※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
答: [a]バックボーン [b]ルータID
[c]デフォルトゲートウェイ
[a]には「バックボーン」が入ります。
全てのOSPFエリアとつながる中核となるエリア0のことをバックボーンエリアと呼びます。
[b]には「ルータID」が入ります。
OSPFのルータIDは、OSPFルータを一意に識別するための32ビットの識別子で、
IPv4アドレスのような形式(例:192.168.1.1)です。
ちなみに、ルータIDには次のような決定ルールがあります。
*ルータIDの決定ルール
1.明示的に設定されていればそれを使用
2. 設定がなければ、起動時にループバックインタフェースの中で最も大きいIPアドレスを使用
3. ループバックがなければ、物理インタフェースの中で最も大きいIPアドレスを使用
[c]には「デフォルトゲートウェイ」が入ります。
簡単に言うとPCがインターネットに通信するときなど、どこへ送ればよいか分からないパケットはすべてデフォルトゲートウェイに送られます。
VRRPは、デフォルトゲートウェイ(ルータ)を冗長化するためのプロトコルで、複数のルータが1つの仮想IPアドレス(=PCが設定するデフォルトゲートウェイ)を共有します。
通常はマスタールータが仮想IPで応答し、マスタールータがダウンすると、バックアップルータが自動で引き継ぐことでPC側の設定を変えずに通信を継続できます。
(2) 本文中の下線①についてOSPFのネイバー認証によって、どのような問題を防止することができるか。 経路交換の安全性の観点から35字以内で答えよ
答: 不正なルータと経路情報を交換してしまう問題
OSPFのネイバー認証とは正しい相手(信頼できるルータ)とだけ経路を交換する仕組みです。
具体的には、ネイバー(ルータ)同士でパスワードを使ってお互いを確認し、パスワードがあっていれば認証をOKとしてネイバーを確立します。
つまり、ネイバー認証によって、不正なルータと経路情報を交換してしまう問題を防止します。
答: R30と比較して長くする
BGPでは経路選択の際、AS_PATH(経由したASの数)が最も短い経路を最適経路と判断します。
AS_PATHプリペンドとは、経路広告をする際、AS_PATHにあえて自身のAS番号を複数回付け足すことで、
AS_PATH長を長くして、遠回りの経路に見せかける設定です。
R31が経路広告するAS_PATH長をR30と比較して長くすることで、通常時にR30を利用した通信が可能となります。
(4) 本文中の下線③について、 ルータの電源をオンにした際や再起動した際に 一定時間待つのは、ルータがどのような状態になることを待つためか。OSPFを利用していることに着目して答えよ
答: ルータが安定して稼働する状態
プリエンプトディレイは、高プライオリティのルータが再起動した直後、すぐにマスタールータにならず、
指定時間待ってからマスタールータに昇格するための設定です。
指定時間待つ目的は、OSPFネットワークの安定性を保つことです。
ルータを再起動した直後は経路計算が頻発している可能性があり、
インタフェースやOSPFプロセスが安定せず、ネットワークが不安定になりやすい状態になります。
そのため、一定時間待ってルータが安定して稼働する状態になってからマスターにするように制御をするのがプリエンプトディレイになります。
(1) 本文中の下線④について R10の更改手順実施中に、大阪本社の内部ネットワークからpingコマンドを実行する際の宛先にすべき対象と東京支社の内部ネットワークからpingコマンドを実行する際の宛先にすべき対象をR10を経由する通信に着目して、 図1中の (ア)~(ウ)の記号で全て答えよ。
答: 【大阪本社】(ウ)
【東京支社】(ア)、(イ)
R10更改手順実施中はR10が通信できない状態になります。
図1で、大阪本社からR10を経由した通信を確認すると
(ウ)C社SaaS宛ての通信が該当します。
具体的には、OSPFの設定により、C社SaaS宛ての通信は、R10が利用できなった場合、R11を利用したIPsecVPNの経路で動作するように切り換わるため、pingコマンドにより経路が変わったC社SaaS宛て通信が正常にできるか確認する必要があります。
よって、(ウ)C社SaaS宛ての通信を対象になります。
続いて、東京支社からR10を経由した通信を確認すると
(ア)インターネット宛ての通信
(イ)サーバセグメント宛ての通信が該当します。
OSPFの設定により、上記2つの宛ての通信は、R10が利用できない場合、R11を利用したIPsecVPNの経路で動作するように切り換わるため、pingコマンドにより経路が変更後の(ア)インターネット宛ての通信と(イ)サーバセグメント宛ての通信が正常にできるかを確認する必要があります。
