STAGE05では、装置を守る基本から、ポートセキュリティ、ACL、無線LAN、VPNまで、幅広いテーマを学んできました。それらを一つの試験形式のドリルとして、まとめて解けるでしょうか?
個別のテーマは理解できていても、範囲を横断してランダムに問われると急に難しく感じるものです。このドリルで、STAGE05全体の知識を横につなげて整理しましょう。
STAGE05はここまで幅広く学んできた
このドリルはSTAGE05の総仕上げです。セキュリティの基本概念から始まり、装置のハードニング、AAA、レイヤー2攻撃対策、ポートセキュリティ、ACL、そして無線LANとVPNまで、範囲はとても広いです。だからこそ試験では、複数のテーマをまたいだ形で出題されます。ここでは特に狙われやすい5つのテーマを、実戦形式で確認していきます。
パターン1:ポートセキュリティのviolationモード
問題例:スイッチのポートで、登録上限を超えるMACアドレスを持つ機器が接続されました。ポートは通信を止めずに動作を継続しつつ、ログだけを記録したいとき、どのviolationモードを設定すべきでしょうか。
解説:switchport port-security violationには3つのモードがあります。
| モード | 違反時の動作 | ログ | ポートの状態 |
|---|---|---|---|
| protect | 超過フレームを破棄 | 記録しない | 稼働継続 |
| restrict | 超過フレームを破棄 | 記録する | 稼働継続 |
| shutdown | ポート自体を停止 | 記録する | err-disabled |
通信は止めずログだけ残したい場合はrestrictが正解です。デフォルトのshutdownはポートを完全に停止(err-disabled)させるため、復旧にはshutdown→no shutdownの手動操作(または自動復旧設定)が必要になります。
通信を止めずに、違反をログだけ記録したい場合のport-security violationモードは?
答えを見る
restrictです。protectはログを残さず破棄のみ、shutdown(デフォルト)はポートをerr-disabled状態にして完全に停止させます。err-disabledになったポートはshutdown→no shutdownで手動復旧が必要な点も覚えておきましょう。
パターン2:AAAの3要素とRADIUS/TACACS+
問題例:ログイン試行が成功したか失敗したかに加え、「誰が・いつ・何のコマンドを実行したか」を記録したいとき、AAAのどの要素が対応するでしょうか。
解説:AAAは認証(Authentication)・認可(Authorization)・アカウンティング(Accounting)の3要素です。「誰が」を確認するのが認証、「何をしてよいか」を決めるのが認可、「実際に何をしたかを記録する」のがアカウンティングです。この問題はアカウンティングが該当します。また、Cisco機器の管理用認証にはTACACS+(コマンド単位の認可に強く、通信を暗号化)とRADIUS(主にネットワークアクセス認証に使われ、パスワード部分のみ暗号化)の違いも頻出です。
「誰が・いつ・何を実行したか」を記録するAAAの要素はどれでしょう?
答えを見る
アカウンティング(Accounting)です。認証(Authentication)は本人確認、認可(Authorization)は権限の決定、アカウンティングは操作の記録を担当します。管理アクセスの認可にはTACACS+が、ネットワークアクセス認証にはRADIUSがよく使われる点も合わせて押さえましょう。
パターン3:WPA2とWPA3の暗号化・認証方式
問題例:オフィスの無線LANで、辞書攻撃・総当たり攻撃への耐性を高めるためにWPA3を導入することにしました。WPA2からの主な変更点は何でしょうか。
解説:WPA2は暗号化にAES-CCMPを用いていましたが、鍵交換にPSK方式を使う場合、弱いパスワードは総当たり攻撃に弱いという課題がありました。WPA3では鍵交換にSAE(Simultaneous Authentication of Equals)を導入し、オフラインでの総当たり攻撃への耐性を大幅に高めています。また認証モードとしては、個人向けのPSKと企業向けのEnterprise(802.1X)の区分は、WPA2・WPA3どちらにも共通して存在します。
WPA3でWPA2から強化された、オフライン総当たり攻撃対策のための鍵交換方式は?
