情報処理安全確保支援士掲示板

掲示板検索:

[0555]勉強中

30秋午後I問2さん(No.1)

設問4(2)
同じL2SWに接続されたPC同士のワーム感染を防ぐためにどうするべきか、という設問です。

IPA回答例は「VLANを使い、PC間の通信を禁止する」です。

ワームVが感染を試みる範囲は
  @感染したPCと同一セグメントの範囲
  A1.1.1.1〜233.255.255.255の範囲
というのが設問の前提かと思います。

VLANでネットワーク分割することにより期待できるのは、@の範囲におけるワームVのブロードキャスト通信の届く範囲の制限という理解であっていそうでしょうか。

ただ、Aの範囲にワームVがブロードキャストではなく1つ1つ通信する場合は、VLANでネットワーク分割していてもL2SWの範囲に個別に通信は可能という理解であっていますでしょうか。
それともL2SWがFWのような機能を果たし、L2SWに繋がるPC間の通信を制御できるのでしょうか。

2020.10.13 22:08
PANさん(No.2)

> VLANでネットワーク分割することにより期待できるのは、@の範囲におけるワームVのブロードキャスト通信の届く範囲の制限という理解であっていそうでしょうか。

恐らくそういうことだと思います

> ただ、Aの範囲にワームVがブロードキャストではなく1つ1つ通信する場合は、VLANでネットワーク分割していてもL2SWの範囲に個別に通信は可能という理解であっていますでしょうか。

VLANが分かれているもの同士はネットワークが異なるので直接は通信できません。
異なるネットワーク同士の通信にはネットワーク層の機器による中継が必要です。
今回はL3SWがそれを行ってくれるので、L3SWを経由することで異なるVLAN同士の機器でも通信することができます。
その場合、L3SWを経由するので必然的にNSMにログが残ります。(今回のケースだとL2SW内の機器で直接通信する場合はNSMにログが残りません)

なので、VLANでいくらセグメント分割してもワームJのAのスキャン活動にはあまり効果がありませんが、そちらは今回のようにNSMで検知自体は可能です。

2020.10.13 23:50
hisashiさん(No.3)

質問の内容から反れますが、お許しください。

VLANで分割というワードが気になったのでレスします。

IPAの解答にある
「VLANを使い、PC間の通信を禁止する」
というのは、ポートごとにVLANで分けて通信をさせないことではないと思います。


確かにVLANで区分けすれば、異なるVLAN間は、通信できません。
しかし、ポートが多数あり、アップリンクポート除く全てにPC接続されると、
PC用のポートにそれぞれ異なるVLANを設定する必要があります。
ポートが100個あれば100個の異なるVLANをポートに割り当てます。(※)

※同じVLANに接続されたPC間は接続できるので

また、多段構成になるとSW間のトランクポートに流すVLANも考慮する
必要が生じるので、運用や管理上現実的ではありません。


IPAの回答の意図は、ホテルの一室などで使われている、プライベートVLANの
隔離ポートのことではないかと思います。


隔離ポートとは、アップリンクポートに設定する混合ポート以外の
ポートとは一切通信させないポートで1つのvlanで実現可能です。

ちなみに隔離ポート間はブロードキャストも通しませんし、
同一VLANでも通信できません。

プライベートVLANについてはネット上に情報がありますので、検索してください。

2020.10.15 20:40
勉強中さん(No.4)

PANさん、hisashiさん
ご回答ありがとうございました。
理解の補助となりました。

2020.10.15 22:40

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop