【応用情報】令和4年度 春季試験 問5:ネットワーク【YouTube解説動画あり】

応用情報技術者
スポンサーリンク

令和4年度 春季試験 問5:ネットワークの問題解説を行っていきます。

出題テーマ:FW

主にFWとプロキシサーバについて出題されていました。

FWで通信を制御するにあたって、通信要件を正しく読み取る必要がある問題でした。

TCP80番がHTTPでWebサイトを用いるものであるというような、メージャーなプロトコルに関する知識も必要となりました。

また、プロキシサーバ利用時の通信フローの違いについても出題されていました。

多少知識が必要となる問題も出題されていましたが、基本的には問題文中のヒントを正しく読み取ることができれば回答できる国語の問題だったかと思います。

解説:FW

問題解説に入る前にFWについて軽く解説していきます。

FWには5タプルという5つの要素を用いて、通信を拒否・許可するという制御を行います。

  1. 送信元IPアドレス
  2. 宛先IPアドレス
  3. 送信元ポート番号
  4. 宛先ポート番号
  5. プロトコル番号

送信元・宛先IPアドレスはサブネットも記載することがありますし、すべての通信を通したいという場合は『any』とすることもあります。

送信元ポート番号はPCなどの端末が適当に設定する場合が多いので『any』とすることが多いです。

宛先ポート番号はWebページを閲覧する場合はHTTP(TCP80番)やHTTPS(TCP443番)を用い、名前解決の際に用いるDNSはUDP53番を用いるというように固定であることが多いため、宛先ポート番号を用いて制限することが多いと思います。

プロトコル番号はTCP・UDP・ICMPなどを表します。

さらにここに、LAN→インターネットのように通信方向という要素が加わることが多いです。

実際の機器だと、送信元インターフェース・宛先インターフェースだったり、ゾーンとして設定することが多いです。

5タプル+通信方向という要素を用いて、通信要件にもとづいて通信の拒否・許可を行っていきます。

設問1 (1)

図2を見ると、外出先のNPC、本社のNPC、営業所のNPCそれぞれはプロキシサーバを経由していることがわかります。

設問としては営業所のNPCがプロキシサーバ宛に行っている通信のIPヘッダの宛先と送信元を答えよとあります。

通常PCがWebサーバ(サイト)にアクセスする際の宛先IPアドレスと送信元IPアドレスは、

宛先IPアドレス:Webサーバ(サイト)
送信元IPアドレス:PC

となります。

例えば、ISサーバへはプロキシサーバを経由せずにアクセスしていますが、この場合の宛先IPアドレスはISサーバとなります。

プロキシサーバを利用する環境化では、

宛先IPアドレス:プロキシサーバ
送信元IPアドレス:PC

となり、宛先IPアドレスがWebサーバ(サイト)ではなく、プロキシサーバである点に注意が必要となります。

プロキシサーバはPCからの通信を受け、その通信を宛先:Webサーバ(サイト)、送信元:プロキシサーバとして代理で通信を行います。

ということで、『宛先IPアドレス:プロキシサーバ、送信元IPアドレス:営業所のNPC』となります。

設問1 (2)

図2に外出先のNPCがMサービスにアクセスする際の経路が記載されていますので、これを色付けしてあげましょう。

外出先のNPC→ルータ→FW→プロキシサーバ→FW→ルータ→Mサービス』という経路となることがわかります。

よって解答としては、『ルータ、FW、プロキシサーバ』となります。

設問1 (3)

【a】から考えていきます。

アクセス経路は『インターネット→DMZ』となっていますので、DMZにある機器が該当すると考えることができます。

プロトコル/宛先ポート番号は『TCP/53、UDP/53』となっていますので、DNSに関する通信を行う機器であると考えることができますので、『a:外部DNSサーバ』と解答することができます。

DMZ(DeMilitarized Zone)の頭文字を取って、日本語訳としては非武装地帯となります。

社内のネットワークに属しますが、インターネットからの通信を受け付けるエリアのことを指します。

また、UDP/53がDNSということは応用情報でネットワークを選択されるのであれば是非覚えてほしい内容となります。

更に1歩突っ込むとすれば、通常DNSにはUDP53番が用いられますが、サイズの大きい通信にはTCP53番が用いられることがあります。

DMZ、DNSのポート番号がわからなくても表1の項番3を確認するとヒントというか答えが書いてありますので、ここから推測できたという方もいらっしゃるかと思います。

【b】について考えていきます。

アクセス経路は『DMZ→インターネット』となっていますので、今回もDMZにある機器が該当すると考えることができます。

プロトコル/宛先ポート番号は『TCP/80、TCP/443』となっていますので、HTTP・HTTPSに関する通信を行う機器であると考えることができますので、『b:プロキシサーバ』と解答することができます。

ポート番号がTCP/80がHTTP、TCP/443がHTTPSであることはネットワークを受験されるのであれば是非覚えてほしい内容となります。

【c】について考えていきます。

アクセス経路は『内部LAN→DMZ』となっていますので、内部LANにある機器が該当すると考えることができます。

宛先は『外部DNSサーバ』でプロトコル/宛先ポート番号は『TCP/53、UDP/53』となっていますのでDNS関連の通信であると考えることができます。

内部LANにDNS関連の通信を行う機器は、『社内のNPC』と『社内DNSサーバ』の2つに絞ることができますが、どちらが正解か見ていきましょう。

重要な部分として、『本社及び営業所(以下、社内という)のNPCは、社内DNSサーバで名前解決を行う。』、『社内DNSサーバは、内部LANのサーバのIPアドレスを管理し、管理外のサーバの名前解決要求は、外部DNSサーバに転送する。』とあります。

ということで、アクセス経路が『内部LAN→DMZ』、宛先は『外部DNSサーバ』でプロトコル/宛先ポート番号は『TCP/53、UDP/53』という通信を行う機器は『c:社内DNSサーバ』と解答することができます。

通常クライアントがWebサーバへアクセスする際、DNSサーバへ問い合わせを行い、ドメインを名前解決し対応するIPアドレスへアクセスを行うようにクライアントがDNSサーバへ問い合わせを行います。

一方でプロキシサーバを利用する場合、クライアントはURL(ドメイン)のままプロキシサーバにアクセス要求を行います。

その要求を受け取ったプロキシサーバがDNSサーバへ問い合わせを行うというように、プロキシサーバを利用する場合と利用しない場合でDNSサーバへ問い合わせを行う機器が異なるという点に注意が必要です。

ざっくりと説明をしてしまいましたが、プロキシサーバを利用する場合と利用しない場合の通信フローについて詳しく学びたい方はこちらの記事を参考ください。

【図解HTTP・HTTPS】Web閲覧時の通信フローについて【YouTube解説動画あり】

【図解HTTP・HTTPS】Web閲覧時の通信フローについて【YouTube解説動画あり】
Webを閲覧する際にどのような流れで通信が行われているかについてご紹介します。 通常のルータでインターネットを閲覧を行う際はもちろんのこと、 最近ではSD-WANルータやファイアウォールでは、 Web通信(HTTP・HTTPS)の識別...

【図解・詳解】明示型プロキシ利用時のHTTP・HTTPS通信フロー【YouTube解説動画あり】

【図解・詳解】明示型プロキシ利用時のHTTP・HTTPS通信フロー【YouTube解説動画あり】
今回はプロキシサーバの種類と、 その中の明示型プロキシ、通信フローについてご紹介します。 プロキシサーバの概要についてはこちら HTTP・HTTPS通信フローについてはこちら プロキシサーバの種類 一言にプロキ...

設問2

下線部①としては『NPCののWebブラウザの、プロキシ例外設定に登録されいてるFQDN』とあります。

プロキシ例外設定とはプロキシサーバを経由させたくない通信先のことです。

重要な部分として、『社内のNPCからISサーバへのアクセスは、プロキシサーバを経由せずに直接行う。』とあります。

ということで、解答としては『ISサーバ』となります。

実案件的にも社内向けのポータルサイトなどの社内のWebサーバなどはプロキシの例外設定にすることが多いです。

設問3 (1)

