【AP午後R04秋NW】応用情報技術者R04秋ネットワークの解説
応用情報技術者試験R05秋は、ネットワーク図や問題形式は易しいですが、通信経路が複雑な問題でした。
通信経路をトレースする良い問題なので、是非解いておいてください。
本番でも効率的に読んで理解を積み重ねましょう。荒く慌てると混乱してしまいます。
技術的には「クライアント証明書」が少し出てきます。
応用情報技術者試験からは電子証明書を、クライアント証明書・サーバ証明書として利用するケースも出題されます。
このNoteは、私がIT専門学校でしてきた授業がベース。
一緒に読んで解いていきます。解くためのコツや学ぶべき追加知識も書いています。
書籍や解説サイトでの学習で、「短い解説で良く分からなかった」「正解だけでなく、どう解いていくかも知りたい」方のために書きました。
情報安全確保支援士(セキュスペ)まで見通した「本質的な正解力をゲットしたい」方は、私や担当してきた学生さんの仲間。ぜひぜひ読んでください。
なお、私は応用情報技術者試験の午後は88点、情報安全確保支援士の午後2を97点で合格しています。ITパスポートからずっと独学。スキル4高度資格は、SC, NW, DB, ESを取得。
血の通った解説を、魂込めて伝えます。
それでは、始めましょう!
選択するか考える
問題文と設問文を見て選ぶか考えます。
まずは問題文。
最初の問題を解くまでに読む量が少ないか
ネットワーク図を一目見て理解できそうか
穴埋めや下線がどれくらいあるか
読む量を見積もる際は、図と表は抜いて考えます。
穴埋めaが2頁目後半。図1を差し引いても1頁半は読む必要があり、少し長い印象。また図表も図1しかなく、読む総量は多いですね。
図1を見ると、一見複雑に見えます。しかし「2つの営業所から本社にVPN接続するだけね」と分かると普通の範疇。
次は設問を見ます。
選択肢問題が多いか(完全解答は少ない方が良い)
記述で問われていることは(設定や理由など)
穴埋めと選択肢が多いですね。記述も「図1から接続先」を選ぶタイプで、理由などの作文ではありません。
あまりに作文がないので、簡単かもですが、却って難しいのかもと、ション長な方ほど迷うかも。
なお、穴埋めf, gが計算問題なのも苦手な方は気をつけましょう。
設問1 |
最初が用語問題・選択肢は、午後問題よくあるジャブ。
序盤失点は痛すぎるので、「午前対策」を入念にしてくださいね。午前試験をギリギリで通過する方ほど、午後問題の「メイン」に集中できなくなります。
事前読み
いつもの通り設問文を先に読んで、問題文を読む目標を決めるのですが、今回は設問1も2も読んでも穴埋め以外の情報はありませんでした。
仕方がないので、読みに入ります。
読み:26ページ~
まずは図1上まで。
2つの営業所から本社へVPN接続するだけで、営業所のネットワーク理解は終了。
本社の構成もオーソドックス。VPNの「テレワークとWeb会議に」から、ファイル共有サーバと認証サーバをテレワーク(自宅から)でどう使うのかが気になります。
図1。
特段何もありません。「UTMがあるなぁ」ですが「FWを更に強化した版」程度。
【W社の各サーバの機能】から。
本社VPNサーバ。営業所PCから、テレワーク環境からの接続を受けるのは、予想通り。
プロキシサーバ。営業所PCから、テレワーク環境からのインターネットアクセスを仲介する。オーソドックスですね。
なお、プロキシサーバにわざわざ「コンテンツフィルタ」「ログ」の記載があります。今後使うかもなのでチェックです。
ファイル共有サーバ。どうやら営業所PCやテレワーク環境からもアクセスしそうです。おそらく本社VPNサーバを中継してと予測(若干外れますが)。
認証サーバ。営業所PC、ファイル共有サーバへのログイン。社内LANなので直接アクセスではなく、DMZのVPNサーバかWebサーバからアクセスする形と予測。
通信帯域をわざわざ数値で書いているので、計算問題に備えてチェック。
それにしても、本社VPNサーバ、FWの負担が大きいですね。VPNサーバは全社員+テレワーク、FWはVPN接続+プロキシ経由のWeb閲覧を全て取り扱います。
また、テレワーク環境のPCが、インターネットアクセスする際に本当にプロキシを経由するのかも疑問です(27ページ下段で「社内PCをリモート操作する」ことから、必ずプロキシを経由すると分かりますが)。
なかなか、不安が残る構成でした。
【テレワークの拡大】
テレワーク環境からのアクセスが増加するだけが書かれています。
他は「筆記で使うかもなぁ」と、「リモートPC」「2ヶ月」を一応マーキング。
次パラグラフで、やっとこ穴埋めaに到達するので、読み&解きに入ります。
読み&解き | 27ページ終盤【M社が採用したリモートアクセス方式】
穴埋めが小刻みなので、読みながら解きます。プロトコルを選択肢から選ぶタイプなので、失点できません。
選択肢のプロトコルは全て覚えておきましょう。
ア:FTP:ファイル転送。20, 21番の2つのポートを使うのが特徴
イ:HTTPS:WebアクセスのHTTP(80)の暗号通信版(443)。HTTP over TLSとも云う。
ウ:IPsec:暗号通信プロトコルでよく使われる。
エ:Kerberos:認証プロトコル。RADIUS, TACACSと一緒に覚えておく。
オ:LDAP:ディレクトリサービスをネットワーク超しに利用できる。
カ:TLS:Web通信の暗号化で使う。SSL/TLSとも云う。
設問1a, bについて。正解は「カ:TLS」「イ:HTTPS」。
27ページ終盤「【a】で暗号化された【b】通信を用いた」より、絡みがあるプロトコルを探すと、TLSとHTTPSしかないです。
設問1cについて。正解は「ウ:IPsec」。
28ページ2行目「ネットワーク層で暗号化する」より、IPsecが後押しされます。
消去法で考えるなら、暗号通信に関係のない「ア:FTP」「エ:Kerberos」「オ:LDAP」を消します。結局「イ:HTTPS」「ウ:IPsec」「カ:TLS」が残ります。
うまくできてる問題でした。
設問2 |
認証手順を1つずつ丁寧に辿りましょう。
事前読み
設問を読んで目標を立てます。短めなので、読みながら解いても良いです。
(1):クライアント証明書の話。少し難しいかもですね。しかも「全て」なので完全解答、失点しやすいです。
(2):10文字。IDと来たから「パスワード(5文字)」。うーん、問題からヒント探しましょう。
(3):社内PCの認証処理。図1から選ぶので何とかなりそう。
読み:28ページ【リモートアクセスの認証処理】
1パラグラフ目。
テレワーク環境からのリモートアクセスの話から始まっています。
Webサーバにてリモートアクセス認証するとのこと。下線①にて「2種類の証明書」を使うとのこと。
ここで、解きに入ってもノーヒント過ぎるので、次を読みます。(ヒントがあったので助かります。)
2パラグラフ目。
リモートアクセスの認証処理の手順が書かれています。
Webサーバのリモートログイン専用ページ。ID入力。「アクセスする際には、リモートPC上の証明書が利用される」。
本社VPNサーバにIDと【d】を入力、「リモートPC上の証明書と合わせてVPN接続が行われる」。
社内PC用のIDとパスワードを入力して【e】が認証する。
都合よく「証明書」が2つ登場しました。設問2(1)下線①が答えられそうです。
解き:設問2(1) |
正解は「Webサーバ, 本社VPNサーバ」。
「2つの証明書」が問われましたが、問題文に2回「証明書」が登場してくれて助かりました。
Webサーバのリモートログイン専用ページ。ID入力。「アクセスする際には、リモートPC上の証明書が利用される」。
本社VPNサーバにIDと【d】を入力、「リモートPC上の証明書と合わせてVPN接続が行われる」。
Webサーバに「正当な利用者ですよ」、VPNサーバに「正当な利用者ですよ」と示すために2つの証明書を使いました。「クライアント証明書」と云います。
一方で「サーバ証明書」もあります。「私は本物のサーバですよ」と。攻撃者が用意したサーバがなりすますかもしれませんからね。
解き:設問2(2)d |
正解は「ワンタイムパスワード」。
少しノーヒント気味ですが。
リモートアクセス用IDと一緒に使う
「一定時間だけ有効な【d】」
以上2点から、推測できます。
解き:設問2(3)e |
正解は「認証サーバ」。
社内PCを使う時と同じIDとパスワードで認証する文意から分かります。
認証サーバの記述は、27ページ上部の箇条書き。
設問3 |
通信経路を丁寧に確認し、通信量を削減する新経路を考える問題です。
事前読み:
(1):Web会議サービス利用の通信が多い理由。選択肢。
(2):通信速度。計算問題。
(3):UTMにアクセスを許可するよう再設定する機器。
(1)については、最初の26ページ読みで不安や疑問が当たります。
(2)は素直な問題。基本情報技術者科目Aレベル。
(3)は通信経路を改善するときの設定なので、現段階では推測できません。
読み:28ページ【テレワークで利用するWebサービス】~
【テレワークで利用するWebサービス】から。
インターネット上のWeb会議サービスを利用するとのこと。
マイクとカメラが使えるのも普通ですね。あまり問われそうには思えない情報でした。
【テレワーク移行中に発生したシステムトラブルの原因と対策】から。
Web会議するPCが増えて、応答が遅くなる現象が起きたので、調査して2つ分かりました。
(1):本社インターネット回線利用が高い(営業所は低い)。
(2):Web会議サービス絡みの通信量が多い。
原因は、「通信経路(下線②)」と「会議の映像通信」。
下線②のヒント探し、穴埋めgも先にあるので、もう少し読みます。
29ページ最後のパラグラフ。
本社インターネット回線利用量を減らす工夫をするための変更する旨が書かれています。具体的手法は書かれてないので考えます。
解き:設問3(1) |
正解は「イ:Web会議サービスの全ての通信が本社のインターネット接続回線を通る」。
下線②「通信経路に関する要因」なので、営業所の社内PC・リモートワークPCからWeb会議サービスを利用する際の経路を見ます。
営業所の社内PC→営業所VPN→営業所UTM→本社FW→本社VPN→本社プロキシ→本社FW→インターネット→Web会議サービス
リモートワークPC→本社FW→本社VPN→本社FW→営業所UTM→営業所VPN→営業所の社内PC→(上と同じ。本社FWを2回通過)
本社FWの通過回数がすごいので、インターネットと本社DMZとの往復が大変と分かります。
解き:設問3(2) |
正解は「1.6」Mビット/秒、「192」Mビット/秒。
素直な問題です。
10分の通信が120Mバイト
120Mバイト × 8 = 960Mビット
1秒にするので、960Mビット / 600秒 = 1.6Mビット/秒
よって「穴埋めf」は「1.6」Mビット/秒。
次は複数社員に換算します。
200名の60%なので、120名
通信量は 120名 × 1.6Mビット/秒 = 192Mビット/秒
なお「本社のインターネット接続回線の契約帯域を超えてしまう」を確認します。27ページ上段より「100Mビット/秒」なのでOK。
今回は「回線効率」はなかったですし、社員200名も穴埋めの近くにあったので、かなり素直な方。逃げてはダメですよ。>>数式は単位を考えるNote<<
解き:設問3(3) |
正解は「Web会議サービス, 本社VPNサーバ」。
「全て答えよ。」なので2個以上挙げので、不安になる問題でした。
懸案の通信量超過は、本社プロキシを通過してWeb会議サービスにアクセスするために起こりました。
営業所の社内PC→営業所VPN→営業所UTM→本社FW→本社VPN→本社プロキシ→本社FW→インターネット→Web会議サービス
リモートワークPC→本社FW→本社VPN→本社FW→営業所UTM→営業所VPN→営業所の社内PC→(上と同じ。本社FWを2回通過)
よって、Web会議サービスだけはプロキシを経由しないようにすれば改善します。
営業所の社内PC→(営業所VPN)→営業所UTM→(本社経由せず)インターネット→Web会議サービス
リモートワークPC→本社FW→本社VPN→本社FW→営業所UTM→営業所VPN→営業所の社内PC→(上と同じ。本社FWを通過せず)
よってUTMに「社内PCからWeb会議サービス」を通すよう設定すればOK。
問題は「全て答えよ」なので、2個以上解答する点(1個の場合もあるでしょうが、わざわざ書いてますからね)。
営業所の社内PCは、
インターネットに出るときは、本社プロキシを経由。
ファイル共有サーバに行くときも、当然本社へ。
社内PCにログインするためも、本社の認証サーバへ。
以上より、必ず本社にアクセスします。
本社へは、VPNで暗号化通信をします。
したがって、UTMは「本社VPNサーバ」へのアクセスも許可します。
なお、プロキシサーバを経由しなくなるので「ログ(記録)」が取れません。UTMやWeb会議システム側で記録するか、SIEMを導入する必要があるかもしれません。
まとめ | 通信経路が複雑な問題だった
ネットワーク図は少し複雑に見えましたが「営業所と本社間を暗号通信」しているのはオーソドックス。問題形式に作文がなかったので却って怪しい問題でした。
解いてみると、本社を出たり入ったりを繰り返す通信経路。
1つ1つ理解して読み進めれば大丈夫な反面。一度荒く読んでしまったり急いでいたりすると、混乱する問題な印象を受けます。
総じて、通信経路をトレースするには良い問題。難易度も「中の中」です。
引き続き問題演習を続けていきましょう。
次は、>>AP午後R04春NW<< にてお会いしましょう。
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
\全ての無料Noteへのリンク!/
時間配分・問題選択法から午後問題解説まで
\R05秋の選択・得点・学ぶ解法の3点セット!/
不合格になった方に特にお薦めです
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