HOME»情報処理安全確保支援士掲示板»令和3年春 午後Ⅱ 問2 設問1(3) DHCPの問題
投稿する
UTMのDHCPサーバを停止している状態でIPアドレスがアドレスプールから割り当てられるのがそもそもおかしいのだから、「偽のDHCPサーバが稼働していた場合のチェック」にもなっているのではないですか?
仰る通り、IPアドレスの配布がないことにより「稼働しているか”どうか”」はわかります。但し、IPアドレスの配布があっても「稼働しているか”どうか”」はわかります。
DHCPサーバを稼働させたままの時のチェックの方法としては
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」というものでしたので、整合性が取れていないな・・・と。同じ条件に揃えるのであれば「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が"1"であることを確認する」になると思われます。
DHCPサーバを稼働させたままの時のチェックの方法よりも限定的な
【DHCP による IP アドレスの配布がないことを確認する。】という
偽のDHCPサーバの稼働がないことの方向性へと振り切った解答である
理由があるのかが分からずもやもやしていたのです。
【DHCP による IP アドレスの配布があることを確認する。】も正解になるのであれば
腑に落ちるのですが、そのような補足もありませんでしたので。
【DHCP による IP アドレスの配布がないことを確認する。】が正しいことはもちろん理解しています。偽のDHCPサーバが稼働していないことを確認できますので。
»[1879] セキュアプログラミングが解ける受験者の知識について 投稿数:5
»[1878] 本番にて、問題選択について 投稿数:7
令和3年春 午後Ⅱ 問2 設問1(3) DHCPの問題 [1881]
Y太郎さん(No.1)
令和3年春 午後Ⅱ 問2 設問1(3) にて分かる方がいらっしゃいましたら教えて欲しいです。
DHCP機能を搭載したUTMと偽のDHCPサーバが混在している環境化で
UTMのDHCPサーバ機能を停止した状態で偽のDHCPサーバが稼働しているのかを確認する方法は?という問題がありました。
答えは「DHCPによるIPアドレスの配布がないことを確認する」でした。
偽のDHCPサーバが稼働していなければIPAの答えで良いのでしょうけど
偽のDHCPサーバが稼働していたらDHCPによるIPアドレスの配布はあると思いますので
この公式解答に疑問を感じています。
「DHCPによるIPアドレスの配布がないことを確認する」であっているのであるとすれば
なぜこのような回答になるのか、分かる方がいらっしゃいましたらご教授頂きたいです。
DHCP機能を搭載したUTMと偽のDHCPサーバが混在している環境化で
UTMのDHCPサーバ機能を停止した状態で偽のDHCPサーバが稼働しているのかを確認する方法は?という問題がありました。
答えは「DHCPによるIPアドレスの配布がないことを確認する」でした。
偽のDHCPサーバが稼働していなければIPAの答えで良いのでしょうけど
偽のDHCPサーバが稼働していたらDHCPによるIPアドレスの配布はあると思いますので
この公式解答に疑問を感じています。
「DHCPによるIPアドレスの配布がないことを確認する」であっているのであるとすれば
なぜこのような回答になるのか、分かる方がいらっしゃいましたらご教授頂きたいです。
2025.04.12 10:41
d-kさん(No.2)
配付されればそれはそれで偽のDHCPサーバが存在することになるので
たんに書き方の問題だとは思いますが
念のためにUTP以外にDHCPサーバが稼働していないか、という想定をふまえての回答ではないかと思います。
たんに書き方の問題だとは思いますが
念のためにUTP以外にDHCPサーバが稼働していないか、という想定をふまえての回答ではないかと思います。
2025.04.12 11:27
ひらりさん(No.3)
偽のDHCPサーバが「稼働している」のかを確認する方法、の回答として
「IPアドレスの配布がないこと」というのがおかしいのではないか、ということでしょうか?
配布がないのなら稼働していないことの確認なのでは?と。
この模範回答と同じじゃないとダメではなく、同様の文なら正解になる気がしますが、文章としてしっくり来ないという気持ちは分かります。
「IPアドレスの配布がないこと」というのがおかしいのではないか、ということでしょうか?