答えを見る
SAE(Simultaneous Authentication of Equals)です。WPA2のAES-CCMPによる暗号化は引き継ぎつつ、鍵交換の仕組みを刷新することで、弱いパスワードに対する総当たり攻撃への耐性を高めています。
パターン4:CAPWAPとWLCの役割
問題例:本社に50台のAPを導入予定です。個別に設定する手間を省き、SSIDやセキュリティポリシーを一元管理したいとき、必要になる仕組みと、その通信を支えるプロトコルは何でしょうか。
解説:この場合、集中管理を担うWLC(無線LANコントローラ)と、電波の送受信に専念するLightweight APの組み合わせが必要です。LAPとWLCの間の設定情報・データのやり取りはCAPWAPというトンネルプロトコルで行われます。自律型APのように1台ずつ設定する必要がなくなり、大規模な無線環境でも運用効率が大幅に向上します。
LightweightAPとWLCの間で設定・データをやり取りするトンネルプロトコルの名前は?
答えを見る
CAPWAP(Control And Provisioning of Wireless Access Points)です。WLCが多数のLightweight APを集中管理し、SSIDやセキュリティポリシーの設定をCAPWAPトンネル経由で配信します。
パターン5:VPNの種類を見分ける
問題例:営業担当者が出張先のホテルから、VPNクライアントソフトを使って社内システムに接続したいと考えています。この用途に適したVPNの種類はどれでしょう。また、拠点間を恒久的な暗号化トンネルで結ぶ方式との違いは何でしょうか。
解説:出張先など不特定の場所から個人の端末が接続する用途にはリモートアクセスVPN(多くはTLS/SSL VPNベース)が適しています。一方、本社と支社のように拠点同士のルーターを恒久的に結ぶ方式はサイト間VPN(多くはIPsecベース)と呼ばれ、内部の利用者はVPNの存在を意識せずに通信できます。「誰と誰をつなぐか」で見分けるのがコツです。
出張中の社員が個人のノートPCからVPNクライアントで社内システムに接続する方式は?
答えを見る
リモートアクセスVPNです。拠点間のルーター同士を恒久的なトンネルで結ぶサイト間VPN(多くはIPsecベース)とは異なり、個人端末が必要なときだけ接続する点が特徴です。
仕上げの1問:総合力チェック
スイッチのアクセスポートにswitchport port-security maximum 1とviolation shutdownを設定した状態で、登録済み以外のMACアドレスを持つPCが接続されました。ポートはどうなり、復旧にはどんな操作が必要でしょうか?
答えを見る
ポートは即座にerr-disabled状態になり、通信が完全に停止します。復旧するには、該当インターフェースでshutdownコマンドを実行した後にno shutdownを実行する必要があります(自動復旧を設定している場合はerrdisable recovery機能で自動的に復帰させることも可能です)。デフォルトのviolationモードがshutdownであることも、あわせて覚えておきましょう。
試験でのポイント
セキュリティ総演習で最も大切なのは、個々のテーマを単独で覚えるのではなく、「どの技術が何を守るためのものか」という目的でつなげて整理することです。ポートセキュリティは物理ポート単位の不正接続対策、AAAはログインや操作の管理、ACLはトラフィックのフィルタリング、無線LANセキュリティは電波区間の保護、VPNは経路上の保護というように、守っている対象のレイヤーが異なります。試験ではこれらを混在させた文章題が出るため、キーワード(violation、SAE、CAPWAP、IPsecなど)から即座に該当技術を思い出せるようにしておきましょう。
STAGE05、お疲れさま! 装置のハードニングからAAA、ポートセキュリティ、ACL、無線LAN、VPNまで、ネットワークを守るための技術を一通り学んできたね。守る対象のレイヤーごとに技術を整理しておくと、試験本番でも迷わないよ。次はSTAGE06、運用と自動化の世界。まずはCDPとLLDPから見ていくよ。