下線部②としては、『L3SWの経路表に新たな経路の追加』とあります。

L3SWの経路表の詳細は問題文中に明記されていませんが、『P社では、本社と営業所の間を、IPSecルータを利用してインターネットVPNで接続している。』および『外出先及び社内のNPCのWebブラウザには、HTTP及びHTTPS通信がプロキシサーバを経由するように、プロキシ設定にプロキシサーバのFQDNを登録する。ただし、社内のNPCからISサーバへのアクセスは、プロキシサーバを経由せずに直接行う。』とありますのでこの2点から以下のように推測することができます。

宛先
ネクストホップ
営業所LAN
IPSecルータ1
デフォルトルート
FW

注意:デフォルトルートではなくプロキシサーバ、外部DNSサーバ、ISサーバというように個別にルーティングを行っている可能性もあります。

どのようなことを実現させたいかというと、『Mサービス及びGサービス(以下、二つのサービスを合わせてq-SaaSという)には、プロキシサーバを経由させず、外出先のNPCはHTTPSでアクセスし、本社のNPCはIPSecルータ1から、営業所のNPCはIPSecルータ2から、インターネットVPNを経由せずにHTTPSでアクセスすることにした。』とあります。

推測ではありますが上記のL3SW経路表から考えると、現状q-SaaS向けの通信はデフォルトルートに含まれてFW経由で通信が行われていますので、ここをIPSecルータ1向けに変更してあげる必要があると考えることができます。

ということで解答例としては、『宛先がq-SaaS向けでネクストホップがIPSecルータ1という経路(34文字)』となります。

設問3 (2)

【d】から考えていきます。

プロトコルは『HTTPS』、処理は『NAPT後にインターネットに転送』とあります。

q-SaaSには、プロキシサーバを経由せず、(中略)、本社のNPCはIPSecルータ1から』とありますように、先程L3SWに追加したような『d:q-SaaS』向けの通信であると考えることができます。

【e】について考えていきます。

もともとIPSecルータ1は営業所とのインターネットVPNを経由しての通信を処理する役割を担っていました。

本社と営業所の間を、IPSecルータを利用してインターネットVPNで接続している。』とありますように、『e:営業所LAN』と考えることができます。

公式解答例との比較・予想配点

出題テーマは『FW・プロキシサーバ』でした。

プロトコルやプロキシサーバ利用時の通信フローの違いという知識があると簡単に解くことができたかと思いますが、ここらへんを知らなくてもしっかりと問題文を読むことで回答することができたかと思います。

基本的には問題文中のヒントから回答することができますので、難易度としては易しい~やや易しい程度だったと思います。

設問
解答例
公式解答例
予想
配点
設問1 (1) 宛先IPアドレス:プロキシサーバ
送信元IPアドレス:営業所のNPC
宛先IPアドレス:プロキシサーバ
送信元IPアドレス:営業所のNPC
各2点
設問1 (2) ルータ、FW、プロキシサーバ ルータ、FW、プロキシサーバ 2点
設問1 (3) a:外部DNSサーバ
b:プロキシサーバ
c:社内DNSサーバ
a:外部DNSサーバ
b:プロキシサーバ
c:社内DNSサーバ
各2点
設問2 ISサーバ ISサーバ 2点
設問3 (1) 宛先がq-SaaS向けでネクストホップがIPSecルータ1という経路(34文字) q-SaaS宛の通信のネクストホップがIPSecルータ1となる経路 4点
設問3 (2) d:q-SaaS
e:営業所LAN
d:q-SaaS
e:営業所LAN
各1点

引用元

問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。

IPA 独立行政法人 情報処理推進機構:情報処理技術者試験・情報処理安全確保支援士試験
情報処理推進機構(IPA)の「情報処理技術者試験」「情報処理安全確保支援士試験」ページです。

YouTube解説動画

応用情報技術者試験解説

その他の年度、問題は以下のページにてまとめています。

【応用情報技術者試験】令和4年度春季~令和元年秋季 セキュリティ・ネットワーク問題解説【YouTube解説動画あり】
応用情報技術者試験の問題解説まとめページです。 問題解説を行っているのは必須問題の問1:セキュリティと選択問題の問5:ネットワークのみとなります。 ブログによる解説とYouTubeによる解説を行っています。 文字で読みたい...
タイトルとURLをコピーしました