【H30】2回目のネットワークスペシャリスト試験を受けた感想と解説【午後1 問1編】

nw-speialist2-pm1−1

先日のネットワークスペシャリスト試験を受験された皆様、お疲れ様でした。

今回は、私が選択した午後1問題を復習しつつ、問題の詳細について書いていきたいと思います。

はじめに:当記事の目的

私が試験で実際に選択した問題に「こうだから、こう答えた」ということを振り返りたいと思います。

そのため、記載される情報は正確な解答例ではなく、あくまで個人の回答となります。

私もエンジニアとしてはまだまだこれからというところなので、「いや、違うだろw」といったツッコミがあればどんどんいただければと思います。

平成30年 ネットワークスペシャリスト午後1問題

今年の午後1問題は、ざっとこんな感じです。

  1. SaaSの導入に関する問題(プロキシとルーティングがメイン)
  2. ネットワーク監視の改善に関する問題(STPとSNMPがメイン)
  3. 企業内ネットワーク再構築に関する問題(GRE over IPSecとOSPFがメイン)

この中から、❶と❷を選択しました。

よく使っている問題集に、午後1問題選択のプロセスについてこのように書かれていたのでそれに倣ってます。

  1. まず苦手な一問を捨てる
  2. 一番得意な問題から満点を目指して解く
  3. 次に得意な問題をほどほどに解く

このロジックで、まずはちょっと苦手なGRE over IPSecとOSPFの複合問題を避け、❶→❷の順で解き進めることにしました。

今回の記事では、問1で回答した内容を紹介します。

H30 午前1 問1

nw-speialist2-pm1−1

トポロジはこちら

本社と4つの営業所を拠点とする中堅商社F社のSaaS導入についての問題。

オンプレのグループウェアサーバをクラウド上のSaaS環境に移設するようです。

問題につきましては、こちらのサイトから参照いただければと思います。

ネットワークスペシャリスト試験 午後1問題

設問1[F社の現行ネットワーク構成とG社SaaS導入に合わせたセキュリティ対策]について

(1)

「ア」、「イ」の穴埋め問題。

こちらは以下のように回答しました。

ア.フォワード
イ.リバース

「○○プロキシ」と聞いてくる問題は、大体が「フォワードプロキシ」か「リバースプロキシ」ですね。

本文中に”「ア」プロキシは、社内に対して、アクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして〜”とあるので、一般的なプロキシサーバ(フォワードプロキシ)であると思われます。

一方、”「イ」プロキシは、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上〜”とあるので、外部からのアクセスに代理で応答するサーバ=リバースプロキシとの回答になりました。

(2)

利用者ID

プロキシサーバで認証を行うことによってアクセスログに付加できる情報を答える問題。

クライアントに動的なIPアドレスを割り当てている場合、プロキシサーバーのアクセスログから「どのユーザーが」アクセスしたのかを特定するのは困難です。

プロキシ認証(ユーザーIDとパスワードを入力)することで、どのユーザーがプロキシを経由してアクセスを行ったのか、特定することができます。

「アクセスログに付加できる情報」とあるので、本文中の言葉を使って利用者IDと回答しました。

ログから利用者IDを特定し、該当の利用者IDを使用しているのが誰なのかが判れば、ユーザーを特定できますね。

設問2[G社SaaSの試用]について

(1)

プロキシ経由でHTTPSでアクセスするためのHTTPのメソッド名を答える問題

これは、「プロキシ経由でアクセスする時のメソッド=CONNECT」と答えてしまいました。

が、よくよく考えると、CONNECTメソッドがHTTPSのメソッドだとすると、答えないといけないのはHTTPのメソッドなので

“GET”

が正解だったのではと思っています。。そこまで掘り下げてなかった…

参考サイト:【図解】httpプロキシサーバの仕組み(http GET/https CONNECTメソッド)や必要性・役割・メリットデメリット・DNSの名前解決の順序