配布がないのなら稼働していないことの確認なのでは?と。
この模範回答と同じじゃないとダメではなく、同様の文なら正解になる気がしますが、文章としてしっくり来ないという気持ちは分かります。
2025.04.12 12:22
Y太郎さん(No.4)
色々とご回答ありがとうございます。
ご回答いただいた内容を見る限りでは、あくまで解答例の一つとしてIPAが記載しているので、方向性が同じようなことを書いていたら大丈夫だったのでしょうかね。
令和3年春 午後Ⅱ 問2 設問1(3)では
・UTMのDHCPサーバを稼働させたまま偽のDHCPサーバが稼働しているか確認する方法
・UTMのDHCPサーバを呈した状態で偽のDHCPサーバが稼働しているか確認する方法
この2点をそれぞれ答えさせる問題でした。
"UTMのDHCPサーバを稼働させたまま"という条件での正解は
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」というものでした。
この正解にはしっくりきていました。DHCP OFFERの数が1つしかなければUTMのDHCPサーバのみが稼働していることになりますし、二つ以上あれば偽のDHCPサーバが稼働しているのではないかということが確認できるからです。
UTMのDHCPサーバを停止した場合も同じ方法で偽のDHCPサーバの稼働有無のチェックはできそうではありますが・・・。
とりあえず、この答えの場合、偽のDHCPサーバがある時とない時の両方を確認できるということ理解できました。
それに対して"UTMのDHCPサーバを停止する"という条件の正解は
「DHCPによるIPアドレスの配布がないことを確認する」でした。
こちちらの回答の場合、偽のDHCPサーバが稼働していないことの確認のみのチェックとなり、偽のDHCPサーバが稼働していた場合のチェックまではできません。
UTMのDHCPサーバ機能を稼働させた時のチェックの時には両パターンを網羅できる回答になっていたのに、こちらは偽のDHCPサーバが稼働していないことのみの確認となっており
違和感を感じてここに質問を書かせて頂きました。
個人的にはUTMのDHCPサーバを稼働させたままの時のチェック対象と整合性を合わせる形で「DHCPによるIPアドレスの配布がされるか否かを確認する」ぐらいの方がいいのではと思いました。
ご回答いただいた内容を見る限りでは、あくまで解答例の一つとしてIPAが記載しているので、方向性が同じようなことを書いていたら大丈夫だったのでしょうかね。
令和3年春 午後Ⅱ 問2 設問1(3)では
・UTMのDHCPサーバを稼働させたまま偽のDHCPサーバが稼働しているか確認する方法
・UTMのDHCPサーバを呈した状態で偽のDHCPサーバが稼働しているか確認する方法
この2点をそれぞれ答えさせる問題でした。
"UTMのDHCPサーバを稼働させたまま"という条件での正解は
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」というものでした。
この正解にはしっくりきていました。DHCP OFFERの数が1つしかなければUTMのDHCPサーバのみが稼働していることになりますし、二つ以上あれば偽のDHCPサーバが稼働しているのではないかということが確認できるからです。
UTMのDHCPサーバを停止した場合も同じ方法で偽のDHCPサーバの稼働有無のチェックはできそうではありますが・・・。
とりあえず、この答えの場合、偽のDHCPサーバがある時とない時の両方を確認できるということ理解できました。
それに対して"UTMのDHCPサーバを停止する"という条件の正解は
「DHCPによるIPアドレスの配布がないことを確認する」でした。
こちちらの回答の場合、偽のDHCPサーバが稼働していないことの確認のみのチェックとなり、偽のDHCPサーバが稼働していた場合のチェックまではできません。
UTMのDHCPサーバ機能を稼働させた時のチェックの時には両パターンを網羅できる回答になっていたのに、こちらは偽のDHCPサーバが稼働していないことのみの確認となっており
違和感を感じてここに質問を書かせて頂きました。
個人的にはUTMのDHCPサーバを稼働させたままの時のチェック対象と整合性を合わせる形で「DHCPによるIPアドレスの配布がされるか否かを確認する」ぐらいの方がいいのではと思いました。
2025.04.12 13:59
GinSanaさん(No.5)
★SC シルバーマイスター
>こちらの回答の場合、偽のDHCPサーバが稼働していないことの確認のみのチェックとなり、偽のDHCPサーバが稼働していた場合のチェックまではできません。
UTMのDHCPサーバを停止している状態でIPアドレスがアドレスプールから割り当てられるのがそもそもおかしいのだから、「偽のDHCPサーバが稼働していた場合のチェック」にもなっているのではないですか?
