【AP午後R04春NW】応用情報技術者R04春ネットワークの解説
応用情報技術者試験R04春は、通信経路の特化した問題でした。
一問目は簡単なように見えて、プロキシ使用時のパケットヘッダへの深い理解が必要でした。「知らず知らずに失点」しますが、他の問題は普通なので大丈夫です。
面白かったのはIPsecルータの使い方。
そもそも営業所と本社間の暗号通信のためでしたが、FWの負荷軽減のためにインターネットへのアクセスにも使うようにしています。
「こんな使い方もできるんだな」と初めて知りつつ「今後の問題で困ったらテとして書いてみよう」と学びになりました。
今回は、AP-PM-NWシリーズの一区切り。
40枚以上の図解+補強解説もして、今までにない品質で書いてみました。少しでも理解の手助けになれば嬉しいいです。
このNoteは、私がIT専門学校でしてきた授業がベース。
一緒に読んで解いていきます。解くためのコツや学ぶべき追加知識も書いています。
書籍や解説サイトでの学習で、「短い解説で良く分からなかった」「正解だけでなく、どう解いていくかも知りたい」方のために書きました。
情報安全確保支援士(セキュスペ)まで見通した「本質的な正解力をゲットしたい」方は、私や担当してきた学生さんの仲間。ぜひぜひ読んでください。
なお、私は応用情報技術者試験の午後は88点、情報安全確保支援士の午後2を97点で合格しています。ITパスポートからずっと独学。スキル4高度資格は、SC, NW, DB, ESを取得。
血の通った解説を、魂込めて伝えます。
それでは、始めましょう!
選択するか考える
問題文と設問文を見て選ぶか考えます。
まずは問題文。
最初の問題を解くまでに読む量が少ないか
ネットワーク図を一目見て理解できそうか
穴埋めや下線がどれくらいあるか
読む量を見積もる際は、図と表は抜いて考えます。
今回はわりと絶望。
穴埋めaが3頁目前半、図1と2を差し引いても1.5頁。図1のネットワークは複雑に見えますし、図2には見慣れない図が。
しかし。少し見るとそう複雑ではありません。
ネットワークは営業所は本社にIPsec通信、NPCも同じかな。プロキシ経由でQ社SaaS使うのかなと予測。図2もただの経路図。なんとかいけそう。
次は設問を見ます。
選択肢問題が多いか(完全解答は少ない方が良い)
記述で問われていることは(設定や理由など)
機器名を答える問題がほとんど。作文が1問あります(設問3-1)。仕組みさえ理解が正しければ得点はできそうです。
結論。私は解きますね。私は「セキュリティ・ネットワーク・データベースはなるべく解こう」と決めて対策してきたので。
図1を少し詳しく見て理解もできましたから。
営業所から本社にIPsecを使った暗号通信でアクセス
社内DNSサーバとDMZプロキシを経由してインターネット
Q社のサービスを利用してる
外出先NPC(ノートPC)でもIPsecを使って本社にアクセスかなぁ
設問1 |
全て、図1や2の用語をそのまま使います。実質、選択肢問題でした。
事前読み:
残念ながら今回は違いましたが、
よって、1つめの設問文はチェックした方が良いです。この工夫は、文章が長くなる高度資格ほど有効になってきますよ。
問題文を読む目的を設定するために、設問文を読みます。
(1):パケットの送信先/送信元IPアドレスの件。ゴール/スタートそのままのことが多いので、素直に解けそう。
(2):外出先NPCから外部のWebサーバにアクセスする経路。IPsecで本社に暗号接続して、本社DMZのプロキシ経由じゃないかなぁと。
(3):FWのフィルタリングルール。オーソドックス。必要な通信を丁寧に把握すれば正解できそう。
読み:24ページ~
1パラグラフを見つつ、図1で機器の配置を確認します。
A:本社と営業所をVPN(IPsec)接続。良いですね。
B:情報共有ISサーバ。社内LANにあるのでOK。
C:メールは外部のMシステムを使う。悪くないです。
D:NPCからISサーバ・MシステムへはHTTPS暗号通信。良いですね。(経路は不明ですが)
特にISサーバは社内LANにありますが、HTTPS暗号通信で社内盗聴の対策にもなるので強固で良いです。
図1を見ます。
DNSサーバを内部/外部に分けてるの良い。
社内LANからインターネットへはプロキシ経由だろう。
営業所から本社にVPNした後、プロキシ経由だろう。
外出先NPCからはどんなアクセスなんだろう。VPN(IPsec)接続なんだろうか。
ネットワーク構成は予想の範囲内に収まります。
24頁後半。【P社のネットワーク機器の設定内容と動作】。
外部DNSにわざわざ「キャッシュサーバ機能」と書いてます。ポイズニングされるということでしょうか。怪しいなとマーキング。
プロキシサーバにわざわざ「利用者認証・URLフィルタリング・ログ」と書いてます。解答で使うかもなのでマーキング。
ISサーバには社内NPCのみ。外出先NPCはどうなのか不明。
外出先NPCもプロキシ経由でインターネットへ。プロキシまでの経路が不明。
図2。不明点が明らかになって欲しいですね。
外出先NPC→ルータ→FW→プロキシです。
外出先NPCからの通信プロトコルは何なのか
FWはインターネットからプロキシへのアクセスにどう許可を出しているのか
プロキシは外出先NPCを利用者認証しているのか(24頁後半、利用者認証が書かれてたのでたぶんOK)。
以上の疑問。1と2点目はまだ解決しません。
図2の時点で、(あ)に到達したので設問1(1)は解けますが、穴埋めa~cも次なので続けます。
26頁の表1。オーソドックスなFWルールでした。穴埋めa, b, cに到達したので、解きに入ります。
解き:設問1(1) |
正解は「送信先はプロキシサーバ、送信元は営業所NPC」。
ヘッダは荷物でいう伝票。伝票では、送り主と宛先の氏名・住所、全4個が記載されますよね。
データ通信も似てます。送信元と送信先(宛先)のIPアドレス・MACアドレス・ポート番号、全6個が記載されています。
送信元/送信先のMACアドレスはバシバシ変わります。「前の機器」と「次の機器」が記載されるので。
送信元/送信先IPアドレスは、あまり変わりません。特に送信先IPアドレスが変わるのは極稀です。送信先IPアドレスは通信のゴールなので、変わるとゴールが分からなくなりますからね。
さて、送信先IPアドレスはゴールなので「Mサービス」かなと思うのですが、少し難しい問題です。
プロキシサーバを経由したインターネットアクセスの場合は、ちょっと違います。
送信先IPアドレスはプロキシサーバで送る
プロキシサーバが改めてパケットを作り、Mサービスへ送る(送信元IP:プロキシ、送信先:Mサービス)
なお、NPCのゴール(MサービスのIPアドレス)は、プロキシへ送ったデータの内に記述されています。
送信先(宛先)IPアドレスが変わる珍しい例でした。不正解もやむなしです。
補強 | 通信経路での送信元と送信先の変化
送信元/送信先IPアドレス、MACアドレスを少し補強しますね。
通信パケットは、ネットワーク機器をバケツリレーします。
MACアドレスはバケツリレーの度にちょこちょこ変わります。IPアドレスは伝票の送り主と宛先(ゴール)なので、早々変わりません。
送信先IPアドレスが変わると、最終的に届けたい場所が分からなくなりますからね。
送信元IPアドレスが変わることはあります。
代表的なのは、プライベートIPアドレスとグローバルIPアドレスの変換が行われる場合。つまり、社内からインターネットへのアクセスです。
インターネットでの通信ではグローバルIPアドレス(申請が必要)を使います。ここではFWのIPアドレスとします。
送信元IPアドレスをグローバルIPアドレス(FW)に替えて、送信します。
しかしこのままだと、Webサーバからの返事を受けた時に、FWは「どのPCかな?」と分かりません。
そこで、送信元ポートも変えます。ここでは「ポート番号B」しますね。
FWは「ポート番号B宛ての返事がきたら、あのPCだな」と判断します。
少しぼかしている部分はありますが、状況に依るのでご容赦ください。
解き:設問1(2) |
正解は、「ルータ、FW、プロキシサーバ」。
図2の経路を辿れば解けます。
外出先のNPC→ルータ→FW→プロキシサーバ→FW→ルータ→インターネット上のWebサーバ。
設問文に合わせます。
経路ではなく、機器を列挙して答える
L2SWは除いて答える
よって、「ルータ、FW、プロキシサーバ」。
解き:設問1(3) |
正解は「a:外部DNSサーバ b:プロキシサーバ c:社内DNSサーバ」。
今回は簡単です。プロトコルのポート番号に注目して解けます。
aについて。
53番ポートからDNS。分からなくても表1の3番目「外部DNSサーバが53番」から分かります。
アクセス経路が「インターネット→DMZ」。
DMZにあるDNSサーバは「外部DNSサーバ」。
bについて。
80番ポートからHTTP。443番からHTTPS。つまりWebアクセスだと分かります。
アクセス経路が「DMZ→インターネット」。
DMZにあって、インターネットに発信するのは「プロキシサーバ」。
少し補強。もしDMZにWebサーバがあった場合のFW設定。
インターネット→DMZ、80と443番ポートは、許可。
DMZ→インターネット、全て拒否。
Webサーバはアクセスを受けますが、自ら発信はしません。もしWebサーバからインターネットのサーバに発信するなら、ウイルスやボットに感染しています。
cについて。
53番ポートよりDNS。
アクセス経路より「内部LAN→DMZ」。
外部DNSサーバにアクセスするのが何かを問題文から探す。
24頁最後「社内DNSサーバは~外部DNSサーバに転送する」。
以上より「社内DNSサーバ→外部DNSサーバ」であり、送信元の正答は「社内DNSサーバ」。
読み:26頁表1~
ISサーバを廃止して、Gサービスを使う
HTTPSなので、良いですね。
設問2:
ISサーバはプロキシサーバを経由しません。
事前読み:
ISサーバを使わなくなる際、NPCでの設定変更が問われています。
問題文で「プロキシ例外設定とは~」と説明されることは、あまりないので知っておきましょう。
読み:26ページ【新ネットワーク構成と利用形態】~
図3に、新しいネットワーク構成。図1と比較すると、ISサーバがなくなり、Gサービスが追加されただけでした。
27頁。
外出先NPCも社内NPCで、Gサービスはプロキシサーバを経由するよう設定します。
下線①NPCのWebブラウザの設定変更(プロキシ例外設定)
社内DNSサーバからISサーバを削除
「プロキシ例外設定を削除」が分からないかもですが、問題文にヒントもあるので解けますよ。
解き:設問2 |
正解は「ISサーバ」。
分からなければ「ISサーバを廃止するんだから、ISサーバを消すんでしょ」でOKです。
ヒントもあります。
「Webブラウザ」「プロキシの例外設定」などの言葉を探します。
25頁上段に「Webブラウザには~プロキシ設定にプロキシサーバのFQDNを登録」して、プロキシを経由するよう設定しています。
一方で「ISサーバへ、プロキシサーバを経由せずに直接行う」。これが「プロキシの例外設定」を指します。
つまり、プロキシ設定で「プロキシサーバを経由してね」としつつ、「ISサーバは直接で良いよ」と例外を設定しているんです。
よって、今後はISサーバにアクセスする必要がないので、プロキシ例外設定(プロキシ経由しないで良いよ設定)に登録しているISサーバを削除します。
補強 | なぜ例外設定をされていたのか
ISサーバは社内LANなので直接アクセスすれば良く、「なぜDMZのプロキシが関わってくるんだろう?」と思った方は読んでください。
たしかにISサーバのIPアドレスを送信先にすれば、L3SWを経由して直接アクセスされるはずです。
しかし、今回はプロトコルにHTTPSを使っているため、プロキシに行っちゃうので、行かんで良い設定をする必要がありました。
HTTPとHTTPS通信は、インターネットへのアクセスなのでプロキシを経由するよう設定しています。
しかし、社内のISサーバもHTTPS通信なので、プロキシに無駄に行ってしまいます。
防ぐために、ISサーバをプロキシ例外設定し「プロキシを経由しなくて良いよ」としていました。
ISサーバ撤廃によって不要な設定になったので、削除となりました。
設問3 |
経路変更の様子が分かれば解ける問題でした。
事前読み:
(1):図4のように経路変更するために、L3SWの設定を変えます
(2):図4のようにIPsecルータ1&2から、q-SaaSに到達できるような設定にします。
読み:27ページ【Gサービス利用開始後に発生した問題と対策】~
インターネット利用の応答速度の低下が発生しました。
FWの負荷が増えたので、M&Gサービスへはプロキシ経由を止めるとのこと。
「IPsecルータってこんな使い方できるんだな」と学びになりましたね。
IPsecルータからVPN暗号化させず、WebブラウザからHTTPS暗号化で通過させる。
本社FWではなく、本社IPsecルータ1からインターネットに出す(FW的な使い方ができる)。
また、「プロキシサーバのログに記録されなくなるので、Q社のアクセスログを解析するように」するとのこと。
最近はSIEM, EDRの導入もよく出題されるので、併せて知っておくと良いですね。クラウド利用でよく問題になります。
図4下から読みます。
L3SWの話なので、本社NPCからMサービスへのアクセス経路の変更です。
下線②L3SWの経路表改訂:M&Gサービスの時は、IPsecルータに誘導。
IPsecルータ1&2の設定変更:M&Gサービスへの発信を許可。
NPCのWebブラウザの設定変更:M&Gサービスへはプロキシを経由しない(プロキシ例外設定)。
今回は「ブラウザでは、q-SaaS利用時にプロキシサーバを経由させないよう、プロキシ例外設定に、Mサービス及びGサービスのFQDNを登録した」と解説がされてました。
しかし他の問題では「プロキシ例外設定にFQDNを登録した」とだけに記述が多いです。意味をしっかり覚えておきましょう。
補強 | 各NPCからの経路変更
解き:設問3(1) |
正解は「q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路(34文字)」。
難しい言葉ですが、以下2点の趣旨があれば良いです。
Q-SaaS(or MサービスとGサービス)宛て
IPsecルータ1へ送る
私なら「M&Gサービス宛ての場合IPsecルータ1へ転送する設定(28文字)」です。
設問文が「追加する経路」なので「経路」という言葉で終わるのが良いですが、大丈夫でしょう。
解き:設問3(2) |
正解は「d:q-SaaS」「e:営業所LAN」
本社IPsecルータ1の役割は、
従来の営業所とのVPN接続:穴埋めe
新経路のq-SaaSへの接続:穴埋めd
宛先名は図4から持ってきてますね。
図3から持ってきて「d:Q社SaaS」「e:営業所LAN」でも正解になると思います。問われ方が「ネットワークセグメント、サーバ又はサービス名」なので。
「d:MサービスとGサービス」も私なら〇にしてあげたいですが、表2のルータ設定の1行に2つの宛先はできないですね。
まとめ |
営業所ー本社間の暗号通信、プロキシ経由、外部サービス利用と、近年よくみるネットワークでした。
プロキシ経由時の送信先IPアドレス、IPsecルータのFW的な使い方など、学ぶ点も多かったです。
とはいえ、失点は設問1(1)程度。8~9割が狙える問題でした。
ネットワーク図だけでなく経路図まで載せて理解を助けてくれてます。
難易度は「中の下」ぐらいでしょうか。
これにて、ひとまず一段落。また次の企画を読んで頂ければ嬉しいです。でわでわ。
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
\全ての無料Noteへのリンク!/
時間配分・問題選択法から午後問題解説まで
\R05秋の選択・得点・学ぶ解法の3点セット!/
不合格になった方に特にお薦めです
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