ネットワークセキュリティの計画と保守
■ IPSecを使用することでIPパケットは暗号化されるため、通信の機密性を確保できます。
正解は、「グループポリシーオブジェクトを使用して、クライアント(応答のみ) IPSec ポリシーをクライアントコンピュータに適用する。」 となります。
なお、SMB署名は、ファイル共有やプリンタ共有などで使用されているSMB(Server Message Block)プロトコルにデジタル署名を付加することで、データの改ざんやなりすましを防ぐセキュリティ機能であるため、データの完全性は確保できますが、機密性は確保できません。
■
ユーザー証明の自動登録の構成例
1. ユーザー テンプレートを複製し、自動登録用のコピーを使用する
2. 自動登録ユーザー証明書を発行できるようにエンタープライズ証明機関を構成する
3. ドメイン ユーザーの自動登録ポリシーを構成する
ユーザー テンプレートを複製し自動登録用のコピーを使用する
1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力し、[OK] をクリックします。
2. [ファイル] メニューで、[スナップインの追加と削除]、[追加] の順にクリックします。
3. [スナップイン] で [証明書テンプレート] をダブルクリックし、[閉じる]、[OK] の順にクリックします。
4. コンソール ツリーで、[証明書テンプレート] をクリックします。 詳細情報のウィンドウ領域に、すべての証明書テンプレートが表示されます。
5. 詳細情報のウィンドウ領域で、[ユーザー] テンプレートをクリックします。
6. [操作] メニューの [テンプレートの複製] をクリックします。
7. "表示名" フィールドに、「Autoenrolled User」と入力します。
8. [Active Directory の証明書を発行する] チェック ボックスがオンになっているのを確認します。
9. [セキュリティ] タブをクリックします。
10. "グループ名またはユーザー名" フィールドで [Domain Users] をクリックします。
11. [Domain Users のアクセス許可] ボックスの一覧で、[登録] および [自動登録] のアクセス許可のチェック ボックスをオンにし、[OK] をクリックします。
自動登録ユーザー証明書を発行できるようにエンタープライズ証明機関を構成する
1. [証明機関] を開きます。
2. コンソール ツリーで、[証明書テンプレート] をクリックします。
3. [操作] メニューの [新規作成] をポイントし、[発行する証明書テンプレート] をクリックします。
4. [自動登録ユーザー]、[OK] の順にクリックします。
ドメイン ユーザーの自動登録ポリシーを構成する
1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力し、[OK] をクリックします。
2. [ファイル] メニューで、[スナップインの追加と削除]、[追加] の順にクリックします。
3. [スナップイン] で [Active Directory ユーザーとコンピュータ] をダブルクリックし、[閉じる]、[OK] の順にクリックします。
4. コンソール ツリーで目的のドメイン名をクリックします。
5. [操作] メニューの [プロパティ] をクリックします。
6. [グループ ポリシー] タブの [編集] をクリックします。
7. コンソール ツリーで、[ユーザーの構成] の [公開キーのポリシー] をクリックします。
8. 詳細情報のウィンドウ領域で、[自動登録の設定] をダブルクリックします。
9. [証明書を自動的に登録する] をクリックします。
10. [有効期限が切れた証明書を更新、保留中の証明書を更新、及び破棄された証明書を削除する] チェック ボックスをオンにします。
11. [証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにし、[OK] をクリックします。
12. [ファイル]、[終了]、[OK] の順にクリックします。
■まず、ルートCAは、他の下位CAよりも上位に配置する必要があるため、?に配置します。
また、本文の「認証されていない証明書が発行される可能性を最小限にしたい」という記述や、「下位 CA によって発行された証明書を無効にすることができるようにしたい」という記述から、下位CA同士には親子関係を持たせずに、ルートCAの直下に配置すべきであると判断できます。
■secedit /configure コマンドを使用することで、データベースに格納されている設定値を適用することにより、ローカル コンピュータのセキュリティを構成することができます。
構文は、下記の通りです。
secedit /configure /db FileName [/cfg FileName] [/overwrite][/areas Area1 Area2 ...] [/log FileName] [/quiet]
■この問題では、Basic EFS証明書の有効期間が1年だといっています。 エンタープライズCAの規定の有効期間は2年ですので、スタンドアロンCAを使用していることがわかります。 Basic EFS証明書テンプレートの有効期間を変更することはできませんが、Basic EFS証明書テンプレートのコピーを作成することはできます。 テンプレートのコピーを変更することは可能です。
デフォルトでは、スタンドアロンの証明機関 (CA) により発行される証明書の有効期間は 1 年間です。 1 年経過すると証明書の期限が切れ、信頼された証明書として使用できなくなります。 場合によっては、中間証明機関または発行元の証明機関から発行される証明書のデフォルトの有効期限を書き換える必要があります。
スタンドアロンおよびエンタープライズ証明機関によって発行されるすべての証明書にレジストリで定義された有効期間が適用されます。エンタープライズ証明機関の場合、デフォルトのレジストリ設定は 2 年間です。 スタンドアロン証明機関の場合、デフォルトのレジストリ設定は 1 年間です。 スタンドアロン証明機関によって発行される証明書の場合、有効期間はこの資料の後半で説明するレジストリ エントリによって決まります。 このレジストリ エントリの値が、スタンドアロン証明機関によって発行されるすべての証明書に適用されます。
エンタープライズ証明機関によって発行される証明書は、証明書の作成時に使用されるテンプレートに有効期間がハードコードされています。 Windows 2000 と Windows Server 2003 では、これらのテンプレートの変更をサポートしていません。 エンタープライズ証明機関によって発行されるすべての証明書にテンプレートの有効期間が適用されます。下位証明機関の証明書のテンプレートも例外ではありません。 証明機関によって発行された証明書は、以下のいずれかの期間が切れるまで有効です。
・上記のレジストリの有効期間。
・テンプレートの有効期間。これはエンタープライズ証明機関の場合にのみ有効です。
・証明機関の証明書の有効期限。
■役割ベースの管理を使用すると、それぞれ一連のタスクを備えた定義済みの個々の CA の役割に証明機関 (CA) の管理者を組織化することができます。 役割は、各ユーザーのセキュリティ設定によって割り当てられます。 ユーザーへの役割の割り当ては、その役割に関連付けられている特定のセキュリティ設定をユーザーに割り当てることによって行います。
次の表は、役割ベースの管理およびグループ関連の役割ベースの管理における CA の役割についての説明です。
【役割とグループ セキュリティのアクセス許可 説明】
・CA管理者 CAの管理アクセス許可 CAの構成と管理を行います。これはCAの役割であり、その他の全CAの役割の割り当てとCA証明書の書き換えを行う機能が組み込まれています。
・証明書マネージャ 証明書の発行と管理アクセス許可 証明書の登録と失効の要求を承認します。これは、CAの役割です。この役割は、"CA 管理者 (CAO)" と呼ばれることがあります。
・バックアップオペレータ ファイルとディレクトリのバックアップおよび
ファイルとディレクトリの復元アクセス許可 システムのバックアップと回復を行います。これは、オペレーティング システムの役割です。
・監査役 監査とセキュリティログの管理アクセス許可 監査ログの構成、表示、および管理を行います。これは、オペレーティング システムの役割です。
・入会者 Authenticated Users 入会者は、CA への証明書の要求が承認されているクライアントです。これは、CA の役割ではありません。
■HFNetChk は、1 台のコンピュータまたは複数のコンピュータが属するグループを管理者が一元的に検証し、セキュリティ修正プログラムの適用の有無を調べるためのコマンド ライン ツールです。Microsoft Baseline Security Analyzer (MBSA) 1.1 のリリース時点では、HFNetChk は MBSA のコマンド ライン インターフェイス mbsacli.exe /hf から利用できます。
HFNetChk を使用すると、Windows Server 2003、Windows XP、Windows 2000、および Windows NT 4.0 を実行しているコンピュータのセキュリティ修正プログラムの適用状態を検証できます。
エラー: 200 - システムが見つかりません。スキャンは実行しません。
上記のエラーは、指定したコンピュータが見つからず、スキャンが実行されなかったことを示します。このエラーを解決するには、指定したコンピュータがネットワーク上に存在すること、およびホスト名や IP アドレスが正しいことを確認します。 また、リモート コンピュータが Server サービスを実行していることも確認します。
■問題中の要件として、定期的に設定が強制されるように、ベースラインセキュリティテンプレートを適用する必要がありますと言っています。 しかし、リソースサーバーは、就業時間中、キャパシティいっぱいで動作しており、リソースサーバーに与えるパフォーマンスの影響を最低限に抑えたいと言っています。 リソースサーバーへのグループポリシーの適用を就業時間外に行うために、secedit を実行するスケジュールされたタスクを作成することでこれらの要件を満たすことが出来ます。
Secedit.exe ツールを自動タスク スケジューラから呼び出すことによって、セキュリティテンプレートの自動的な作成や適用、システム セキュリティの分析に利用できます。
secedit /import コマンドを使用すると、セキュリティ テンプレートをデータベースにインポートし、テンプレートで指定されている設定をシステムに適用したり、システムに照らして分析できます。
■自動登録機能には、以下のような要件があります。
・ Windows Server 2003スキーマおよびグループポリシー更新
・ Windows 2000またはWindows Server 2003ドメインコントローラ
・ Windows XPクライアント
・ エンタープライズ証明機関(CA)として機能するWindows Server 2003, Enterprise Edition
この問題では、Windows 2000ドメインを使用しているので、ドメインコントローラもWindows 2000です。 したがって、フォレストスキーマを更新する必要があります。
フォレストを準備するには、スキーマ操作マスタで adprep コマンドの adprep /forestprep を実行します。 スキーマ マスタで adprep を実行すると、スキーマが更新され、フォレストに存在する他のすべてのドメイン コントローラに更新後のスキーマがレプリケートされます。
■テンプレートプロパティ内の [要求処理] タブでは、証明書テンプレートの目的、サポートする暗号化サービスプロバイダ (CSP)、最小キー サイズ、エクスポート可能か否か、自動登録の設定、強力な秘密キーの保護を必須とするかどうかを定義することができます。 [秘密キーのエクスポートを許可する] オプションを有効にすることで、サブジェクトの秘密キーをバックアップまたは移動するためにエクスポートすることを許可することができます。
正解は、「Employee テンプレート内で、[秘密キーのエクスポートを許可する] オプションを有効にする。」 となります。
なお、この問題の要件は、「プライベートキーの復元が成功することを保証する」なので、「Employee テンプレート内で、[サブジェクトの秘密キーをアーカイブする] オプションを有効にする。」 は誤りとなります。
■MBSAを使用してリモートからスキャンする場合の、スキャン対象コンピュータのシステム要件は以下のとおりです。
・Windows NT 4.0 Service Pack 4 (SP4) 以上、Windows 2000 、Windows XP (簡易ファイルの共有を使用している Windows XP ベースのコンピュータはローカル スキャンのみが可能)、または Windows Server 2003 。
・IIS 4.0、5.0、5.1 または 6.0 (IIS の脆弱性チェックに必要です) 。
・Internet Explorer 5.01 以降 (Internet Explorer のセキュリティ ゾーン チェックに必要です)。
・SQL Server 7.0、2000 (SQL の脆弱性チェックに必要です)。
・Office 2000、Office XP または Office 2003 (Office の脆弱性チェックに必要です)。
・Server サービス、Remote Registry サービス、ファイルとプリンタの共有がインストールされている必要があります。
■Secedit
少なくとも 1 つのテンプレートと現在の構成を比較することによって、システム セキュリティを構成および分析します。
secedit /analyze
コンピュータ上のセキュリティ設定を、データベース内のベースライン設定と比較することによって分析できます。
■公開キー基盤 (PKI)。 PKI を使用すると、組織が公開キーの暗号化を使用して安全にデータをパブリック ネットワーク上で交換できるようになり、 結果的に、通信の傍受を防ぐことでプライバシーが保護されます。 PKI には、デジタル証明書を発行する証明機関 (CA)、 証明書を格納しているディレクトリ (Windows 2000 および Windows Server 2003 の Active Directory など)、 ネットワーク上のセキュリティ エンティティに対して発行される X.509 証明書が保持されます。 PKI により、証明書ベースの資格情報の検証を行うことができ、 資格情報が失効または破損、 変更されていないことを保証できます。
■役割ベースの管理を使用すると、それぞれ一連のタスクを備えた定義済みの個々のCAの役割に証明機関(CA)の管理者を組織化することができます。 役割は、各ユーザーのセキュリティ設定によって割り当てられます。 ユーザーへの役割の割り当ては、その役割に関連付けられている特定のセキュリティ設定をユーザーに割り当てることによって行います。
証明書の発行と管理アクセス許可は、証明書の登録と失効の要求を承認します。 これは、CA の役割です。
