応用情報技術者’21春 午後NW問題

情報処理技術者試験、
懐かしくなって直近の試験問題やってみました。
応用情報技術者、午後のNW分野の問題。

※自分なりの答えなので、間違いがあるかもしれません。
 解答が公開されたら修正するかもです。

問題はこちらの問5
解答はこちら(後日更新)

設問1

NATやプロキシを使用した場合の、
送信元/宛先IPアドレスの変化が問われました。
これがわからないと、FW設定やアクセス制限などの際に、
どのアドレスを設定するかわからなくなります。

詳細は後日、別記事にまとめたいと思います。

これを踏まえて、(1)。

a) 10.10.0.10

負荷分散装置を使用する場合は、
実際のサーバーへは、負荷分散装置から割り振るため、
PCやプロキシは、負荷分散装置を宛先として通信します。

そのため、DNSで解決するIPアドレスとしては、
負荷分散装置のIPアドレスになります。

b) 192.168.0.3

プロキシを使用する場合、PC→プロキシ間のIPアドレスは、
 送信元:PCのIPアドレス
 宛 先:プロキシのIPアドレス
となります。

そのため、FW#4にも
このアドレスで許可設定してあげることになります。
(宛先ポート番号は、プロキシの待ち受けポート)

c) 10.1.1.2

プロキシ→サーバー間の通信では、
 送信元:プロキシのIPアドレス
 宛 先:サーバーのIPアドレス
となるため、192.168.0.2となりそうですが、

問題文に「FW#3でNAPTしている」とあるため、
FW#3通過後は、送信元IPが変換されています。

FW等でNATする場合、
別のIP(グローバルIPなど)も設定できますが、

「図1中の字句を用いて」という制限があるので、
この中から選ぶとしたら、FW#3のWAN側IFのアドレスを
そのまま使っていると考えるのが妥当でしょう。

(2) ア、ケ

E社販売店のPCは、プロキシを使用していないので、
PCが旅行管理システムのアドレスを取得する必要があります。

一方、販売代理会社の販売店のPCはプロキシを使用します。
プロキシ使用の場合、PCは宛先URLをプロキシに通知して、
DNSの名前解決含めて、プロキシが実施してくれます。

そのため、販売代理会社の販売店のPCは、
旅行管理システムのIPアドレスを知る必要はなく、
E社のDNSサーバーを使用する必要はありません。

代わりに、プロキシは旅行管理システムの名前解決をするため
E社のDNSサーバーを使用する必要があります。

それ以外の機器は、
E社のDNSサーバーを使用する必要はありません。

(3) 通信データを変更すると、改ざんとして検知されるから。(26文字)

TLSの特徴として、
・データを暗号化する
・データの改ざんを検知する

1つ目の、暗号化についてですが、
暗号化されているから、プロキシは通信内容を見ることができない。
というのもありな気がしますが、
プロキシで復号できることもあるみたいなんですよね。

それよりも、復号できたところで、
データの内容を書き換えると、改ざんとして検知されてしまいます。

そのため、PCから受信したデータは、そのまま送信する必要がある、
というのが求められてる答えじゃないでしょうか?

設問2

websoket関連の問題。
websoketは、そんなに詳しくないですが・・・

(1) イ

HTTPは通常、PCからのリクエストに応じて、
サーバーはレスポンスを返すだけで、
レスポンスデータの送受信が終わったら
TCPコネクションを切断します。

TCPコネクションは・・・、
通信が終わっても確立したままにできるかもしれませんが、

チャットの相手方からメッセージがあった場合、
サーバーは受信したメッセージを
PCに対して送信する必要がありますよね。
その手順(サーバー発→クライアント)の手順がHTTPにはありません。

そのため、
APサーバー側で発生したイベントを契機とした通信ができない。
という、「イ」が正解となります。

「ア」は、細かいところですが、
「ファイルを取得するしかできない」というのが間違いで、
PUTメソッドなどを使って、データを送信することもあるので間違い。

「ウ」はビミョーですが、
少なくとも、そこが理由の本質ではないはず。

「エ」も、NAPTやプロキシを使うと、
相手のPCのIPアドレスがわからなくなってしまいますが、
TCPコネクションを維持できれば、
そこは問題ではなくなります。

(2) 同じポート番号、構成を使用できるから。(20文字)

他のプロトコルを使う場合に、最も気になるところとしては、
やっぱり、FW許可設定やPBRなどのポート番号でしょう。

通常、APサーバーへのアクセスにHTTPを使用しているので、
FW#1やFW#3では、APサーバー宛のTCP/80,443通信は、
既に許可設定が入っています。

websoketは、HTTP通信の拡張とのことですので、
同じポート番号を使うことが推測されます。

実際にそうみたいです。
https://datatracker.ietf.org/doc/html/rfc6455#page-4

そのため、FWへの追加設定は、基本的に必要ありません。

一方、例えばIRCなど他のプロトコルを使う場合、
ポート番号が変わるため、FWに設定を追加する必要があります。

https://datatracker.ietf.org/doc/html/rfc7194

また、websoketについては、
HTTPプロキシを使った通信もサポートされていて、
販売代理会社の販売店のPCからは、
通常のHTTP通信と同じく、プロキシを使用してアクセスできます。

他のプロトコルだと、既存のプロキシが使用できず、
構成の変更が必要になる可能性があります。

設問3

(1) DNSラウンドロビン方式に変更した。(18文字)

図1で、他に負荷分散ができそうなところとしては、
DNSサーバーでしょう。

DNS名前解決の際に返すIPアドレスを、
APサーバー#1のものを返すか、#2のものを返すかで、
DNSサーバーで、負荷分散をコントロールできます。

(2) APサーバ

これまで、負荷分散装置を使っていたことから、
TLS証明書は、負荷分散装置にインストールされており、
各サーバーにはインストールされていなかったことが考えられます。

負荷分散装置を使わないことにより、
クライアント(プロキシ)とAPサーバーが直接通信することなり、
APサーバーにもTLS証明書を
インストールしておく必要が出てくるでしょう。

以上です。
間違い、指摘、質問などありましたら、
コメントいただけますと幸いです。

基本情報技術者やセキスぺなど、
一部の試験は、コロナ問題の発生以降、
実施されていないみたいですね。

それに向けて勉強されている方も
たくさんいらっしゃると思うので、
早めに再開されることを祈ります。

それでは、余裕があったら
ネスぺの問題にもトライしてみようと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です