ネットワークスペシャリスト 令和4年度 春季試験 午後Ⅰ 問2を解説していきます。
出題テーマ:セキュアゲートウェイサービスの導入
出題テーマは『セキュアゲートウェイサービスの導入』でした。
技術的な内容としては、VRF、IPSec、IKEv2について出題されていました。
これらの知識がないと一部の問題では解答することが難しいかと思いますが、文章中のヒントから解答することができる問題や基本的な知識で解答できる問題をしっかりと抑えることで、合格ラインの6割はなんとか確保できるかと思います。
設問1 (1)
下線①として、『特定のIPアドレスから送信されてパケットだけを許可するアクセス制御を設定して、本社のFWを経由しない経路からの接続を制限している。』とあります。
つまり本社のFWを経由する必要があるということは、本社のFWのIPアドレスのみを許可しているということです。
なので解答としては、『a.b.c.d』となります。
設問1 (2)
【a】の部分として、『本社及び営業所のIPSecルータは、LAN及びインターネットのそれぞれでデフォルトルートを使用するために、VRF(Virtual Routing Forwarding)を利用して 二つの【a】テーブルを保持し』とあります。
通常ルータやL3SWなどのネットワーク機器1台が保持できるルーティングテーブルは1つとなります。
VRFを使用することで、物理的には1台でも仮想的に機器を分割して、複数ルーティングテーブルを保持することができます。
ということで、解答は『ルーティング』となります。
VRFを利用することで複雑なルーティング構成に対応することができますし、通常ルータが2台必要なところを1台で運用可能な場合もありますが、設定としては複雑になってしまいますので適切な管理が必要となります。
また、VRFは無限に作成できるわけではなく、ルーティングテーブルを分割して保持するにはそれなりの負荷がかかりますので、機器のスペック・性能で上限が定められています。
詳しくは各メーカーのデータシートなどを参照ください。
設問1 (3)
まずは【b】から考えていきます。
重要な部分として、『本社及び営業所のIPSecルータは、LAN及びインターネットのそれぞれでデフォルトルートを使用するために』とあります。
VRFの:1側にはインターネット、ISP向けのデフォルトルートの設定があります。
そして、VRF:2側にはLAN向けのデフォルトルートの設定が入ると考えられますので、構成的にネクストホップとなり得るのはL3SWかFWとなります。
表1のFWと本社のIPSecルータのIPアドレスを確認すると、本社IPSecルータ⇔L3SW間、L3SW⇔FW間はそれぞれ別セグメントとなっていることが読み取れますので、ネクストホップとなるのは『b:L3SW』であると考えることができます。
次に、【c】と【d】について考えていきます。
重要な部分として、『本社及び営業所のIPSecルータには、営業所のPCが通信するパケットをIPSecVPNを介して転送するために、トンネルIFをネクストホップとしてた静的経路を設定している。』とありますので、『c:静的経路制御』、『d:静的経路制御』と考えることができます。
なるべく表2内で使用されている表現をするのがよいと思いますので、『L3SW』ではなく『本社のL3SW』、『静的経路』ではなく『静的経路制御』と解答するのがよいと思います。
設問1 (4)
営業所のPCからP社営業支援サービス宛の通信経路としてはこのようになります。
営業所および本社のIPSecルータとして、VRF:1側はIPSec確立のためのデフォルトルート用で、IPSecを確立した後はVRF:2側のトンネル経由で通信が行われます。
この前提をもとに考えていくと、営業所のPCから営業所のIPSecルータのVRF:2側に着信した通信は、デフォルトルートに従いトンネルIF宛、つまりは本社のIPSecルータのVRF:2側へ転送されます。
そして、L3SW向けのデフォルトルートを参照して転送されていきますので、解答としては『VRF識別子:65000:2』、『宛先ネットワーク:0.0.0.0/0』となります。
設問1 (5)
下線②として、『本社のIPSecルータには、営業所のIPSecルータとIPSecVPNを確立するために、静的なデフォルトルートを設定』とあります。
重要な部分として、表1の注釈に『w.x.y.zは、ISPから割り当てられた動的なグローバルIPアドレスである。』とあります。
営業所のIPSecルータには動的なグローバルIPアドレスが割り当てられますので、IPが変更になる可能性があります。
そして、どのIPアドレスになるのかはわかりませんので、デフォルトルートを設定せざるを得ません。
ということで解答例としては、『営業所のIPSecルータには動的なグローバルIPアドレスが割り当てられるため。(38文字)』となります。
実案件的には固定IPアドレスを割り当てる際には追加オプションとなりますので当然お金がかかります。
本社は固定IPアドレスだが営業所や支社側が動的IPアドレスであるケースは実案件としても結構あるかと思います。
IPSecが張られている間や何かしらの通信で使用されている間はIPアドレスが変更になることは基本的にありませんが、ルータを再起動したタイミングなどでは変更になる可能性があります。
この場合、今回問題のようにデフォルトルートが複数を必要となりVRFを使用する場合があります。
設問1 (6)
下線③として、『本社のIPSecルータには、OSPFに静的経路を再配布する設定を行っている。』とあります。
重要な部分として、『本社のFWの、L3SW及びIPSecルータには、OSPFによる経路制御を稼働させるための設定を行っている。本社のFWには、OSPFにデフォルトルートを配布する設定を行っている。』とありますので、表2において残った経路は『172.17.0.1/24』となります。
表2中で使用されていますので、もしくは『営業所のLAN』という解答でも構いません。
この経路をOSPFで再配布してあげることで、L3SWやFWが営業所の経路を知ることができ、通信することができるようになります。
設問2 (1)
こちらは知識の問題となります。
まずは【e】について考えていきます。
【e】の部分として、『ESPトレーラを付加して【e】化する。』とあります。
IPSecはインターネット上をよりセキュアに通信するために用いるもので、もとのパケットにESPトレーラを付加して、暗号化したものとなります。
ということで『e:暗号』となります。
次に【f】について考えていきます。
【f】の部分として、『次に、新しい【f】ヘッダと』とあいます。
元のパケットのIPヘッダも暗号化されますので、新たにIPヘッダを付与する必要がありますので、『f:IP』となります。
IPSecの暗号化前のパケットとIPSecで暗号化されているパケットはこのようになります。
次に【g】について考えていきます。
【g】の部分として、『【g】SAを識別するためのESPヘッダ及びESP認証データを付加して』とあります。
重要な部分として、『IPSec VPNにはIKEバージョン2と、ESPのプロトコルを用いる。』とあります。
今回はIKEバージョン2を用いるとありますので、『g:Child』となります。
最後に【h】について考えていきます。
【h】の部分として、『Diffie-Hellmanグループ番号には、現行では1を用いているが、POPとの接続では1よりも【h】の長い14を用いた方が良いと考えた。』とあります。
Diffie-Hellman法は暗号化する際に必要となる鍵を第三者に知られないようにやりとりする方法です。
Diffie-Hellmanのグループ番号が異なると鍵の長さが異なり、グループ1よりも14の方が鍵の長さが長いため、14を用いた方がセキュリティ的には向上します。
ということで、『h:鍵長』となります。
【g】、【h】に関してはIPSecの知識がより求められる内容でしたが、この2問に関しては解答できなくてもしょうがないと思います。
設問2 (2)
こちらも知識の問題となります。
IKEバージョン2においてはIKE SAとChild SAを確立する必要があります。
IPSec VPNを確立できない場合は、この2点の状態を確認すべきです。
よって解答としては、『IKE SA、Child SA』となります。
IKEバージョン2に関する知識が必要となりますが、IPSecを確立するにあたりパラメータをネゴシエーションする、一致しているか確認する必要があるということを理解しておけば、文章中の『IKE SAを確立するために必要な、暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム及びDiffie-Hellmanグループばんごうを ネゴシエーションして決定し、IKE SAを確立する。』、『認証及びChild SAを確立するために必要な情報を、IKE SAを介してネゴシエーションして決定し、Child SAを確立する。』という文章中からも考えられなくもないです。
設問3 (1)
下線④および重要な部分として、『P社営業支援サービスに設定しているアクセス制御を変更する必要があると考えた。P社支援サービスへの接続を許可するIPアドレスには、Q社SGWサービスのFW機能でのNAPTのために、Q社SGWサービスから割当てを受けた固定のグローバルIPアドレスを設定する。R主任は、Q社SGWサービスがN社以外にも提供されていると考えて、NAPTのためにQ社SGWサービスから割当てを受けてグローバルIPアドレスのサービス仕様』とあります。
設問1 (1)でも解答しましたが、現状はP社営業支援サービスには送信元IPアドレスがFWのIPアドレスのみ場合だけアクセス可能という制限を行っていました。
今後はQ社SGWサービスのNAPT後のIPアドレスに設定変更する必要がありますが、このIPアドレスはQ社SGWサービスから割当てを受けたIPアドレスとなります。
そして、Q社SGWサービスは他社にも提供されていますので、このIPアドレスが他社にも割当てられているのであれば、他社がP社営業支援システムにアクセスできる状態となってしまいます。
そこで、このIPアドレスがN社にしか割当てられない、専用のIPアドレスなのかを確認すべきと考えられます。
ということで解答例としては『N社以外に割当てされていないかどうか(18文字)』となります。
設問3 (2)
下線⑤として、『テスト環境を構築したR主任はQ社PaaS及びP社営業支援サービスの応答時間の測定を確認項目の一つとして、接続テストを実施した。』とあります。
SGWとはFWやUTMのようにURLフィルタリングやマルウェア検知などのセキュリティチェックを行い、安全を確認した上で外部・インターネットへ通信させるというゲートウェイとなります。
セキュリティチェックを行う関係上、少なからず通信遅延が発生してしまいます。
そして、P社営業支援サービスへの通信経路を確認すると、現行のネットワーク構成と新規ネットワーク構成での最大の違いはQ社SGWサービスを経由するかどうかです。
Q社SGWサービスによるセキュリティチェックで通信が遅延してしまう可能性を確認するため接続テストを行ったと考えることができます。
また、経路としても本社・営業所→インターネット→Q社SGWサービス→インターネット→P社営業支援サービスというように2回インターネットを通りますので、遅延してしまう可能性が考えられます。
よって解答例は、『Q社SGWサービスを経由することによる遅延(21文字)』となります。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
出題テーマは『セキュアゲートウェイサービスの導入』でした。
必要となる知識はVRF、IPSec、特にIKEv2が必要となりますが、文章中のヒントから解答することができる問題や基本的な知識で解答できる問題をしっかりと抑えることで、合格ラインの6割はなんとか確保できるかと思います。
総じて、難易度としては普通~やや難しいと思います。
配点 |
|||
| 設問1 (1) | a.b.c.d | a.b.c.d | |
| 設問1 (2) | ルーティング | ルーティング | |
| 設問1 (3) | b:本社のL3SW c:静的経路制御 d:静的経路制御 |
b:本社のL3SW c:静的経路制御 d:静的経路制御 |
|
| 設問1 (4) | VRF識別子:65000:2 宛先ネットワーク:0.0.0.0/0 |
VRF識別子:65000:2 宛先ネットワーク:0.0.0.0/0 |
|
| 設問1 (5) | 営業所のIPSecルータには動的なグローバルIPアドレスが割り当てられるため(38文字) | ISPが割り当てる営業所のIPSecルータのIPアドレスが動的だから | |
| 設問1 (6) | 172.17.1.0/24 | 172.17.1.0/24 又は 営業所のLAN | |
| 設問2 (1) | e:暗号 f:IP g:Child h:鍵長 |
e:暗号 f:IP g:Child h:鍵長 |
|
| 設問2 (2) | IKE SA、Child SA | IKE SA、Child SA | |
| 設問3 (1) | N社以外に割当てされていないかどうか(18文字) | N社専用のIPアドレスであること | |
| 設問3 (2) | Q社SGWサービスを経由することによる遅延(21文字) | Q社SGWサービスの経由によって発生する遅延 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
YouTube解説動画
鋭意編集中につき少々お待ちください。