よって解答は(ア)インターネット宛ての通信と(イ)サーバセグメント宛ての通信を対象になります。
(2) 表2中の下線⑤について、R10のインタフェースに設定するOSPFのコストをどのような値に変更すべきか
答: 最も高い値に変更する
OSPFにおけるコスト設定では、小さいコスト値ほど優先される経路として選択されます。
OSPFは、各インターフェースに割り当てられたコストを合計し、その合計値が最も小さい経路を最短経路として決定します。
そのため、R10のインタフェースに設定するOSPFのコスト値を高い値に変更すれば、R10の通信を迂回させることができます。
よって解答は「最も高い値に変更する」となります。
(3) 表2中の下線⑥について、項番2-1の電源をオフする前に全ての物理インタフェースを閉塞する理由を答えよ
答: OSPFに意図的に離脱したことを知らせ、不要なパケットが送出されることを防ぐため
下線⑥で”全ての物理インタフェースを閉塞することで、R10をA社ネットワークから切り離す”とあります。
物理インタフェースを閉塞せずに突然ルータの電源をオフにすると、一部のインタフェースが残ったままになり、ルータが一部まだ存在していると他ルータに誤解され、タイムアウトするまでネイバーはR10へパケットを送信してしまいます。
このような不要なパケット送出を防ぐために、全ての物理インタフェースを閉塞しネイバーにOSPF離脱を知らせます。
(4) 表2について、項番2-6のイーサネットケーブルを接続する際に、誤ったインタフェースに接続しないようにするために、項番2-2の前にどのような手順を追加するべきか
答: R10のインタフェースと接続先の機器を紐づけた対応表を作っておく
項番2-6で新R10に更改後、誤ったインターフェースに接続しないようにするには、 項番2-2でR10からイーサネットケーブルを抜く前に、R10のインタフェースと接続先の機器を紐づけた対応表を作っておく必要があります。
(5) 表2中の下線⑦について、新R10からpingコマンドを実行する際の宛先に すべき対象を, 図1中の機器名を用いて四つ答えよ
答: R11、L3SW10、R30、R20
新R10に更改後、新R10のインターフェースとつながっている機器宛にpingコマンドを実行し、
OSPFが正しく動いているか、ネットワーク的に到達可能かを確認します。
新R10と接続しているOSPFルータは以下の4つです。
・新R10→R11
・新R10→L3SW10
・新R10→(広域イーサ網)→R20
・新R10→(広域イーサ網)→R30
つまり「R11、L3SW10、R20、R30」宛にpingコマンドを実行し、到達することを確認すればよいことになります。
(1) [a]~[c]に入れる字句を記号で答えよ
答: [a]プライベート [b]グローバル
[c]PoE+
[a]には「プライベート」、[b]には「グローバル」が入ります。
NAPTとは、プライベートIPアドレスとグローバルIPアドレスを相互に変換する技術です。
内部ネットワークのみで利用可能なプライベートIPアドレスと外部で利用するグローバルIPアドレスをNAT変換テーブルという対応表に紐づけておくことで、校内(内部)からインターネット(外部)へのアクセスに対し、
ルータで中継する際に、プライベートIPアドレスをISPから割り当てられたグローバルIPアドレスに変換してインターネットとの通信を行います。
[c]にはPoE+が入ります。
PoE+とは、LANケーブル1本でデータ通信と電力供給を同時に行う技術「Power over Ethernet(PoE)」の拡張規格で、
正式にはIEEE 802.3atとして2009年に策定されました。
従来のPoE(IEEE 802.3af)では最大15.4Wの電力供給が可能でしたが、PoE+では1ポートあたり最大30Wの電力を供給できます。
(2) 本文中の下線①について、DHCPサーバは受け取ったgiaddrフィールドの情報を使って何を識別するかを答えよ
答: クライアントが所属するサブネット
DHCPサーバは、受け取ったDHCPメッセージのgiaddr(Gateway IP Address)フィールドを使用して、
クライアントが所属するサブネットを識別します。これにより、適切なIPアドレスプールからクライアントにIPアドレスを割り当てることができます。
(1) 本文中の下線②についてVさんがインターネット接続帯域の不足だけで
はなくNAPT処理能力の不足という仮説を立てた理由を答えよ
答: 一部かつ不特定の生徒だけ問題が発生したため
” 毎朝の自習ドリルの時間帯にアクセスすると、タイムアウト画面が出てログイン画面が表示されないと、一部かつ不特定の生徒からの申告がある ”
”一部かつ不特定の生徒からの申告がある”
ことがポイントになります。
インターネットの帯域不足だけが原因と考えた場合、全員の通信の応答が遅くなりますが、
一部かつ不特定の生徒だけとなるとNAPT処理能力不足も考えられます。
理由として、校内の端末がインターネットにアクセスする際、ルータで同時に処理できるNAPTのセッション数には限界があります。
多数の端末が一斉にインターネット上のEサービスにアクセスするとセッション数が急増し、
ルータが新たなセッションを処理できず、通信の確立に失敗し、タイムアウト画面が出てログイン画面が表示されなかったと考えられます。
よって解答は「一部かつ不特定の生徒だけ問題が発生したため」となります。
(2) 本文中の[d]に入れる適切な字句を答えよ
答: [d] ギャランティ
[d]には、ギャランティが入ります。
ギャランティ型(帯域保証型)は通信速度や品質が保証され、常に一定の性能が提供される契約です。
専用設備や帯域を確保するため、コストが高くなるデメリットがあります。
ちなみにベストエフォート型は、通信速度や品質の保証はなく、回線の混雑状況により変動される契約で、
コストが低く、個人や一般家庭向けのサービスで広く採用されています。
日常的なインターネット利用には十分な性能を提供するが、重要な通信には不向きです。
(3) 表1についてNAPT変換エントリーを作成する際にルータ自身が割り当てている値を(i)~(v)の記号で全て答えよ
答: (iii)、(iv)
外部と通信をするときのグローバルIPアドレス(registered IP address)やグローバル側ポート番号(assigned port number)は、ルータ自身が割り当て、変換テーブルに登録します。
一方で、ローカルIPアドレス(local IP address)やローカルポート番号(local port number)は、
NATの内側(プライベートネットワーク)から送られてきたパケットにすでに含まれている情報なので、ルータはそれを読み取るだけになります。
よって解答は(iii)のregistered IP addressと(iv)のassigned port numberになります。
(4) 本文中の下線③について、現状の設定で問題なく同時利用できるPC台数の上限を整数で答えよ
また全てのPCが問題なく同時利用するためにルータのNAT変換テーブルのエントリー数を最低幾つ以上に設定すればよいかを整数で答えよ
答: PC台数:372
エントリー数:12000
本文中に”NAT変換テーブルのエントリー数の上限は65536”、”PC1台当たりのセッション数を最大200と見積もり”とありますので
65536 ÷ 200 =327.68
よって372台となります。
全てのPCが問題なく同時利用するためにルータのNAT変換テーブルのエントリー数は
本文中より全てのPCが600台とありますので
600 × 200 = 120000 となります。
(1) 本文中の下線④について、全ての処理が完了するまでに時間が掛かる理由を答えよ
答: 前の処理が完了しない限り次のリクエストが送れないため
HTTP/1.1では1リクエストずつしか処理できず、
前の処理が完了しない限り次のリクエストが送れないという問題があります。
この制約により、前の処理が何らかで応答が遅くなっている場合は、その次の処理が前の処理の完了を待つため、
全ての処理が完了するまでに時間が掛かる問題が発生します。
(2) [e]~[h]に入れる字句を記号で答えよ
答: [e] リクエスト [f] レスポンス
[g] ストリームID [h] 並列
[e]には「リクエスト」、[f]には「レスポンス」が入ります。
HTTP通信では、例えばPCがサーバから画像をダウンロードしたい場合は、
PCから画像のダウンロードを要求する内容が記述された「HTTPリクエスト」という通信を送り、
その結果としてサーバから「HTTPレスポンス」という応答を受け取ります。
基本的には1枚の画像ごとにHTTPリクエストとHTTPレスポンスが1回ずつ発生するため、
10枚の画像データであればそれぞれ10回実行されることになります。
[g]には「ストリームID」が入ります。
ストリームIDとは、HTTP/2で用いられる仮想的な通信単位であるストリームを識別するための番号です。
各リクエストとレスポンスのペアは固有のストリームIDを持ち、フレームごとにどの通信に属するかを示します。
[h]には「並列」が入ります。
ストリームIDを使うことで、1つのTCP接続上で複数のストリームが利用できるようになり、セッションの多重化と「並列」処理ができるようになります。
(3) 本文中の下線⑤の保持時間の調整について、どの通信プロトコルをどのように変更するか答えよ。 また、それによる効果を答えよ
答: 通信プロトコル:TCP
変更:NAPT変換エントリー保持時間を短くする
効果:ルータの負荷が軽減される
まず、プロトコルについて”HTTP/3ではTCPの代わりにUDPを利用”とあるように、
HTTP/2やHTTP/1.1ではTCPプロトコルを利用し、HTTP/3ではUDPを利用することがわかります。
また、下線⑤の文中で”EサービスのサーバがもしHTTP/3に対応していれば、表2の保持期間を調整することで”とあります。
つまり、EサービスがHTTP/3に対応していれば、TCPではなくUDPで動作するため、TCPのセッション情報は使用されません。
そのため、TCPのNAPT変換エントリの保持時間を短く設定しても、HTTP/3の通信には影響を与えません。
また、NAPTは、ネットワークアドレス変換のために各接続のエントリを保持しているため、TCPのNAPT変換エントリの保持時間を短く設定した場合、エントリの数が減少し、メモリの使用量を節約できます。
その結果、ルータの負荷が軽減される効果があります。
(1) 本文中の下線①について、複数機器の時刻を補正する目的をログ解析に着目して答えよ
答: 複数の機器のログを分析する際にイベントの順序を正しくできるから
本文中の下線③より、syslogサーバでは、業務サーバのアクセスログやFWの通信ログなど様々なログを保存しています。
複数のネットワーク機器(プロキシサーバ、L3SW、業務サーバ、認証サーバ、FW)のログが異なる時刻で記録されると、
いくつかのログを突合して時系列で並び替えようとしたときに正確な事象の順序や相関関係を把握することが難しくなります。
解決策として、NTPサーバによって時刻を補正させることで、全ての機器のログに同じ基準時刻が使われ、イベントの順序や関連性を正しく追跡できます。
(2) 本文中の下線②について、J社がプロキシサーバを経由させる目的を、本文中の字句を用いて二つ挙げ、それぞれ答えよ
答: アクセス制御をするため
利用者認証をするため
”プロキシサーバはPCからインターネットへのアクセスに対して、登録したFQDNやIPアドレス宛ての通信をブロックする”とあります。
プロキシサーバを経由させることで、FQDNやIPアドレス単位で通信の許可・拒否を制御できます。
不要なWebサイトや不審な宛先へのアクセスを遮断できます。
よって1つめは「アクセス制御をするため」になります。
”K社SaaSでは、アクセスを許可する送信元をJ社のグローバルIPアドレスだけに制限し、利用時は利用者認証を行っている”とあり、
J社がインターネット上のWebサイト宛ての全ての通信をプロキシ経由にすることで、誰がいつどのサイトにアクセスしたかの特定と利用者認証が可能です。
よって2つ目は「利用者認証をするため」になります。
(3) 本文中の下線③のうちFWの通信ログにおいて、PCからの不正な通信が確認された後でPCを特定するために確認するログを本文中の字句で答えよ
答: L3SWのDHCPリースログ
FWの通信ログには、通信元としてPCのプライベートIPアドレスが記録されています。
PCを特定するにはそのIPアドレスがどの端末に割り当てられていたかを知る必要があり、それを確認できるのが、L3スイッチのDHCPリースログです。
DHCPリースログには、どのMACアドレスの端末に、いつ、どのIPアドレスを割り当てたかが記録されています。
これにより、不正通信時にそのIPアドレスを使っていたPCを特定可能になります。
(4) 表1中の[a]、[b]に入れる適切な機器名を図1中の字句で答えよ
答: [a] syslogサーバ [b] 認証サーバ
[a]には「syslogサーバ」が入ります。
本文中に”syslogサーバでは、プロキシサーバ及び業務サーバのアクセスログやFWの通信ログ、認証サーバの認証ログ、L3SWのDHCPリースログ、J社のサーバやスイッチのシステムログを保存している”
とあり、DMZにあるすべての機器(NTPサーバ、プロキシサーバ、L2SW)からsyslogサーバ宛の通信を許可する必要があります。
syslogサーバはUDP514ポートでログを受け付けることからも、DMZから許可する宛先は「syslogサーバ」であることがわかります。
[b]には「認証サーバ」が入ります。
本文中に”認証サーバは、プロキシサーバ及び業務サーバの接続時にRADIUSプロトコルを用いて利用者認証を行っている”とあり、
プロキシサーバから認証サーバ宛の通信を許可する必要があります。
認証サーバ(RADIUS)はUDP1812ポートで動作することからも、プロキシサーバから許可する宛先は「認証サーバ」であることがわかります。
(5) 表1中の[c]、[d]に入れる適切な数字を答えよ
答: [c] 10080 [d] 443
[c]には「10080」が入ります。
本文中に”インターネット上のWebサイトへはプロキシサーバを経由”、”プロキシサーバはTCP/10080で接続を待ち受ける設定にしている”とあります。