そして、「このメソッドを用いた場合、社内に侵入したマルウエアによる通信(ただし、HTTPS以外の通信)を遮断するためのプロキシサーバでの対策」を答える問題。

こちらは、(ただし、HTTPS以外の通信)が引っかかりました。

接続先IPアドレスはプロキシサーバでも識別できると。つまり、フィルタリング的な設定を行うことが答えかなと思いました。

このように回答しました。

宛先IPアドレスがC&Cサーバの物である場合、通信を遮断する。

  • 宛先IPアドレス(社外)はわかる
  • マルウェアに感染している

ということが前提条件だとすると、マルウェアに指令を出すC&Cサーバへアクセスさせるわけにはいきません。そう考えてこの回答になりました。

しかし、後から考えると「そもそもC&CサーバのIPアドレスとか判るのか?」というのもあるし、ちょっと自信がない回答。

「特定の宛先への異常な通信を検知し、通信を遮断する」とかの方がよかったのか…

他の方の解答例も見てみたいところ。

(2)
空欄「ウ」の穴埋め問題。

プロキシサーバのルート証明書

アクセス先のWebサーバとクライアントPCとの通信の間にプロキシサーバがあり、プロキシサーバがSSLを複合した上でサイド暗号化したらクライアントPCのブラウザに証明書エラーが出るため、ブラウザに何をインストールしたのかを問う問題。

ブラウザはアクセス先のWebサーバのルート証明書を持っていて、CONNECTメソッドでブラウザとWebサーバ間でSSLセッションが開設されているのであれば問題がない話。

間でプロキシサーバーが復号を行うことで、「Webサーバー←プロキシサーバ」「プロキシサーバ←ブラウザ」の2つのSSLセッションとなってしまい、PCにはプロキシサーバのルート証明書が入っていないため証明書エラーが出ると考え、上記の回答となりました。

設問3[SD-WANルータの導入]について

nw-specialist2-pm1-4

SD-WANルータ導入後の構成図

(1)

「エ」の穴埋め問題。

SDNのお話で、”SDNは、利用者の通信トラフィックを転送するデータプレーンと、通信装置を集中制御する「エ」プレーンから構成されており〜”とあります。

SDNの用語については、ネスぺではノーマークだったんですが、CCNAで嫌という程出てきたので覚えていました。

回答は

コントロール

です。これは合ってるはず。

(2)

nw-speialist2-pm1−2

どのような静的経路制御を行うか

これは、なかなか思い浮かびませんでした。

G社SaaSのIPアドレスが変更された場合も、L3SWの設定を都度しなくて済むように、どのようなスタティックルートを入れるかという問題。

回答に至るまで、問題を最初から読み解き、以下をピックアップしました。

SD-WANルータ導入前のL3SWの経路設定

  • デフォルトルートのネクストホップはFW
  • 各営業所宛てのネクストホップは本社のIPSecルータ

恐らく社内のPCはL3SWをデフォルトゲートウェイに設定していて、L3SWに社外宛てか営業所宛てかでスタティックルートが設定されているようですね。

SD-WANルータを用いた時の通信

  • 社内PCからG社SaaSへのWebアクセスは、プロキシサーバを経由せず、各SD-WANルータを経由する
  • 社内PCからG社SaaS以外のインターネットのWebアクセスは、プロキシサーバを経由する

とあります。

G社SaaSへのアクセスに、プロキシサーバを経由しないことがポイントと思いました。

SaaSへアクセスする際は、パケットをSD-WANルータに送ってあとは、SD-WANコントローラでよしなにルーティングしてもらえば、SaaSのIPアドレスが変更になっても設定は変わりません。

このように回答しました。

宛先がG社SaaSの場合、ネクストホップをSD-WANルータに設定する

35字以内に納めてこんな感じです。

でも、これってよくよく考えると、結局はG社SaaSのIPアドレス宛てのルートを設定するわけだから、根本的には何も解決にならないですよね…恐らく不正解

そもそも、G社SaaSが全く新しいIPアドレスを使い始めた場合、L3SWは何をもってそれがG社SaaSのIPアドレスと判断するのかと…

ちょっとアプローチを変えて考えてみました。

「プロキシサーバのIPアドレス以外宛ての通信は、全てSD-WANルータ宛てにルーティングすればいいのでは?」

簡単に図で表すと

これで想定した経路になるのか…?

これには2つわからない点があって、

  1. プロキシ経由でインターネットに出る場合、社内PCからの宛先IPアドレスはプロキシの物になるのか(多分なる)
  2. L3SWが、通信を「外部宛てかG社SaaS宛てか」を判断するポイントはどこなのか

といった疑問が出てきます。

デフォルトルートがFWなら、G社SaaSのFQDNにアクセスして、今までアクセスしたことがないIPアドレスをDNSから返された場合、そのままFWへルーティングされてインターネットに出ていってしまうような気がします。

書いててわからなくなってきました…整理ができた頃に追記します。

(3)

SD-WANコントローラー

「オ」の穴埋め。

“自動的にツールから「オ」に指示を行い、全社のSD-WANルータの設定を変更することにした。”とあります。

SD-WANルータの設定を一括して変更する機器だから、「SD-WANコントローラー」と回答しました。

(4)

社内PCから参照するプロキシ自動設定ファイルを作成することによって、プロキシから除外する通信を20字以内で答える問題。

ちょっと問題の意味がわかりにくかったです。

プロキシを自動設定するproxy.pacを作成することで、「プロキシから除外する通信=プロキシを経由しない通信先」を設定すると解釈しました。

プロキシを経由しない宛先は、G社SaaSとなるため、以下の回答になりました。

G社SaaSのIPアドレス宛ての通信

これが正解かどうかはわかりませんが、G社SaaSのIPアドレスは今後も追加になる可能性があるため、「G社SaaSのFQDN宛ての通信」とかの方が良かったのかもしれません。

困ったことに、試験が終わってから色々と回答例が浮かんできてしまいます…

(5)

最後は、G社SaaSへのアクセスログをプロキシサーバからではなく、G社SaaSのAPIから取得する理由を2つ答える問題。

それぞれ、このように回答しました。

❶社内PCからG社SaaSへの通信は、プロキシサーバを経由しないから

今までの項目でも挙げた通り、G社SaaSへの通信は、プロキシサーバを経由しない経路となっています。

本社と営業所からG社SaaSへアクセスする経路は、社内PC→営業所SD-WANルータ→G社SaaSだと思われます。

一方、各営業所からインターネットにアクセスする場合は、社内PC→営業所SD-WANルータ→(IPSec VPN)→本社SD-WANルータ→プロキシサーバ→インターネットの経路を通ると思われます。(途中のスイッチは省略)

そのため、G社SaaSへのアクセスログを確認するのにプロキシサーバのログを探しても、あるのはインターネット宛てのアクセスログだけです。

この回答は自信アリ。

❷本社だけでなく、各営業所からG社SaaSへのアクセスログが取得できる

これは合っているだろうか…

仮にG社SaaSへの全てのログが、本社にあるプロキシサーバーに残るとしたら、営業所の社内PCからログをダウンロードしたり閲覧するのは少し手間がかかりそうです。

全てのログがG社SaaSのAPIから取得できるのであれば、本社からでも営業所からでも、API経由で簡単にログをダウンロードすることができます。

着眼点は悪くないとは思うのですが…

また、本社のプロキシサーバ経由でログをダウンロードする場合、FWを経由することになると思われます。

問題文中には、SD-WANルーターを導入せずSaaSの利用を開始した場合に「プロキシサーバの処理可能セッション数の超過、インターネット接続回線の帯域不足が予想される」旨の記載があります。

上記を考えると、「ログの取得にFWを経由しないことで、FWの負荷を減らすことができる」といった回答や、「各営業所からログ取得を行うことで、回線の帯域を圧迫しない」とかの方が正解な気がしてきました。

まとめ

試験中は「そこそこ行けたんじゃないか?」と思っていた回答も、後から再度読み直してみると結構穴があることがわかりました。

なお、当記事は専門学校が出している解答例などは参照せず、自分で問題を読みつつ多少の技術要素を調べながら書きました。

試験の合否は別として、復習をすることはとても自分のためになると思います。

後から見てみて、結構点を落としていると思われる部分が多かったです…時間も結構ギリギリだったしな。プロキシの仕組みについてはもっと勉強する必要があると思いました。

ご覧いただいて、「これは明らかに違う」「こう考えた方がいいと思う」などのご意見があれば、どんどんいただければと思います。

次回は、午後1 問2編をお送りしたいと思います。それでは^^

そのほかの平成30年度NW試験についてはこちら!

Sponsored Link



nw-speialist2-pm1−1

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA