【令和4年】ネスペ午後1-3の解説
令和4年度のネットワークスペシャリスト(ネスペ)の午後問題の解説をしていきます。
今回は午後1-3の問題をわかりやすく説明します。本問では主にDHCP、DNS、ケルベロス認証などの内容が問われました。
画像はすべてIPA公式から引用しております。
令和4年度 春期 ネットワークスペシャリスト試験(NW)午後Ⅰ
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1(1)
PCのプロキシ設定で登録する設定内容を答える問題です。本文中の下線(a)とあるので、該当箇所を探します。
下線(a)を含む一文で、「PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う」と記載があります。
業務サーバ及び営業支援サーバへのアクセスはプロキシサーバを経由しない設定にするために、プロキシ設定で業務サーバ及び営業支援サーバのFQDNを除外する設定を行えばよさそうです。プロキシの例外設定とは、プロキシサーバーを経由しない特定のホスト名やドメインを指定する設定のことです。
よって答えは、業務サーバ及び営業支援サーバのFQDNを除外する設定(26字)
IPA公式解答は、業務サーバと営業支援サーバのFQDNを、プロキシ例外リストに登録する。(35字)
設問1(2)
本文中の下線(b)とあるので、該当箇所を探します。DHCPサーバから付与されるネットワーク情報について答える問題ですね。
DHCPサーバがPCに付与する情報は以下のとおりです。
- IPアドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバのIPアドレス
- IPアドレスのリース時間の設定
下線(b)ではすでにDHCPサーバからPCのIPアドレスとサブネットマスクは払い出されているとわかります。
(ⅳ)で「PCのスタブリゾルバは、社内DNSサーバで名前解決を行う」とあるので、社内DNSサーバのIPアドレスは付与する必要があります。
また、図1のネットワーク構成図を確認すると、内部LANにおけるPCのデフォルトゲートウェイをL3SWに向ける必要があるとわかります。
よって答えは、デフォルトゲートウェイのIPアドレス、社内DNSサーバのIPアドレス
設問1(3)
空欄ア
空欄穴埋め問題です。該当箇所を探していきます。いずれの空欄も、表1中にあります。図1または表1中の言葉を用いることに注意して解答します。
空欄アはプロトコル/ポート番号がTCP/53となっているので、DNS通信だとわかります。インターネットからDMZの通信のため、外部DNSサーバとわかります。
空欄アの答えは、外部DNSサーバ
空欄ウ
空欄ウはプロトコル/ポート番号がTCP/443となっているので、HTTPS通信だとわかります。インターネットからDMZの通信のため、公開Webサーバとわかります。
空欄ウの答えは、公開Webサーバ
空欄エ
空欄エはプロトコル/ポート番号がTCP/80、TCP/443となっているので、HTTP、HTTPS通信だとわかります。DMZからインターネットの通信のため、プロキシサーバとわかります。
公開Webサーバではありません。FWはステートフルパケットインスペクションのため、DMZからインターネットでHTTP、HTTPS通信を許可するルールを設定する必要はないからです。
空欄エの答えは、プロキシサーバ
空欄オ
DMZのプロキシサーバからインターネットへのHTTP、HTTPS通信の宛先は、anyです。
空欄オの答えは、any
空欄カ
空欄カはプロトコル/ポート番号がTCP/53となっているので、DNS通信です。また、宛先は外部DNSサーバ(空欄ア)であるため、内部LANの送信元は社内DNSサーバです。以下の(ⅰ)(ⅱ)の記載の通りです。
空欄カの答えは、社内DNSサーバ
設問1(4)
空欄イはプロトコル/ポート番号がTCP/53となっているので、DNS通信だとわかります。また、インターネットからDMZの通信のため、宛先が外部DNSサーバとわかっています。よって答えは、UDP/53です。
答えは、UDP/53
設問2(1)
図2中の⑦の通信が行えなくなる理由を答える問題です。該当箇所を確認します。②の通信(KDCからTGTの払い出し)を盗聴しても攻撃者は⑦の通信(PCが暗号化データからSTを取り出して、STを営業支援サーバに提示)を正しく行えないとあります。
「ケルベロス認証では、共通鍵暗号による認証及びデータの暗号化を行っている」のとおり、暗号化に用いられた共通鍵をもたなければ復号できません。よって、暗号化された情報の中からSTを取り出すことができないので正しく通信が行えないとわかります。
答えは、STを取り出せないから
設問2(2)
図2で、ケルベロス認証サービスのポート番号88が使われる通信を記号で答える問題です。ケルベロス認証を行うのは、DS(KDC)です。そのため、PCとDS(KDC)間の通信を答えればよいので、①、②、⑤、⑥が該当します。
答えは①、②、⑤、⑥
設問2(3)
本文中の下線(c)の問題を発生させないための、PCとサーバにおける対策を答える問題です。下線(c)は、PCとサーバ間でTGTとSTの有効期限を正しく判断できないことを懸念しています。
TGTとSTの有効期限の日付や時間がそれぞれPCとサーバ間で同じでないといけません。そのため、PCとサーバ間で時刻同期が必要な旨を記載する必要があります。
答えは、PCとサーバ間で時刻同期を行う。(16字)
設問3(1)
ケルベロス認証を行うPCが、図4のSRVレコードを利用しない場合、PCに設定する内容を答える問題です。図4を確認すると、2台のDSでケルベロス認証を行う場合のSRVレコード設定が記載されています。
SRVレコードについての内容をさらに確認すると、「DNSサーバにSRVレコードが登録されていれば、サービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる。」という文言が見つかります。
DNSサーバにSRVレコードを登録しないということは、DNSで名前解決せずにケルベロス認証を行うDSサーバの宛先(FQDN)をPCに事前設定しておく必要があります。
答えは、ケルベロス認証を行うDSサーバのFQDN(20字)
IPA公式解答は、ケルベロス認証を行うサーバのFQDN(18字)
設問3(2)
図4のSRVレコードのキャッシュ時間を答える問題です。SRVレコードのTTLの値がキャッシュ時間です。
43200(秒)÷60(秒)=720分
答えは、720分
設問3(3)
以下の図4の代わりに、図5の1つのSRVレコードで、DNSラウンドロビンでの負荷分散をする設定を答える問題です。
図4から確認します。図4はTargetがDS1の場合、Weightを2で重み付けしています。そのため、DS1とDS2に2:1の割合で負荷分散する必要があります。
DNSラウンドロビンは、1つのホスト名に複数のIPアドレスを割り当て、サーバの負荷分散を行う手法です。DNSサーバの設定で1つのドメイン名に対して複数のIPアドレスを同時に割り当て、短い時間ごとに(あるいは問い合わせごとに)順番に応答していくことで、負荷を分散させる特徴があります。
つまり、DSのホスト名に対して、addr1(DS1のIPアドレス)のAレコードを2つ設定し、addr2(DS2のIPアドレス)のAレコードを1つ設定することで、DNSラウンドロビンを利用してDS1とDS2に2:1の割合で負荷分散できます。addr1、addr1、addr2の順番に名前解決されます。
よって答えは、DSのホスト名に対して、addr1のAレコードを2つ設定し、addr2のAレコードを1つ設定する(48字)
IPA公式解答は、ホスト名がDSに対して、addr1のAレコードを二つ設定し、addr2のAレコードを一つ記述する(48字)
ネスペ要点まとめ(復習用)
本ページで解説した、ネスペ令和4年午後1 問3の過去問も含めて、別記事でネスペ午後過去問の要点をまとめていますので、復習用にぜひ活用ください。