2025.04.12 15:00
Y太郎さん(No.6)
UTMのDHCPサーバを停止している状態でも、偽のDHCPサーバが稼働していれば端末にはIPアドレスは割り当てられるというという前提で会話してしまっていました。
DHCPスヌーピングで不正なDHCPサーバを遮断するような環境であれば
偽のDHCPサーバからIPアドレスが配信されることはないと思います。
DHCPスヌーピングの設定入れてるんだけど、念には念を入れて調査してほしい
というような流れであればIPAの回答には納得できますが
今回は問題どのような環境であったか・・・ですね。
DHCPスヌーピングで不正なDHCPサーバを遮断するような環境であれば
偽のDHCPサーバからIPアドレスが配信されることはないと思います。
DHCPスヌーピングの設定入れてるんだけど、念には念を入れて調査してほしい
というような流れであればIPAの回答には納得できますが
今回は問題どのような環境であったか・・・ですね。
2025.04.12 15:34
まだ勉強足りない私さん(No.7)
「DHCPサーバが稼働しているか確認する方法」ではなく、「DHCPサーバが稼働しているか”どうか”の確認方法」のため、
【DHCP による IP アドレスの配布がないことを確認する。】ことにより、
「稼働しているか”どうか”」がわかるのではないでしょうか。
【DHCP による IP アドレスの配布があるかどうかを確認する。】
でもよいと思いますが・・・(自身無し)
【DHCP による IP アドレスの配布がないことを確認する。】ことにより、
「稼働しているか”どうか”」がわかるのではないでしょうか。
【DHCP による IP アドレスの配布があるかどうかを確認する。】
でもよいと思いますが・・・(自身無し)
2025.04.12 21:02
Y太郎さん(No.8)
>【DHCP による IP アドレスの配布がないことを確認する。】ことにより、
>「稼働しているか”どうか”」がわかるのではないでしょうか。
仰る通り、IPアドレスの配布がないことにより「稼働しているか”どうか”」はわかります。但し、IPアドレスの配布があっても「稼働しているか”どうか”」はわかります。
DHCPサーバを稼働させたままの時のチェックの方法としては
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」というものでしたので、整合性が取れていないな・・・と。同じ条件に揃えるのであれば「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が"1"であることを確認する」になると思われます。
DHCPサーバを稼働させたままの時のチェックの方法よりも限定的な
【DHCP による IP アドレスの配布がないことを確認する。】という
偽のDHCPサーバの稼働がないことの方向性へと振り切った解答である
理由があるのかが分からずもやもやしていたのです。
【DHCP による IP アドレスの配布があることを確認する。】も正解になるのであれば
腑に落ちるのですが、そのような補足もありませんでしたので。
【DHCP による IP アドレスの配布がないことを確認する。】が正しいことはもちろん理解しています。偽のDHCPサーバが稼働していないことを確認できますので。
2025.04.12 22:09
むぐむぐさん(No.9)
★SC ブロンズマイスター
本文の文脈が回答につながっているだけだと思います。
本文での流れは偽のDHCPが原因ではない可能性が高いが、念のため偽のDHCPが稼働しているかどうか確認してください。といった流れです。
要するに、目的は偽のDHCPサーバが原因ではないことの証明なので、偽のDHCPサーバが稼働していないことを証明する方法を問われています。
よって回答は「DHCPによるIPアドレスの配布がないことを確認する」になるのではないでしょうか?
前提条件である偽のDHCPサーバが原因ではないことの証明方法にはならない(本文の文脈を無視している)ので、「DHCPによるIPアドレスの配布があることを確認する」では点数がもらえないのではないかと、個人的には感じます。
本文での流れは偽のDHCPが原因ではない可能性が高いが、念のため偽のDHCPが稼働しているかどうか確認してください。といった流れです。
要するに、目的は偽のDHCPサーバが原因ではないことの証明なので、偽のDHCPサーバが稼働していないことを証明する方法を問われています。
よって回答は「DHCPによるIPアドレスの配布がないことを確認する」になるのではないでしょうか?
