HOME»情報処理安全確保支援士掲示板»令5年 秋 午後1 問2 NW構成に違和感
投稿する
送るので、①も②もFWのフィルタリングは無関係だと思います。
ユニキャストは、DHCP RelayAgentで終端せず、DHCPサーバに転送されます。helloworldさんの②の指摘は正しいです。
WindowsPCの場合、ユニキャストでの延長申請は、FWで拒否されますが、延長申請をブロードキャストに切り替えて再送するので、①と同様の処理でDHCPサーバに届けることができます。
F社製のFWとWindows11のPC2台でパケットキャプチャをしながら様子を確認しましたが、DHCP Requestは、3秒でユニキャストからブロードキャストに切り替わり延長申請が完了しておりました。
ご指摘ありがとうございます。
私が誤解してました。すみません。
DHCPリレーの動作がよくわからなくなりました。
»[1493] 令和元年秋季 午後Ⅱ 問1 設問1(1)について 投稿数:5
»[1492] 令和4年秋 午後2 問2 投稿数:5
[1495] 令5年 秋 午後1 問2 NW構成に違和感
helloworldさん(No.1)
この問題の来客用無線LANに接続したPCはDHCPによるIP取得ができますか?
私はこの構成ではIPが取得できないのではないかと思っています。なぜなら、FWポリシーにはDHCPに関するポリシーが設定されていません。
問題に対して私が思う疑問点を2つ記載いたします。
疑問点①
来客用無線のPCからのDHCP Discoverに対して、FWでDHCPリレーをしていると思います。
そのDHCPリレーパケット(送信元IPはFWのSVIが持つ192.168.10.1)がDHCPサーバに届くためにはFWポリシーの解放が必要ではないでしょうか?
疑問点②
DHCPの動作として、リース期間延長時のPCからのリース要求はユニキャストです。
従って、来客用無線セグメント(192.168.10.0/24)のいずれかのIPからDHCPサーバへのユニキャスト通信が発生した時、FWポリシーが開放されていないためリース期限延長ができず、リース期限満了時にPCはIPアドレスを開放してしまい、ネットワークが使えない時間が生まれませんか?
お詳しい方、教えていただけますと幸いです。
私はこの構成ではIPが取得できないのではないかと思っています。なぜなら、FWポリシーにはDHCPに関するポリシーが設定されていません。
問題に対して私が思う疑問点を2つ記載いたします。
疑問点①
来客用無線のPCからのDHCP Discoverに対して、FWでDHCPリレーをしていると思います。
そのDHCPリレーパケット(送信元IPはFWのSVIが持つ192.168.10.1)がDHCPサーバに届くためにはFWポリシーの解放が必要ではないでしょうか?
疑問点②
DHCPの動作として、リース期間延長時のPCからのリース要求はユニキャストです。
従って、来客用無線セグメント(192.168.10.0/24)のいずれかのIPからDHCPサーバへのユニキャスト通信が発生した時、FWポリシーが開放されていないためリース期限延長ができず、リース期限満了時にPCはIPアドレスを開放してしまい、ネットワークが使えない時間が生まれませんか?
お詳しい方、教えていただけますと幸いです。
2024.04.06 15:31
seta6261さん(No.2)
確かにおっしゃる通りです。
表1ではDHCPサーバに関する記述では来客持ち込み端末にIPアドレスを割り当てるがあります。
表3と表4ではdhcpに関しては許可するルールの記載がないです。
こちらの憶測ですが、192.168.10.0/24からのDHCP DISCOVERのパケットがL2SWでブロードキャストされていて、サーバネットワークまで届いたかなぁと思うです。
他の詳しい方の回答を待ちます。
表1ではDHCPサーバに関する記述では来客持ち込み端末にIPアドレスを割り当てるがあります。
表3と表4ではdhcpに関しては許可するルールの記載がないです。
こちらの憶測ですが、192.168.10.0/24からのDHCP DISCOVERのパケットがL2SWでブロードキャストされていて、サーバネットワークまで届いたかなぁと思うです。
他の詳しい方の回答を待ちます。
2024.04.06 16:45
tnsさん(No.3)
ちょうど昨日、この問題をやりましたが、違和感に気づけませんでした…
言われてみれば確かに疑問です。
私の考えは以下となります。
DHCPリレーエージェントは、ルータ(今回はFW)で終端となってからの代理通信となり、
ルーティングが発生しない為、フィルタリングルールは適用されないんじゃないでしょうか?
機器依存かもしれませんが、私の経験上、今回のようなフィルタリングルール(表4)でも、
192.168.10.1のインターフェースからDHCPサーバへの通信は可能です。
他の詳しい方の回答を待ちます。
言われてみれば確かに疑問です。
私の考えは以下となります。
DHCPリレーエージェントは、ルータ(今回はFW)で終端となってからの代理通信となり、
ルーティングが発生しない為、フィルタリングルールは適用されないんじゃないでしょうか?
機器依存かもしれませんが、私の経験上、今回のようなフィルタリングルール(表4)でも、
192.168.10.1のインターフェースからDHCPサーバへの通信は可能です。
他の詳しい方の回答を待ちます。
2024.04.07 00:42
wrinklyさん(No.4)
詳しい人の反応が無いので僭越ながら。
これが正解じゃないですか?
>DHCPリレーエージェントは、ルータ(今回はFW)で終端となってからの代理通信となり、
>ルーティングが発生しない為、フィルタリングルールは適用されないんじゃないでしょうか?
これが正解じゃないですか?
2024.04.07 14:10
helloworldさん(No.5)
皆様回答ありがとうございます。
①についてはtnsさんの仰る通りFW発の通信だからフィルタリングルール不要なのだと思います。
②については端末から直接ユニキャストでリース延長が要求されるので、開放すべきだと思いますね。
①についてはtnsさんの仰る通りFW発の通信だからフィルタリングルール不要なのだと思います。
②については端末から直接ユニキャストでリース延長が要求されるので、開放すべきだと思いますね。
2024.04.08 19:20
wrinklyさん(No.6)
DHCPリレーの機能について調べましたが、ちょっと誤解されているような気がします。
FWのDHCPリレー機能は、来客用無線LANセグメント(192.168.10.0/24)に
DHCPサーバがいるかのように振る舞い、DHCPサーバへのリクエストパケット等を
サーバネットワークのDHCPサーバに中継します。
PCからはFW(のDHCPリレー機能)がDHCPサーバに見えて、サーバネットワークの
DHCPサーバはFW(のDHCPリレー機能)しか知らないと思います。
よって、PCはブロードキャストもユニキャストもFW(のDHCPリレー機能)に
送るので、①も②もFWのフィルタリングは無関係だと思います。
FWのDHCPリレー機能は、来客用無線LANセグメント(192.168.10.0/24)に
DHCPサーバがいるかのように振る舞い、DHCPサーバへのリクエストパケット等を
サーバネットワークのDHCPサーバに中継します。
PCからはFW(のDHCPリレー機能)がDHCPサーバに見えて、サーバネットワークの
DHCPサーバはFW(のDHCPリレー機能)しか知らないと思います。
よって、PCはブロードキャストもユニキャストもFW(のDHCPリレー機能)に
送るので、①も②もFWのフィルタリングは無関係だと思います。
2024.04.08 20:57
hisashiさん(No.7)
★SC ブロンズマイスター
>PCはブロードキャストもユニキャストもFW(のDHCPリレー機能)に
送るので、①も②もFWのフィルタリングは無関係だと思います。
ユニキャストは、DHCP RelayAgentで終端せず、DHCPサーバに転送されます。helloworldさんの②の指摘は正しいです。
WindowsPCの場合、ユニキャストでの延長申請は、FWで拒否されますが、延長申請をブロードキャストに切り替えて再送するので、①と同様の処理でDHCPサーバに届けることができます。
F社製のFWとWindows11のPC2台でパケットキャプチャをしながら様子を確認しましたが、DHCP Requestは、3秒でユニキャストからブロードキャストに切り替わり延長申請が完了しておりました。
2024.04.08 21:25
wrinklyさん(No.8)
>ユニキャストは、DHCP RelayAgentで終端せず、DHCPサーバに転送されます。
>helloworldさんの②の指摘は正しいです。
ご指摘ありがとうございます。
私が誤解してました。すみません。
DHCPリレーの動作がよくわからなくなりました。
2024.04.08 22:11
hisashiさん(No.9)
★SC ブロンズマイスター
wrinklyさん
この部分についてですが、PCは、受信したDHCP OfferのメッセージのデータからサーバネットワークのDHCPサーバのIPアドレスを把握しています。
このため、PCはIPアドレスの開放(Release)や、延長申請などはサーバネットワークのDHCPサーバにユニキャストで直接通信することができます。
DHCPリレーエージェントについて、私は次のように理解しております。
クライアントからのDHCPメッセージはブロードキャストで送出されセグメント越えができないのでリレーエージェントが介入する。
ユニキャストは、通信相手に届くので介入しない。
>PCからはFW(のDHCPリレー機能)がDHCPサーバに見えて、サーバネットワークのDHCPサーバはFW(のDHCPリレー機能)しか知らないと思います。
この部分についてですが、PCは、受信したDHCP OfferのメッセージのデータからサーバネットワークのDHCPサーバのIPアドレスを把握しています。
このため、PCはIPアドレスの開放(Release)や、延長申請などはサーバネットワークのDHCPサーバにユニキャストで直接通信することができます。
DHCPリレーエージェントについて、私は次のように理解しております。
クライアントからのDHCPメッセージはブロードキャストで送出されセグメント越えができないのでリレーエージェントが介入する。
ユニキャストは、通信相手に届くので介入しない。
2024.04.08 23:44
wrinklyさん(No.10)
詳細な解説ありがとうございます。
勉強になりました。
勉強になりました。
2024.04.09 09:49
helloworldさん(No.11)
hisashiさん ご回答ありがとうございます。
初めて知りました。ブロードキャストに切り替えて再送するようになっているんですね。
とても勉強になりました。
>F社製のFWとWindows11のPC2台でパケットキャプチャをしながら様子を確認しましたが、DHCP Requestは、3秒でユニキャストからブロードキャストに切り替わり延長申請が完了しておりました。
初めて知りました。ブロードキャストに切り替えて再送するようになっているんですね。
とても勉強になりました。
2024.04.09 11:31
橙色文書さん(No.12)
実装によっては、リレーエージェントであるFW自身に対する送受信の許可が必要ですから、遠隔管理のようなユーザー設定より優先される暗黙のポリシーが存在しています。
この暗黙のポリシーはオプション機能の有効化によって設定され、ユーザーでは変更できないためポリシー管理画面では初期表示されず、操作しなければ表示されません。
別の実装としては、オプション機能で必要とする通信をFWポリシーの対象外とする方式も考えられます。
ところで、答案用紙にIPアドレスのつもりで「IP」と書いた場合、誤記扱いされて最悪でも減点になるだけなのか、(当然ですが)インターネットプロトコル扱いされて無得点になるのか気になりました。
これを受験で実証する人はいないでしょうから永遠の謎ですが。
この暗黙のポリシーはオプション機能の有効化によって設定され、ユーザーでは変更できないためポリシー管理画面では初期表示されず、操作しなければ表示されません。
別の実装としては、オプション機能で必要とする通信をFWポリシーの対象外とする方式も考えられます。
ところで、答案用紙にIPアドレスのつもりで「IP」と書いた場合、誤記扱いされて最悪でも減点になるだけなのか、(当然ですが)インターネットプロトコル扱いされて無得点になるのか気になりました。
これを受験で実証する人はいないでしょうから永遠の謎ですが。
2024.04.09 20:38
その他のスレッド
»[1494] 平成28年秋午後Ⅱ問2設問4(1) 投稿数:2»[1493] 令和元年秋季 午後Ⅱ 問1 設問1(1)について 投稿数:5
»[1492] 令和4年秋 午後2 問2 投稿数:5