令和4年春期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
ネットワークの構成変更に関する次の記述を読んで,設問1~3に答えよ。
 P社は,本社と営業所をもつ中堅商社である。P社では,本社と営業所の間を,IPsecルータを利用してインターネットVPNで接続している。本社では,情報共有のためのサーバ(以下,ISサーバという)を運用している。電子メールの送受信には,SaaS事業者のQ社が提供する電子メールサービス(以下,Mサービスという)を利用している。ノートPC(以下,NPCという)からISサーバ及びMサービスへのアクセスは,HTTP Over TLS(以下,HTTPSという)で行っている。P社のネットワーク構成(抜粋)を図1に示す。
pm05_1.png
〔P社のネットワーク機器の設定内容と動作〕
P社のネットワークのサーバ及びNPCの設定内容と動作を次に示す。
  • 本社及び営業所(以下,社内という)のNPCは,社内DNSサーバで名前解決を行う。
  • 社内DNSサーバは,内部LANのサーバのIPアドレスを管理し,管理外のサーバの名前解決要求は,外部DNSサーバに転送する。
  • 外部DNSサーバは,DMZのサーバのグローバルIPアドレスを管理するとともに,DNSキャッシュサーバ機能をもつ。
  • プロキシサーバでは,利用者認証,URLフィルタリングを行うとともに,通信ログを取得する。
  • 外出先及び社内のNPCのWebブラウザには,HTTP及びHTTPS通信がプロキシサーバを経由するように,プロキシ設定にプロキシサーバのFQDNを登録する。ただし,社内のNPCからISサーバへのアクセスは,プロキシサーバを経由せずに直接行う。
  • ISサーバには,社内のNPCだけからアクセスしている。
  • 外出先及び社内のNPCからMサービス及びインターネットへのアクセスは,プロキシサーバ経由で行う。

 NPCによる各種通信時に経由する社内の機器又はサーバを図2に示す。ここで,L2SWの記述は省略している。
pm05_2.png
 FWに設定されている通信を許可するルール(抜粋)を表1に示す。
pm05_3.png
 このたび,P社では,サーバの運用負荷の軽減と外出先からの社内情報へのアクセスを目的に,ISサーバを廃止し,Q社が提供するグループウェアサービス(以下,Gサービスという)を利用することにした。Gサービスへの通信は,Mサービスと同様にHTTPSによって安全性が確保されている。Gサービスを利用するためのネットワーク(以下,新ネットワークという)の設計を,情報システム部のR主任が担当することになった。

〔新ネットワーク構成と利用形態〕
 R主任が設計した,新ネットワーク構成(抜粋)を図3に示す。
pm05_4.png
 新ネットワークでは,サービスとインターネットの利用状況を管理するために,外出先及び社内のNPCからMサービス,Gサービス及びインターネットへのアクセスを,プロキシサーバ経由で行うことにした。
 R主任は,ISサーバの廃止に伴って不要になる,次の設定情報を削除した。
  • ①NPCのWebブラウザの,プロキシ例外設定に登録されているFQDN
  • 社内DNSサーバのリソースレコード中の,ISサーバのAレコード

〔Gサービス利用開始後に発生した問題と対策〕
 Gサービス利用開始後,インターネットを経由する通信の応答速度が,時間帯によって低下するという問題が発生した。FWのログの調査によって,FWが管理するセッション情報が大量になったことによる,FWの負荷増大が原因であることが判明した。そこで,FWを通過する通信量を削減するために,Mサービス及びGサービス(以下,二つのサービスを合わせてq-SaaSという)には,プロキシサーバを経由せず,外出先のNPCはHTTPSでアクセスし,本社のNPCはIPsecルータ1から,営業所のNPCはIPsecルータ2から,インターネットVPNを経由せずHTTPSでアクセスすることにした。この変更によって,q-SaaSの利用状況は,プロキシサーバの通信ログに記録されなくなるので,Q社から提供されるアクセスログによって把握することにした。
 外出先及び社内のNPCからq-SaaSアクセス時に経由する社内の機器を図4に示す。ここで,L2SWの記述は省略している。
pm05_5.png
 図4に示した経路に変更するために,R主任は,②L3SWの経路表に新たな経路の追加,及びIPsecルータ1とIPsecルータ2の設定変更を行うとともに,NPCのWebブラウザでは,q-SaaS利用時にプロキシサーバを経由させないよう,プロキシ例外設定に,Mサービス及びGサービスのFQDNを登録した。
 設定変更後のIPsecルータ1の処理内容(抜粋)を表2に示す。IPsecルータ1は,受信したパケットと表2中の照合する情報とを比較し,パケット転送時に一致した項番の処理を行う。
pm05_6.png
 IPsecルータ2もIPsecルータ1と同様の設定変更を行う。これらの追加設定と設定変更によってFWの負荷が軽減し,インターネット利用時の応答速度の低下がなくなり,R主任は,ネットワークの構成変更を完了させた。