前提条件である偽のDHCPサーバが原因ではないことの証明方法にはならない(本文の文脈を無視している)ので、「DHCPによるIPアドレスの配布があることを確認する」では点数がもらえないのではないかと、個人的には感じます。
2025.04.12 23:00
Y太郎さん(No.10)
むぐむぐさんご回答ありがとうございます
DHCPサーバを稼働させたままの時のチェックの方法としては
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」が正解になる理由はなんでしょうか?前提条件である偽のDHCPサーバが原因ではないことを証明するには明示的にDHCP OFFERの数が1であることを確認する必要があります。2以上の数字が表示されれば偽のDHCPサーバが原因となる可能性も出てきます。「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」という解答は"偽のDHCPサーバが原因であるか否か"が確認できるチェック方法になっています。
DHCPサーバを稼働させたままの時のチェックの方法は"偽のDHCPサーバが原因ではないことの証明"をする為に特化したような調査方法になっていないと思っています。
>前提条件である偽のDHCPサーバが原因ではないことの証明方法にはならない
DHCPサーバを稼働させたままの時のチェックの方法としては
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」が正解になる理由はなんでしょうか?前提条件である偽のDHCPサーバが原因ではないことを証明するには明示的にDHCP OFFERの数が1であることを確認する必要があります。2以上の数字が表示されれば偽のDHCPサーバが原因となる可能性も出てきます。「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」という解答は"偽のDHCPサーバが原因であるか否か"が確認できるチェック方法になっています。
DHCPサーバを稼働させたままの時のチェックの方法は"偽のDHCPサーバが原因ではないことの証明"をする為に特化したような調査方法になっていないと思っています。
2025.04.13 12:44
むぐむぐさん(No.11)
★SC ブロンズマイスター
本文のシナリオでは安全であることを確認する方法についてがテーマです。
そのテーマに従って安全であることが証明できる方法であれば得点できると考えています。
偽のDHCPサーバが原因ではないことの証明ができれば、特化しているしていないは考える必要がないと思います。
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」は偽のDHCPサーバが原因ではないことの証明が可能。
「DHCPによるIPアドレスの配布がないことを確認する」は偽のDHCPサーバが原因ではないことの証明が可能。
上記にたいして「DHCPによるIPアドレスの配布があることを確認する」は危険であることは証明できるが、主題である安全性の確認方法ではないためずれているのでは?と考えています。
「DHCPによるIPアドレスの配布の有無を確認する」なら個人的には点数が貰えるとは思いますが、あとは採点者以外には細かいところはわかりませんね。
そのテーマに従って安全であることが証明できる方法であれば得点できると考えています。
偽のDHCPサーバが原因ではないことの証明ができれば、特化しているしていないは考える必要がないと思います。
「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」は偽のDHCPサーバが原因ではないことの証明が可能。
「DHCPによるIPアドレスの配布がないことを確認する」は偽のDHCPサーバが原因ではないことの証明が可能。
上記にたいして「DHCPによるIPアドレスの配布があることを確認する」は危険であることは証明できるが、主題である安全性の確認方法ではないためずれているのでは?と考えています。
「DHCPによるIPアドレスの配布の有無を確認する」なら個人的には点数が貰えるとは思いますが、あとは採点者以外には細かいところはわかりませんね。
2025.04.13 14:44
まだ勉強足りない私さん(No.12)
No7の主です。
【DHCP による IP アドレスの配布があることを確認する。】では不正解でしょう。
私は”自信”が無いながら、
【DHCP による IP アドレスの配布があるか”どうか”を確認する。】なら正解なのかなと思い発言しました。
初めに投稿された
という点で、深く悩まれているのではないかと想定していますが、そもそも偽のDHCPサーバは設置されていないとセキスペの方がコメントしています。
問題文16ページから
「ローカルリンクアドレスが設定されていることに気づいた」
「偽のDHCPサーバの設置ではなく・・・(コメント1)」
この文脈から他のDHCPサーバの稼働状況を確認するための方法として
〇UTMのDHCPサーバ機能 稼働中
→DHCP OFFERの数を確認して他DHCPサーバが稼働しているかどうか確認できます。
〇UTMのDHCPサーバ機能 停止中
→IPアドレスの配布がなければ他にDHCPサーバがないので問題ないよね、と確認できます。
上記からIPAの回答が得られるかと思いますが、いかがでしょうか。
>【DHCP による IP アドレスの配布があることを確認する。】も正解になるのであれば
>腑に落ちるのですが、そのような補足もありませんでしたので。
【DHCP による IP アドレスの配布があることを確認する。】では不正解でしょう。
