情報処理技術者試験、
懐かしくなって直近の試験問題やってみました。
応用情報技術者、午後のNW分野の問題。
※模範解答を基に修正済み。
設問1
NATやプロキシを使用した場合の、
送信元/宛先IPアドレスの変化が問われました。
これがわからないと、FW設定やアクセス制限などの際に、
どのアドレスを設定するかわからなくなります。
詳細は後日、別記事にまとめたいと思います。
これを踏まえて、(1)。
a) 10.10.0.10
負荷分散装置を使用する場合は、
実際のサーバーへは、負荷分散装置から割り振るため、
PCやプロキシは、負荷分散装置を宛先として通信します。
そのため、DNSで解決するIPアドレスとしては、
負荷分散装置のIPアドレスになります。
b) 192.168.0.3
プロキシを使用する場合、PC→プロキシ間のIPアドレスは、
送信元:PCのIPアドレス
宛 先:プロキシのIPアドレス
となります。
そのため、FW#4にも
このアドレスで許可設定してあげることになります。
(宛先ポート番号は、プロキシの待ち受けポート)
c) 10.1.1.2
プロキシ→サーバー間の通信では、
送信元:プロキシのIPアドレス
宛 先:サーバーのIPアドレス
となるため、192.168.0.2となりそうですが、
問題文に「FW#3でNAPTしている」とあるため、
FW#3通過後は、送信元IPが変換されています。
FW等でNATする場合、
別のIP(グローバルIPなど)も設定できますが、
「図1中の字句を用いて」という制限があるので、
この中から選ぶとしたら、FW#3のWAN側IFのアドレスを
そのまま使っていると考えるのが妥当でしょう。
(2) ア、ケ
E社販売店のPCは、プロキシを使用していないので、
PCが旅行管理システムのアドレスを取得する必要があります。
一方、販売代理会社の販売店のPCはプロキシを使用します。
プロキシ使用の場合、PCは宛先URLをプロキシに通知して、
DNSの名前解決含めて、プロキシが実施してくれます。
そのため、販売代理会社の販売店のPCは、
旅行管理システムのIPアドレスを知る必要はなく、
E社のDNSサーバーを使用する必要はありません。
代わりに、プロキシは旅行管理システムの名前解決をするため
E社のDNSサーバーを使用する必要があります。
それ以外の機器は、
E社のDNSサーバーを使用する必要はありません。
(3) プロキシサーバは、GETメソッドの内容が見えないから。(27文字)
TLS通信ですので暗号化されています。
プロキシで復号できることもある、
ということを聞いたことがありますが、
ここでは考慮していないのでしょう。
そのため、暗号化されているので内容が見られないし、
変更、改ざんすることもできない。という回答でした。
設問2
websoket関連の問題。
websoketは、そんなに詳しくないですが・・・
(1) イ
HTTPは通常、PCからのリクエストに応じて、
サーバーはレスポンスを返すだけで、
レスポンスデータの送受信が終わったら
TCPコネクションを切断します。
TCPコネクションは・・・、
通信が終わっても確立したままにできるかもしれませんが、
チャットの相手方からメッセージがあった場合、
サーバーは受信したメッセージを
PCに対して送信する必要がありますよね。
その手順(サーバー発→クライアント)の手順がHTTPにはありません。
そのため、
APサーバー側で発生したイベントを契機とした通信ができない。
という、「イ」が正解となります。
「ア」は、細かいところですが、
「ファイルを取得するしかできない」というのが間違いで、
PUTメソッドなどを使って、データを送信することもあるので間違い。
「ウ」はビミョーですが、
少なくとも、そこが理由の本質ではないはず。
「エ」も、NAPTやプロキシを使うと、
相手のPCのIPアドレスがわからなくなってしまいますが、
TCPコネクションを維持できれば、
そこは問題ではなくなります。
(2) 同じポート番号、構成を使用できるから。(20文字)
他のプロトコルを使う場合に、最も気になるところとしては、
やっぱり、FW許可設定やPBRなどのポート番号でしょう。
通常、APサーバーへのアクセスにHTTPを使用しているので、
FW#1やFW#3では、APサーバー宛のTCP/80,443通信は、
既に許可設定が入っています。
websoketは、HTTP通信の拡張とのことですので、
同じポート番号を使うことが推測されます。
実際にそうみたいです。
https://datatracker.ietf.org/doc/html/rfc6455#page-4
そのため、FWへの追加設定は、基本的に必要ありません。
一方、例えばIRCなど他のプロトコルを使う場合、
ポート番号が変わるため、FWに設定を追加する必要があります。
https://datatracker.ietf.org/doc/html/rfc7194
また、websoketについては、
HTTPプロキシを使った通信もサポートされていて、
販売代理会社の販売店のPCからは、
通常のHTTP通信と同じく、プロキシを使用してアクセスできます。
他のプロトコルだと、既存のプロキシが使用できず、
構成の変更が必要になる可能性があります。
設問3
(1) DNSラウンドロビン方式に変更した。(18文字)
図1で、他に負荷分散ができそうなところとしては、
DNSサーバーでしょう。
DNS名前解決の際に返すIPアドレスを、
APサーバー#1のものを返すか、#2のものを返すかで、
DNSサーバーで、負荷分散をコントロールできます。
(2) APサーバ(#1、#2)
これまで、負荷分散装置を使っていたことから、
TLS証明書は、負荷分散装置にインストールされており、
各サーバーにはインストールされていなかったことが考えられます。
負荷分散装置を使わないことにより、
クライアント(プロキシ)とAPサーバーが直接通信することなり、
APサーバーにもTLS証明書を
インストールしておく必要が出てくるでしょう。
以上です。
間違い、指摘、質問などありましたら、
コメントいただけますと幸いです。
基本情報技術者やセキスぺなど、
一部の試験は、コロナ問題の発生以降、
実施されていないみたいですね。
それに向けて勉強されている方も
たくさんいらっしゃると思うので、
早めに再開されることを祈ります。
それでは、余裕があったら
ネスぺの問題にもトライしてみようと思います。