■セーフ モードやその他のスタートアップ オプションが作動しない場合は、回復コンソールの使用を検討します。
回復コンソールを使用すると、サービスの有効化と無効化、ドライブのフォーマット、ローカル ドライブ (NTFS でフォーマットされたドライブを含む) のデータの読み書きなど多くの管理タスクを実行できます。 回復コンソールは、システムを修復するためにファイルをフロッピーディスクまたは CD-ROM からハード ディスク ドライブにコピーする必要がある場合、またはコンピュータが正常に起動しない原因となっているサービスを再構成する必要がある場合に、特に便利です。
■ MBSAの実行結果では、security update scanが実行できなかったことを示しています。正常に MBSA を実行するためには、インターネットに接続する必要があります。そのため、一時的にインターネットへのアクセスを有効にしてMBSAを実行します。
正解は、「一時的に、Crammedia2 のインターネットへのアクセスを有効にし、MBSA を再実行する。」 となります。
■MBSA (Microsoft® Baseline Security Analyzer) は、Windowsベースの 1 台以上のコンピュータについて、セキュリティの構成に問題が無いかをスキャンするためのツールです。 MBSA は Windows ベースのコンピュータをスキャンし、オペレーティング システムと、Windows 2000 Server の IIS (Internet Information Services) や SQL Serverなどのインストールされているその他のコンポーネントについて、セキュリティの構成の問題がないかどうかをチェックしたり、推奨されるセキュリティ修正プログラムがインストールされ、最新の状態になっているかどうかをチェックしたりします。
MBSA スタイルのスキャンでは、スキャンの結果は個々の XML ファイルに保存され、MBSA UI で表示できます。 MBSA スタイルのスキャンは、MBSA GUI インターフェイス (mbsa.exe) または MBSA コマンド ライン インターフェイス (mbsacli.exe) を使って実行できます。 このスキャンには、使用可能な Windows、IIS、SQL、およびセキュリティ修正プログラムのすべてのチェックが含まれています。
■IPSecは、人事部門サーバーとVPNサーバーで有効にする必要があります。
スマートカード証明書は、コンピュータではなくユーザーに発行されます。
Securityグループは、登録エージェント証明書を必要とします。
登録エージェント
別のサブジェクトに代わって証明書を要求する場合に使用されます。
■Cert Publishersグループのメンバは、ユーザーとコンピュータの証明書を公開できます。 このグループには、既定のメンバが設定されていません。
この問題は、CrammediaSrvCが、child2.crammedia.comドメインのユーザーに証明書を発行するために、必要なアクセス許可を持っていないことだと考えられます。 したがって、CrammediaSrvCをchild2.crammedia.comドメインのCert Publishersグループに追加することで、解決できます。
■インストール後のCA構成は、ほとんど[証明機関]スナップインを通して行います。 このスナップインは、証明書サービスをインストールおよび管理するために使用できます。 CRL配布ポイントは、CAがCRLをパブリッシュするネットワーク上の場所です。 Windows Server 2003の下でのエンタープライズCAの場合、Active DirectoryがCRLを保持し、スタンドアロンの場合、CRLは certstv/certenrollディレクトリに配置されます。 それぞれの証明書は、CDPの場所のリストを持っており、クライアントが証明書を参照する際、どこに最新のCRLを探しにいけばいいのかがわかります。
Crammedia1が、オフラインのまま、ネットワーク上でCRL及び証明書の検証をサポートするためには、[証明機関]スナップインを使用して、C:\Windows\System32\CertSrv\CertEnroll フォルダをポイントするようCDPおよびAIAを構成する必要があります。
■統合 Active Directory 認証を使用して、POP3 サービスを既存の Active Directory ドメインに統合できます。既存の Active Directory ユーザー アカウントに対応するメールボックスが作成されている場合、ユーザーは既存の Active Directory ドメイン ユーザー名とパスワードを使用して電子メールを送受信できます。統合 Active Directory 認証では、プレーンテキストとセキュリティで保護されたパスワード認証 (SPA) 電子メール クライアント認証の両方がサポートされます。プレーンテキストではユーザーの資格情報がセキュリティで保護されていない暗号化されていない形式で送信されるので、プレーンテキスト認証の使用は推奨されません。 SPA では、電子メール クライアントはユーザー名とパスワードの両方を安全な認証を使用して送信しなければならないため、プレーンテキスト認証よりも SPA の使用が推奨されます。
セキュリティで保護されたパスワード認証を要求するようにメール サーバーを構成するには、下記を行います。
・ POP3 サービスを開きます。
・ コンソール ツリーで、<コンピュータ名> ノードを右クリックし、[プロパティ] をクリックします。
・ [すべてのクライアント接続にセキュリティで保護されたパスワード認証 (SPA) を要求] を選択します。
セキュリティで保護されたパスワード認証を使用するように Outlook Express を構成するには、下記を行います。
・ [スタート] ボタンをクリックし、[すべてのプログラム] をポイントし、[Outlook Express] をクリックします。
・ [ツール] メニューの [アカウント] をクリックします。
・ [インターネット アカウント] で、[メール] タブをクリックし、使用している POP3 電子メール アカウントの名前をクリックし、[プロパティ] をクリックします。
・ [サーバー] タブをクリックし、[セキュリティで保護されたパスワード認証でログオンする] をクリックします。
・ [アカウント名] に、ドメインを含めずに POP3 サービス ユーザー名を入力します。たとえば、電子メール アドレスが someone@example.com の場合は、次のように入力します。
someone
■各OSが使用可能な最も高いセキュリティレベルの認証プロトコルとして、正しいものを選択してください。
Windows XP Professional − Kerberos
Windows NT 4.0 Workstation − NTLMv2
Windows 98 − NTLMv2
■SMB署名とは、ファイル共有やプリンタ共有などで使用されているSMB(Server Message Block)プロトコルにデジタル署名を付加することで、データの改ざんやなりすましを防ぐセキュリティ機能です。SMB署名は、クライアント側の設定である[Microsoftネットワーククライアント:常に通信にデジタル署名を行う]と[Microsoftネットワーククライアント:サーバが同意すれば、通信にデジタル署名を行う]およびサーバ側の設定である[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]と[Microsoftネットワークサーバ: クライアントが同意すれば、通信にデジタル署名を行う]で構成可能です。なお、Windows Server 2003では、ドメンイコントローラにアップグレードしたタイミングで、[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]が有効になります。そのため、SMB署名をサポートしていないクライアントとの通信ができなくなりますので注意してください。
■定義済みのセキュリティ テンプレート
定義済みのセキュリティ テンプレートは、さまざまな組織の要件を満たすようにカスタマイズしたセキュリティ ポリシーを作成するための基になります。
セキュリティで保護されたテンプレート(Secure*.inf)は、アプリケーションの互換性にほとんど影響を与えない拡張セキュリティ設定を定義します。 たとえば、セキュリティで保護されたテンプレートでは、より強力なパスワード、ロックアウト、および監査設定を定義します。
さらに、セキュリティで保護されたテンプレートは、クライアントの構成を NTLMv2 応答のみの送信とし、サーバーの構成を LAN Manager 応答の拒否とすることによって、LAN Manager および NTLM 認証プロトコルの使用を制限します。
■システム キー ユーティリティ
ユーザー アカウントのパスワード情報はワークステーションとメンバ サーバーのレジストリにあるセキュリティ アカウント マネージャ (SAM) データベースに格納されています。 ドメイン コントローラでは、パスワード情報はディレクトリ サービスに格納されています。 ユーザー アカウントのパスワードにアクセスするために、パスワード解読ソフトウェアが SAM データベースやディレクトリ サービスを標的にすることは珍しくありません。 システム キー ユーティリティ (Syskey) はパスワード解読ソフトウェアに対する防御を強化するものです。 これは強力な暗号化技法を使用して、SAM データベースまたはディレクトリ サービスに格納されているアカウント パスワード情報を保護します。 暗号化されたアカウント パスワードの解読は、暗号化されていないアカウント パスワードの解読より困難で時間もかかります。
■IPSec ポリシーの規則
・フィルタ一覧
単一のフィルタ一覧を選択します。 フィルタ一覧には、この規則に対して構成したフィルタ操作を適用するトラフィックの種類を記述した定義済みパケット フィルタが 1 つ以上含まれています。 フィルタ一覧は、IPSec ポリシーに含まれる IPSec 規則のプロパティの [IP フィルタ一覧] タブで構成します。
・フィルタ操作
単一のフィルタ操作を選択します。 フィルタ操作には、フィルタ一覧と一致するパケットに必要な操作の種類 (許可、ブロック、またはセキュリティのネゴシエート) が含まれています。 セキュリティのネゴシエート フィルタ操作の場合、ネゴシエーション データには、IKE ネゴシエーション中に優先順位に従って使用される 1 つ以上のセキュリティ メソッドとその他の IPSec 設定が含まれます。 各セキュリティ メソッドは、セキュリティ プロトコル (AH、ESP など)、特定の暗号化アルゴリズムとハッシュ アルゴリズム、および使用するセッション キーの再生成の設定を決定します。 フィルタ操作は、IPSec ポリシーに含まれる IPSec 規則のプロパティの [フィルタ操作] タブで構成します。
・認証方法
1 つ以上の認証方法を優先順位に従って構成し、メイン モード ネゴシエーション中に IPSec ピアの認証のために使用します。 利用できる認証方法には、Kerberos 5 プロトコル、指定された証明書機関から発行された証明書の使用、または事前共有キーがあります。 ネゴシエーション データは、IPSec ポリシーに含まれる IPSec 規則のプロパティの [認証方法] タブで構成します。
※注意
事前共有キー認証は比較的脆弱な認証方法であるため、事前共有キー認証を使用することはお勧めできません。 事前共有キーの認証では、証明書や Kerberos V5 プロトコルよりもセキュリティ保護の低い (暗号化形式の強度が低いかもしれない) マスタ キーを作成します。 また、事前共有キーはプレーンテキストで保存されています。事前共有キーによる認証は相互運用を目的に提供され、IPSec 標準に準拠しています。 事前共有キーはテストのためだけに使用し、業務環境では証明書や Kerberos V5 を使用するようお勧めします。
・接続の種類
ローカル エリア ネットワーク (LAN) 接続、ダイヤルアップ接続、またはその両方に規則を適用するかどうかを指定します。 接続の種類は、IPSec ポリシーに含まれる IPSec 規則のプロパティの [接続の種類] タブで構成します。
■ /changepass[word][:new_password[,old_password]] を使用してCluster.exe を実行すると、ドメイン コントローラとすべてのクラスタ ノードのクラスタ サービス アカウントのパスワードが old_password から new_password に変更されます。コマンドの一部として入力しないと、new_password と old_password のいずれかまたは両方の入力を求めるメッセージが表示されます。2 つの二重引用符 ("") を入力すると、空のパスワードを指定できます。
■Microsoft ネットワーク用ファイルとプリンタ共有コンポーネントは、Microsoft ネットワークを使用して、ネットワーク上の他のコンピュータから現在使用しているコンピュータ上のリソースにアクセスできるようにします。
このコンポーネントはすべての VPN 接続に対して、既定でインストールされ、利用可能になっています。 ただし、このコンポーネントは PPPoE 接続とダイヤルアップ接続に対して有効にする必要があります。 このコンポーネントは接続ごとに有効になり、ローカル フォルダの共有に必要です。
この問題では、ファイルとプリンタ共有を無効にすることによって、Webサーバーを保護することができます。 Webページのアクセスには、httpやhttpsといったWebプロトコルが使用されるため、Webサーバー上でファイルとプリンタ共有は必要ありません。
■Resultant Set of Policy 。 Microsoft RSoP ツールは、管理者が計画、監視、およびトラブルシューティングを行える、強力で柔軟性のあるベースレベルのツールです。 RSoP の計画モードによって、管理者は、グループ ポリシーの変更が、対象ユーザーやコンピュータに与える影響を計画することができます。 Windows Server を使用しない場合に利用されるログ モードは、現在、特定のコンピュータでポリシーが有効であるかを検証できます。
■この問題での攻撃は、DoS(Denial of Service)攻撃として知られています。
この攻撃を防御するためには、ルータが供給したネットワークアドレスのメンバではない送信元アドレスを持つ、内部ネットワークからのパケットを廃棄するよう、それぞれのルータが設定されているのが理想的です。
■SHA と MD5 は、どちらもデータの完全性を保証するために使用されるハッシングアルゴリズムですが、SHAが160 ビットの値を生成するハッシュ関数であるのにたいし、MD5 は95 ビットの値を生成し、パフォーマンスに優れています。 問題では、パフォーマンスへの影響を最小限にしたいと言っていますので、MD 5 を選択します。
また、セキュリティを強化するには、暗号化アルゴリズムも、3DES はDES よりも強力な暗号化アルゴリズムですが、3DESでは、DESを3回繰り返すため、処理時間はDESに比べ長くなり、パフォーマンスへの影響が大きくなります。