つまり、内部セグメントからプロキシサーバ宛の通信はTCP/10080のポート番号を用いるため、[c]には「10080」が入ります。
[d]には「443」が入ります。
本文中に”K社SaaSにHTTPSでアクセスして業務を行っている”、”K社SaaSへはプロキシサーバを経由せずに直接接続する設定としている”とあります。
つまり、内部セグメントからK社SaaSへはHTTPSプロトコルを用いるため、[d]にはHTTPSのポート番号である「443」が入ります。
(1) 本文中の下線④について、あらかじめPCにインストールする証明書を答えよ
答: SWGサービスのルート証明書
SWGサービスにアクセスするHTTPS通信を信頼させるためにPCには、SWGサービスのルート証明書をインストールする必要があります。
(2) 表2中の下線⑤について、ファイルが遠隔操作可能なマルウェアを含む場合、隔離環境上での動作時に観察される外部通信先の名称を答えよ
答: C&Cサーバ
ファイルが遠隔操作可能なマルウェアを含む場合、隔離環境上での動作時に観察される外部通信先のことを
C&Cサーバ(Command & Control サーバ)と呼びます。
C&Cサーバとは、攻撃者が用意したサーバで、マルウェア感染した機器からの命令を受け取ったり、情報を送信するサーバの名称です。
(1) 本文中の下線⑥の機能停止に伴って削除する許可ルールを、表1中の項番1~8から二つ選んで数字で答えよ
答: 項番2と項番7
内部セグメントのPCからインターネット上のWebサイトへの通信経路は次のようになります。
内部セグメントのPC→FW→プロキシサーバ→FW→インターネット上のWebサイト
本文中に
”インターネット上のWebサイトへはプロキシサーバを経由”、”プロキシサーバはTCP/10080で接続を待ち受ける設定にしている”
とあり、内部セグメントのPCは、プロキシサーバへアクセスし、その後プロキシサーバが代理でインターネット上のWebサイトへアクセスする流れになります。
表1のFWの許可ルールに照らし合わせると
項番7 内部セグメント→プロキシサーバ
項番2 プロキシサーバ→インターネット
の2つが該当し、フォワードプロキシ機能停止後、発生しなくなる通信のため削除する許可ルールとなります。
(2) (B)RPCから(K)業務用サーバに接続する場合のアクセス経路を、図2中の(A)~(M) を用いて、本文中の下線⑦の記述に従って答えよ
答: (B)、(A)、(H)、(I)、(E)、(I)、(K)
1.R-PCが通信を開始…(B)
2. R-PC内のソフトEがローカルプロキシとして動作…(A)
3.ソフトEがSWGサービス宛てに中継…(H)
4.J社FWを通過…(I)
5.リバースプロキシサーバを経由…(E)
6.J社FWを通過…(I)
7.業務用サーバへアクセス…(K)
という流れになり、
解答は(B)、(A)、(H)、(I)、(E)、(I)、(K)になります。
(3) 本文中の下線⑧について、FWに追加する許可ルール (送信元、宛先、プロトコル/宛先ポート番号)を答えよ
答: 送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート番号:TCP/443ポート
本文中に”ソフトEはPCのローカルプロキシとして動作し、ソフトEがSWGサービスのTCP/443ポート宛てに中継する”とあるように、
ソフトEの導入により、PC内のソフトEがFWを通過してSWGサービスへ接続するための許可ルールが必要です。
つまり、内部セグメントからSWGサービス宛のTCP/443ポートをFWの許可ルールに追加すればよいことになります。
(4) 本文中の下線⑨について、K社SaaSの設定の変更内容を答えよ
答: SWG-GIPをアクセスを許可するIPアドレスに追加する
”K社SaaSでは、アクセスを許可する送信元をJ社のグローバルIPアドレスだけに制限”しています。 新たにK社SaaSはSWGサービスを経由するようになるため SWGサービスのサービスメニューを利用して割り当たっているSWG-GIPをアクセスを許可するIPアドレスに追加する必要があります。
(5) 本文中の下線⑩によって得られる利点を、通信の経路に着目して答えよ
答: 通信の経路が短くなることでスループットが向上する
SWGサービスの役割は、主に社外のPCが、社内ネットワークへアクセスする際に、不正アクセスを防ぎ、セキュリティを安全に保つことです。
R-PCは社外に持ち出したPCのためSWGサービスを経由させて安全性を確保する必要がありますが、
社内PCから業務サーバ宛の通信はお互いに社内ネットワークに配置されているため、SWGサービスを経由させる必要はありません。
そのためSWGサービスを経由させずに業務サーバと直接通信をさせることにより、通信の経路が短くなることでスループットが向上するという利点があります。