設問1

〔P社のネットワーク機器の設定内容と動作〕について,(1)~(3)に答えよ。
  • 営業所のNPCがMサービスを利用するときに,図2中の(あ)を通過するパケットのIPヘッダー中の宛先IPアドレス及び送信元IPアドレスが示す,NPC,機器又はサーバ名を,図2中の名称でそれぞれ答えよ。
  • 外出先のNPCからインターネット上のWebサーバにアクセスするとき,L2SW以外で経由する社内の機器又はサーバ名を,図2中の名称で全て答えよ。
  • 表1中のacに入れる適切な機器又はサーバ名を,図1中の名称で答えよ。

解答例・解答の要点

  • 宛先IPアドレス:プロキシサーバ
    送信元IPアドレス:営業所のNPC
  • ルータ,FW,プロキシサーバ
  • a:外部DNSサーバ
    b:プロキシサーバ
    c:社内DNSサーバ

解説

  • 〔P社のネットワーク機器の設定内容と動作〕に、「外出先及び社内のNPCからMサービス及びインターネットへのアクセスは,プロキシサーバ経由で行う」と記載されています。プロキシサーバを利用したWebアクセスでは、クライアントはプロキシサーバに対してHTTP(S)リクエストを送り、プロキシサーバはクライアントから受け取ったHTTP(S)リクエストの内容(GETメソッドのURL)を使って外部の宛先サーバに代理アクセスします。
    pm05_7.png
    IPはエンドツーエンドの通信を実現するプロトコルなので、宛先IPアドレスには最終的にパケットを届けたい相手を指定します。最終的な宛先というと"Mサービス"のIPアドレスを考えてしまいますが、プロキシサーバを経由する場合は、パケットを届けたい相手がプロキシサーバになるので、宛先IPアドレスには"プロキシサーバ"のIPアドレスを指定します。経路途中の"FW"や"IPsecルータ"は最終的な宛先ではないので、宛先IPアドレスとするのは不適切です。

    図2を見ると、送信元IPアドレスとしては、"営業所のNPC"または通信経路上にある"IPsecルータ2、"IPsecルータ1"もしくは"FW"が解答の候補になると思います。前述のとおり、IPはエンドツーエンドの通信を実現するプロトコルなので、送信元IPアドレスにはパケットの発信元である"営業所のNPC"のIPアドレスが設定されていることになります。

    営業所のNPCからプロキシサーバにパケットが届けられる具体的な流れは以下のとおりです。
    1. 営業所のNPCは、宛先IPアドレスにプロキシサーバをセットして、IPsecルータ2に送出する
    2. IPsecルータ2は、受け取ったパケットを暗号化し、新たなIPヘッダーを付けてIPsecルータ1に送出する
    3. IPsecルータ1は、暗号化された部分を取り出し、元のパケットに復号してからL3SWに送出する
    4. L3SWは、宛先IPアドレスを見て、パケットをプロキシサーバに届ける→(あ)を通過するパケット
    pm05_8.png
    したがって、(あ)を通過するパケットの宛先IPアドレスは「プロキシサーバ」、送信元IPアドレスは「営業所のNPC」となります。

    ∴宛先IPアドレス=プロキシサーバ
     送信元IPアドレス=営業所のNPC

  • 外出先のNPCがインターネットアクセスをするときもプロキシサーバ経由で行います。図2を見ると明らかなように、外出先のNPCがインターネットアクセスする際には、「ルータ→FW→(L2SW)→プロキシサーバ→(L2SW)→FW→ルータ→インターネット上のWebサーバ」というアクセス経路になっています。IPsecルータを利用したインターネットVPNは本社と営業所間を接続しているので、IPsecルータ1は経由しません。

    L2SW以外に経由する機器を図2中の名称で答えるので、解答は「ルータ,FW,プロキシサーバ」となります。

    ∴ルータ,FW,プロキシサーバ

  • aについて〕
    インターネットからDMZ宛ての通信であること、ポート番号が53(DNS)になっていること、「外部DNSサーバは,DMZのサーバのグローバルIPアドレスを管理する」という記述から、インターネットからやってくるP社ドメインの名前解決要求を許可するためのルールだとわかります。したがって、[a]にはP社ドメインの権威DNSサーバである「外部DNSサーバ」が当てはまります。

    a=外部DNSサーバ

    bについて〕
    DMZからインターネット宛ての通信であること、ポート番号が80(HTTP)または443(HTTPS)になっていること、DMZにプロキシサーバが設置されていることから、プロキシサーバがNPCを代理して行うWebアクセスを許可するためのルールであることがわかります。したがって、[b]には「プロキシサーバ」が当てはまります。

    b=プロキシサーバ

    cについて〕
    内部LANから外部DNSサーバ宛ての通信で必要なものを探します。〔P社のネットワーク機器の設定内容と動作〕に次の記述があります。
    • 本社及び営業所(以下,社内という)のNPCは,社内DNSサーバで名前解決を行う。
    • 社内DNSサーバは,内部LANのサーバのIPアドレスを管理し,管理外のサーバの名前解決要求は,外部DNSサーバに転送する。
    社内のNPCが外部DNSサーバに直接アクセスすることはないので、内部LANから外部DNSサーバにアクセスする可能性があるのは、社内DNSサーバに限られます。したがって、[c]には「社内DNSサーバ」が当てはまります。

    c=社内DNSサーバ

設問2

本文中の下線①について,削除するFQDNをもつ機器又はサーバ名を,図1中の名称で答えよ。

解答例・解答の要点

ISサーバ

解説

本文冒頭の「ISサーバ及びMサービスへのアクセスは,HTTP Over TLS(以下,HTTPSという)で行っている」より、ISサーバへのアクセスはHTTPSで行っていることがわかります。HTTPS通信は原則としてプロキシサーバを経由することになりますが、〔P社のネットワーク機器の設定内容と動作〕には「ただし,社内のNPCからISサーバへのアクセスは,プロキシサーバを経由せずに直接行う」と記載されています。この記述より、NPCのWebブラウザには、"ISサーバにアクセスするときはHTTPSであってもプロキシサーバを使用しない"設定がされていることが読み取れます。これが本問でいう"プロキシ例外設定"です。

このプロキシ例外設定の対象となっているのは「ISサーバ」であり、ISサーバの廃止に伴って設定が不要となるので削除対象となります。したがって、削除するFQDNをもつ機器又はサーバ名は「ISサーバ」ということになります。

∴ISサーバ

設問3

〔Gサービス利用開始後に発生した問題と対策〕について,(1),(2)に答えよ。
  • 本文中の下線②について,新たに追加する経路を,"q-SaaS"という字句を用いて,40字以内で答えよ。
  • 表2中のdeに入れる適切なネットワークセグメント,サーバ又はサービス名を,本文中の名称で答えよ。

解答例・解答の要点

  • q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路 (34文字)
  • d:q-SaaS
    e:営業所LAN

解説

  • Gサービス利用開始後に発生した問題への対処として、「Mサービス及びGサービス(以下,二つのサービスを合わせてq-SaaSという)には,プロキシサーバを経由せず,外出先のNPCはHTTPSでアクセスし,本社のNPCはIPsecルータ1から,営業所のNPCはIPsecルータ2から,インターネットVPNを経由せずHTTPSでアクセスすることにした」と記載されています。

    変更前、本社のNPCがq-SaaSへアクセスする際の経路は「NPC→L3SW→FW→L2SW→プロキシサーバ→L2SW→FW→ルータ→q-SaaS」でしたが、変更後は図4が示すとおり「NPC→L3SW→IPsecルータ1→q-SaaS」となります。これまでq-SaaS宛ての通信はプロキシサーバ経由で行っていたので、L3SWはDMZにパケットを流していましたが、プロキシサーバを経由しなくてよくなるため、q-SaaS宛ての通信をIPsecルータ1に流すことになります。L3SWにはこの設定変更が必要となります。すなわち、q-SaaS宛ての通信をIPsecルータ1に流すための経路設定を追加する必要があります。

    ∴q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路

  • ネットワーク構成が変更される前、IPsecルータ1の設定は、営業所LANと内部LANのパケット通信だけが想定されていました。しかし変更により、IPsecルータ1では、q-SaaS宛ての通信と営業所LAN宛ての通信が混在することになるので、転送処理の変更が必要となります。図2のプロトコルと処理の内容より、どちらに対応するかを考えます。

    dについて〕
    本文中に「本社のNPCはIPsecルータ1から,…,インターネットVPNを経由せずHTTPSでアクセスすることにした」とあります。プロトコルがHTTPSであること、処理がインターネットに転送となっていることから、q-SaaS宛ての通信に対する処理であることがわかります。したがって、[d]には「q-SaaS」が当てはまります。

    d=q-SaaS

    eについて〕
    プロトコルがHTTPS以外のとき(VPNプロトコルのポート)に適用されること、処理がインターネットVPNに転送となっていることから、営業所LAN宛ての通信に対する処理であることがわかります。営業所、営業所のNPC、営業所LANなどの解答が考えられますが、設問には「ネットワークセグメント,サーバ又はサービス名」とあるので、[e]に当てはまるのはネットワークセグメント名である「営業所LAN」しかありません。

    e=営業所LAN
模範解答

Pagetop