投稿する

[0555] 勉強中

 30秋午後I問2さん(No.1) 
設問4(2)
同じL2SWに接続されたPC同士のワーム感染を防ぐためにどうするべきか、という設問です。

IPA回答例は「VLANを使い、PC間の通信を禁止する」です。

ワームVが感染を試みる範囲は
  ①感染したPCと同一セグメントの範囲
  ②1.1.1.1~233.255.255.255の範囲
というのが設問の前提かと思います。

VLANでネットワーク分割することにより期待できるのは、①の範囲におけるワームVのブロードキャスト通信の届く範囲の制限という理解であっていそうでしょうか。

ただ、②の範囲にワームVがブロードキャストではなく1つ1つ通信する場合は、VLANでネットワーク分割していてもL2SWの範囲に個別に通信は可能という理解であっていますでしょうか。
それともL2SWがFWのような機能を果たし、L2SWに繋がるPC間の通信を制御できるのでしょうか。
2020.10.13 22:08
PANさん(No.2) 
> VLANでネットワーク分割することにより期待できるのは、①の範囲におけるワームVのブロードキャスト通信の届く範囲の制限という理解であっていそうでしょうか。

恐らくそういうことだと思います

> ただ、②の範囲にワームVがブロードキャストではなく1つ1つ通信する場合は、VLANでネットワーク分割していてもL2SWの範囲に個別に通信は可能という理解であっていますでしょうか。

VLANが分かれているもの同士はネットワークが異なるので直接は通信できません。
異なるネットワーク同士の通信にはネットワーク層の機器による中継が必要です。
今回はL3SWがそれを行ってくれるので、L3SWを経由することで異なるVLAN同士の機器でも通信することができます。
その場合、L3SWを経由するので必然的にNSMにログが残ります。(今回のケースだとL2SW内の機器で直接通信する場合はNSMにログが残りません)

なので、VLANでいくらセグメント分割してもワームJの②のスキャン活動にはあまり効果がありませんが、そちらは今回のようにNSMで検知自体は可能です。
2020.10.13 23:50
hisashiさん(No.3) 
質問の内容から反れますが、お許しください。

VLANで分割というワードが気になったのでレスします。

IPAの解答にある
「VLANを使い、PC間の通信を禁止する」
というのは、ポートごとにVLANで分けて通信をさせないことではないと思います。


確かにVLANで区分けすれば、異なるVLAN間は、通信できません。
しかし、ポートが多数あり、アップリンクポート除く全てにPC接続されると、
PC用のポートにそれぞれ異なるVLANを設定する必要があります。
ポートが100個あれば100個の異なるVLANをポートに割り当てます。(※)

※同じVLANに接続されたPC間は接続できるので

また、多段構成になるとSW間のトランクポートに流すVLANも考慮する
必要が生じるので、運用や管理上現実的ではありません。


IPAの回答の意図は、ホテルの一室などで使われている、プライベートVLANの
隔離ポートのことではないかと思います。


隔離ポートとは、アップリンクポートに設定する混合ポート以外の
ポートとは一切通信させないポートで1つのvlanで実現可能です。

ちなみに隔離ポート間はブロードキャストも通しませんし、
同一VLANでも通信できません。

プライベートVLANについてはネット上に情報がありますので、検索してください。
2020.10.15 20:40
勉強中さん(No.4) 
PANさん、hisashiさん
ご回答ありがとうございました。
理解の補助となりました。
2020.10.15 22:40

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop