応用情報技術者’21春 午後NW問題

情報処理技術者試験、
懐かしくなって直近の試験問題やってみました。
応用情報技術者、午後のNW分野の問題。

問題はこちらの問5
解答はこちら

※模範解答を基に修正済み。

設問1

NATやプロキシを使用した場合の、
送信元/宛先IPアドレスの変化が問われました。
これがわからないと、FW設定やアクセス制限などの際に、
どのアドレスを設定するかわからなくなります。

詳細は後日、別記事にまとめたいと思います。

これを踏まえて、(1)。

a) 10.10.0.10

負荷分散装置を使用する場合は、
実際のサーバーへは、負荷分散装置から割り振るため、
PCやプロキシは、負荷分散装置を宛先として通信します。

そのため、DNSで解決するIPアドレスとしては、
負荷分散装置のIPアドレスになります。

b) 192.168.0.3

プロキシを使用する場合、PC→プロキシ間のIPアドレスは、
 送信元:PCのIPアドレス
 宛 先:プロキシのIPアドレス
となります。

そのため、FW#4にも
このアドレスで許可設定してあげることになります。
(宛先ポート番号は、プロキシの待ち受けポート)

c) 10.1.1.2

プロキシ→サーバー間の通信では、
 送信元:プロキシのIPアドレス
 宛 先:サーバーのIPアドレス
となるため、192.168.0.2となりそうですが、

問題文に「FW#3でNAPTしている」とあるため、
FW#3通過後は、送信元IPが変換されています。

FW等でNATする場合、
別のIP(グローバルIPなど)も設定できますが、

「図1中の字句を用いて」という制限があるので、
この中から選ぶとしたら、FW#3のWAN側IFのアドレスを
そのまま使っていると考えるのが妥当でしょう。

(2) ア、ケ

E社販売店のPCは、プロキシを使用していないので、
PCが旅行管理システムのアドレスを取得する必要があります。

一方、販売代理会社の販売店のPCはプロキシを使用します。
プロキシ使用の場合、PCは宛先URLをプロキシに通知して、
DNSの名前解決含めて、プロキシが実施してくれます。

そのため、販売代理会社の販売店のPCは、
旅行管理システムのIPアドレスを知る必要はなく、
E社のDNSサーバーを使用する必要はありません。

代わりに、プロキシは旅行管理システムの名前解決をするため
E社のDNSサーバーを使用する必要があります。

それ以外の機器は、
E社のDNSサーバーを使用する必要はありません。

(3) プロキシサーバは、GETメソッドの内容が見えないから。(27文字)

TLS通信ですので暗号化されています。

プロキシで復号できることもある、
ということを聞いたことがありますが、
ここでは考慮していないのでしょう。

そのため、暗号化されているので内容が見られないし、
変更、改ざんすることもできない。という回答でした。

設問2

websoket関連の問題。
websoketは、そんなに詳しくないですが・・・

(1) イ

HTTPは通常、PCからのリクエストに応じて、
サーバーはレスポンスを返すだけで、
レスポンスデータの送受信が終わったら
TCPコネクションを切断します。

TCPコネクションは・・・、
通信が終わっても確立したままにできるかもしれませんが、

チャットの相手方からメッセージがあった場合、
サーバーは受信したメッセージを
PCに対して送信する必要がありますよね。
その手順(サーバー発→クライアント)の手順がHTTPにはありません。

そのため、
APサーバー側で発生したイベントを契機とした通信ができない。
という、「イ」が正解となります。

「ア」は、細かいところですが、
「ファイルを取得するしかできない」というのが間違いで、
PUTメソッドなどを使って、データを送信することもあるので間違い。

「ウ」はビミョーですが、
少なくとも、そこが理由の本質ではないはず。

「エ」も、NAPTやプロキシを使うと、
相手のPCのIPアドレスがわからなくなってしまいますが、
TCPコネクションを維持できれば、
そこは問題ではなくなります。

(2) 同じポート番号、構成を使用できるから。(20文字)

他のプロトコルを使う場合に、最も気になるところとしては、
やっぱり、FW許可設定やPBRなどのポート番号でしょう。

通常、APサーバーへのアクセスにHTTPを使用しているので、
FW#1やFW#3では、APサーバー宛のTCP/80,443通信は、
既に許可設定が入っています。

websoketは、HTTP通信の拡張とのことですので、
同じポート番号を使うことが推測されます。

実際にそうみたいです。
https://datatracker.ietf.org/doc/html/rfc6455#page-4

そのため、FWへの追加設定は、基本的に必要ありません。

一方、例えばIRCなど他のプロトコルを使う場合、
ポート番号が変わるため、FWに設定を追加する必要があります。

https://datatracker.ietf.org/doc/html/rfc7194

また、websoketについては、
HTTPプロキシを使った通信もサポートされていて、
販売代理会社の販売店のPCからは、
通常のHTTP通信と同じく、プロキシを使用してアクセスできます。

他のプロトコルだと、既存のプロキシが使用できず、
構成の変更が必要になる可能性があります。

設問3

(1) DNSラウンドロビン方式に変更した。(18文字)

図1で、他に負荷分散ができそうなところとしては、
DNSサーバーでしょう。

DNS名前解決の際に返すIPアドレスを、
APサーバー#1のものを返すか、#2のものを返すかで、
DNSサーバーで、負荷分散をコントロールできます。

(2) APサーバ(#1、#2)

これまで、負荷分散装置を使っていたことから、
TLS証明書は、負荷分散装置にインストールされており、
各サーバーにはインストールされていなかったことが考えられます。

負荷分散装置を使わないことにより、
クライアント(プロキシ)とAPサーバーが直接通信することなり、
APサーバーにもTLS証明書を
インストールしておく必要が出てくるでしょう。

以上です。
間違い、指摘、質問などありましたら、
コメントいただけますと幸いです。

基本情報技術者やセキスぺなど、
一部の試験は、コロナ問題の発生以降、
実施されていないみたいですね。

それに向けて勉強されている方も
たくさんいらっしゃると思うので、
早めに再開されることを祈ります。

それでは、余裕があったら
ネスぺの問題にもトライしてみようと思います。

コメントを残す

メールアドレスが公開されることはありません。