第14問
社内LAN をインターネットに接続する際のセキュリティルータの設定に関する 記述として、最も適切なものはどれか。
- ア DHCP を稼働させれば、LAN 側のパソコンに自動的にIP アドレスが配布され るので、ARP(Address Resolution Protocol)データグラムは流れない。
- イ ISP(Internet Service Provider)によって割り当てられたIP アドレスを発信元 とするパケットをインターネットから受信した場合には、LAN 側に転送するよ うに設定した。
- ウ ンターネット側からLAN 側へのIP ポートをすべて開けておかないと、社 内からインターネット上のウェブサイトなどにアクセスできなくなる。
- エ セキュリティルータのLAN 側IP アドレスとして、ISP(Internet Service Provider)によって割り当てられたIP アドレスと異なるアドレスを設定した。 ― 14― ◇M6(023―145)
▼ 解答・解説を見る
正解:エ
解答:エ
社内LANをインターネット接続する際のセキュリティルータ設定に関する問題。
- ア(×):DHCP(IPアドレス自動配布)を稼働させてもARPは別物。ARPはIPアドレスからMACアドレスを解決するプロトコルで、同一LAN内通信のために流れる。「ARPデータグラムは流れない」は誤り。
- イ(×):自社にISPが割り当てた(=自分の)グローバルIPを発信元とするパケットをインターネット側から受信するのは送信元IP詐称(スプーフィング)の典型で、これをLAN側へ転送するのはセキュリティ上極めて危険。破棄すべきであり不適切。
- ウ(×):社内からWebサイトへアクセスするのは内部発の通信であり、その戻りパケットはステートフルに通る。インターネット側からLAN側へのポートを「すべて開けておく」必要はなく、むしろ開けるべきでない。誤り。
- エ(○):セキュリティルータのLAN側IPアドレスには、ISPに割り当てられた(WAN側)アドレスとは異なるアドレス(通常はプライベートIPアドレス)を設定する。WAN側とLAN側で別のアドレス体系を用いる構成は適切。
よって エ。