には関係ないが、個人的には以下の一文が気になった。

・A社から外部へのメール
A社内PCは、DMZ上のMSV3にSMTPでメールを送信し、MSV3は、外部へメールを転送する。

ここを見ると、①の外部へ転送しないという設定と矛盾している気がする。おそらくだが、「A社から外部」に関してはMSV3にて転送を許可する設定を入れているということなのかもしれない(たぶん)

(2) 本文中の下線②のルータ名を答えよ。

まずは問題文を確認する。

B社PCからMSV3に向けたSMTPによるメール送信が不可能となっているのは、②図1中のあるルータにおいて、表1に示すOP25Bのためのアクセスリストが設定されているからである。

B社PCからMSV3まではルータがいくつもあるが、OP25Bの設定が入っているルータを答える問題。

OP25Bの設定については以下のように書かれている。

・P社及びQ社はいずれも、迷惑メールの送信を防止する対策として、OP25B(Outbound Port 25 Blocking)のポリシでシステムを運用している。具体的には、自社が動的に割り当てたIPアドレスのホストから、自社のサービスネットワーク外のホストへの宛先ポート番号25のSMTP通信を許可しないという運用上のルールを適応している。

B社はQ社のメールサーバを利用しており、Q社のネットワークから外に出る際に通るルータはルータ4となるので、OP25Bが設定されているルータは「ルータ4」となる。

(3) 表1中の[オ]〜[キ]に入れる適切な字句を答えよ。

(2)と続けて、表1における実際の設定内容について問われている。

まずは[オ]と[キ]について。

SMPTはTCP上で動作し、25番ポートを利用するので、それぞれ[オ]には「TCP」、[キ]には「25」が該当する。

[カ]については、OP25Bを適用したい対象としては「自社が動的に割り当てたIPアドレスのホストから」となっていることから、B社のネットワークが該当する。IPの割り当てについては本文に以下のように書かれている。

・B社は、Q社の動的IPアドレス割当ブロック(a.b.0.0/20)から割り当てを受けたグローバルIPアドレスを、ルータ6のNAPTに使用することでQ社のサービスネットワークに接続している。

よって[カ]には動的IPアドレス割当ブロックである「a.b.0.0/20」が該当する。

[オ]:TCP
[カ]:a.b.0.0/20
[キ]:25

(4) 本文中の下線③について、このポートをなんと呼ぶか答えよ。

TCPの587番ポートの名称を答える知識問題。

設問1の[エ]でも書いてしまったが、「サブミッションポート」が該当する。

(5) 2種類の通信の宛先ポート番号を、それぞれ答えよ。

④外部からDMZへの2種類の通信を許可するために、FWを設定変更する。

B社からA社内のMSV3を利用するにあたって、FWにどのような設定変更が必要になるかを答える問題。ヒントになる部分を抜粋する。

・MSV3は、SMTPプロトコル上でユーザ認証を行う方式である[エ]を導入し、③TCPの587番ポートで接続を受け付ける。また、その通信に対してTLSによる暗号化を行う。
・受信については、POP3をTLSで暗号化して用いる。
・メール送受信の通信の暗号化は、STARTTLS方式(接続時に平文で通信を開始して、途中で暗号化通信に切り替える方式)を採用し、メールクライアントからのSTARTTLSコマンドに応じてTLS暗号化を開始するよう、MSV3を設定変更する。

STARTTLSの理解度を図る問題だと思うが、本文の通りに考えればなんとなく答えがかける問題だったりする。

まずメール送受信についてはそれぞれ、SMTPで587番ポート(OP25Bにより)とPOP3で110番ポートを利用している。「TLSで暗号化する」という部分に惑わされるかと思うが、今回の方式ではSTARTTLS方式を採用しており、「接続時に平文で通信を開始して、途中で暗号化通信に切り替える方式」と書かれている。

この点から、通信開始時には587番ポートと110番ポートが利用されることが読み取れるかと思う。

STARTTLSについては以下のように説明されている。

暗黙のTLS(またはSSL。以下単にTLS)では、暗号化通信のために専用のポートを割り当てなければならない。STARTTLSを利用すれば、専用のポート番号を割り当てずに、途中から平文の通信を暗号化通信に切り替えることができる。

つまり、SMTPSやPOP3Sのように専用のポート番号を利用するのではなく、デフォルトのポート番号で暗号化通信を行う。

よって解答としては、「587」と「110」となる。

 

つづく!