私は”自信”が無いながら、
【DHCP による IP アドレスの配布があるか”どうか”を確認する。】なら正解なのかなと思い発言しました。
初めに投稿された
>偽のDHCPサーバが稼働していたらDHCPによるIPアドレスの配布はあると思いますので
という点で、深く悩まれているのではないかと想定していますが、そもそも偽のDHCPサーバは設置されていないとセキスペの方がコメントしています。
問題文16ページから
「ローカルリンクアドレスが設定されていることに気づいた」
「偽のDHCPサーバの設置ではなく・・・(コメント1)」
この文脈から他のDHCPサーバの稼働状況を確認するための方法として
〇UTMのDHCPサーバ機能 稼働中
→DHCP OFFERの数を確認して他DHCPサーバが稼働しているかどうか確認できます。
〇UTMのDHCPサーバ機能 停止中
→IPアドレスの配布がなければ他にDHCPサーバがないので問題ないよね、と確認できます。
上記からIPAの回答が得られるかと思いますが、いかがでしょうか。
2025.04.13 16:21
Y太郎さん(No.13)
ご回答ありがとうございます。
念のため、確認するということ=安全であることを確認してほしい。
というような流れでということで理解しました。
だいたい下記のようなことなのかなと思います。
■UTMのDHCPサーバ機能 停止中
〇「DHCP による IP アドレスの配布がないことを確認する。」
△「DHCP による IP アドレスの配布があるかどうかを確認する。」
×「DHCP による IP アドレスの配布があることを確認する。」
■UTMのDHCPサーバ機能 稼働中
〇「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」
×「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が1であることを確認する」
これだけ色々と考えて「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が1であることを確認する」の方が良いのではないかと思っていましたが、これは不正解でした。文字数制限である55文字を超えていました・・・。
UTMのDHCPサーバ機能稼働中の模範解答がなぜ一部ふわっとした書き方で具体的にDHCP OFFERの数を指定してこなかったのかということに関しては字数制限のことも考えてまとめたのだということで自分の中では納得するようにします。
長々とやり取りして下さった皆様ありがとうございました。
>【DHCP による IP アドレスの配布があることを確認する。】では不正解でしょう。
念のため、確認するということ=安全であることを確認してほしい。
というような流れでということで理解しました。
だいたい下記のようなことなのかなと思います。
■UTMのDHCPサーバ機能 停止中
〇「DHCP による IP アドレスの配布がないことを確認する。」
△「DHCP による IP アドレスの配布があるかどうかを確認する。」
×「DHCP による IP アドレスの配布があることを確認する。」
■UTMのDHCPサーバ機能 稼働中
〇「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する」
×「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が1であることを確認する」
これだけ色々と考えて「L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数が1であることを確認する」の方が良いのではないかと思っていましたが、これは不正解でした。文字数制限である55文字を超えていました・・・。
UTMのDHCPサーバ機能稼働中の模範解答がなぜ一部ふわっとした書き方で具体的にDHCP OFFERの数を指定してこなかったのかということに関しては字数制限のことも考えてまとめたのだということで自分の中では納得するようにします。
長々とやり取りして下さった皆様ありがとうございました。
2025.04.13 22:05
GinSanaさん(No.14)
★SC シルバーマイスター
DHCPスヌーピングの話で気になったのは、
https://www.sc-siken.com/pdf/03_haru/pm2_2.pdf
P14の図1で、よくよく見たらL2SWにつながっているのはAP(無線LANアクセスポイント)で、C-PCはつながってないから、スヌーピングできないんじゃないか?という点です。仮に全部つながっていて、UTM側のポートのみTrustedで他はUnTrustedなら、DHCPOFFERは破棄される、というのはわかります。
https://www.sc-siken.com/pdf/03_haru/pm2_2.pdf
P14の図1で、よくよく見たらL2SWにつながっているのはAP(無線LANアクセスポイント)で、C-PCはつながってないから、スヌーピングできないんじゃないか?という点です。仮に全部つながっていて、UTM側のポートのみTrustedで他はUnTrustedなら、DHCPOFFERは破棄される、というのはわかります。
2025.04.14 14:36
GinSanaさん(No.15)
★SC シルバーマイスター
その他のスレッド
»[1880] 管理人様へ 過去問道場での出題について 投稿数:3»[1879] セキュアプログラミングが解ける受験者の知識について 投稿数:5
»[1878] 本番にて、問題選択について 投稿数:7