ネットワークスペシャリスト 過去問 午後 解説【令和元年度 午後1 問2】
ネットワークスペシャリスト令和元年度の過去問の解説をしております。
本記事では、令和元年度 午後1 問2の解説をしております。
※IPA様からの正式解答も追記しました。リンクは下記になります↓
令和元年度 秋期 ネットワークスペシャリスト試験 解答例
引用元:
「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2」
※それぞれ一部改変しております。
他の午後1の問題も復習にどうぞ↓↓↓
設問1 CNAMEレコードの利点
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
- 「下線①について」とあるので、下線①を明確にする
- A社にとっての利点を答える
本文から読み取れること
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p8」
- ブラウザからのHTTPリクエストを、WAFサービスあてに変える方法が2つある↓
- A社DNSサーバに、RDATAにIP-w1を設定したAレコードを登録する方式
- RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式
- CNAMEレコードを登録する方式を推奨(下線①)
- T社は、IP-w1を変更する場合があるので、(理由)
- T社(WAFサービス会社) は上記後者のCNAMEレコード方式をおすすめしている
- A社がAレコードを登録する方式では、T社がIPアドレスを変更するたびに設定変更をしなければならない
- CNAMEレコードの方式を採用すれば、T社がIPアドレスを変更してもA社は設定変更が必要ない
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
CNAMEレコード
- ドメイン名の正式名を指定するレコード
- 正式なドメイン名の別名(あだ名)となるレコード
- WebブラウザがWebシステムにアクセスするためには宛先のIPアドレスを知る必要がある
- Webブラウザはドメイン名 ”shop.asha.com”を名前解決する。
- A社DNSサーバは”shop.asha.com”紐づくCNAMEレコードである”waf-asha.tsha.net.”をWebサーバに応答する
- Webブラウザはドメイン名 ”waf-asha.tsha.net.”を名前解決する。
※本文では記載はないが、T社の管理するDNSサーバが応答するものと思われる - ”waf-asha.tsha.net.”を名前解決することによって、そのドメイン名に紐づくIPアドレスを知る
- そのIPアドレスを元に、WebブラウザからWebシステムに通信を行う
ざっくりまとめ
A社でAレコードを登録する方式では、T社でIP-w1の変更があるたびに設定変更をする必要がある(デメリット)
それに対して
T社から割り当てられたFQDNをA社のCNAMEレコードとして登録する方式では、T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる(メリット)
よって、後者の内容をA社にとっての利点として、45字以内でまとめて答える
文字数のまとめ(45字以内)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
T社から割り当てられたFQDNをA社のCNAMEレコードとして登録する方式では、T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる(76字)
↓問題文の「下線①」はCNAMEレコードの方式を指しているため、CNAMEレコード方式の説明内容は不要
T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる
(36字)
↓A社の何の設定変更内容がいらなくなるのかを明記した方がbetter
T社でIP-w1の変更がある場合でも、A社はDNSサーバのゾーンファイルの設定変更をする必要がなくなる(51字)
↓「DNSサーバ」「ゾーンファイル」は片方を削っても内容は明確になるのでどちらかを削除する
T社でIP-w1の変更がある場合でも、A社はDNSサーバの設定変更をする必要がなくなる(43字)
よって、答えは
T社でIP-w1の変更がある場合でも、A社はDNSサーバの設定変更をする必要がなくなる(43字)
IPAの正式解答は
T社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる。(35字)
設問2
(1) 穴埋め問題
空欄ア
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
- LBの負荷分散方式
- 負荷分散方式のひとつである、ラウンドロビン方式
- ラウンドロビン方式は、HTTPリクエストをWebサーバーに順番に振り分ける方式
答えは順番
空欄イ
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
- 死活監視機能
- LBからサーバに対してHTTPリクエストを送ることでL7のサービス監視
- HTTPリクエストなので、ポート番号は80番ポート
答えは80
空欄ウ
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
- 死活監視機能
- LBからサーバに対してHTTPリクエストを送ることでL7のサービス監視
- HTTPリクエストなので、ポート番号は80番ポート
- LBからのHTTPリクエストに対して、サーバがHTTPレスポンスを応答する
ステータスコードは以下の通り
| HTTPステータスコード | 値 |
| 情報レスポンス | 100-199 |
| 成功レスポンス | 200-299 |
| リダイレクト | 300-399 |
| クライアントエラー | 400-499 |
| サーバーエラー | 500-599 |
答えは200
空欄エ
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
- セッション維持機能の方法が2つある
- HTTPリクエストの送信元 IPアドレスに基づく方式
- LBでつくられるセッションIDに基づく方式
- 本文中では、後者のセッションIDに基づく方式について記載されている
- WebサーバとWebブラウザ間で状態を管理するためにCookieを使用する
- LBはHTTPレスポンスのどのヘッダフィールドにセッションIDを追加するのかを考える
答えはSet-Cookie
空欄オ
- WebサーバとWebブラウザ間で状態を管理するためにCookieを使用する
- LBはセッションIDをどのヘッダフィールドに挿入するのか
- LBはそのヘッダフィールドのセッションIDをもとにセッション維持を行う
答えはCookie
(2) 負荷分散
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
- 下線②を明らかにする
- 送信元IPアドレスに基づく方式を明らかにする
- その上で、発生する問題を答える
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p8」
本文から読み取れること
- 「WAFサービスの利用を考慮し」とセッションID方式を採用した理由が書かれている
- そのため、WAFサービスを本文中から探し、環境構成を理解する必要がある
- WAFサービスはHTTPリクエストの送信元IPアドレスをIP-w2に変更する
- WAFサービスはWebシステムのIPアドレス199.α.β.2に転送する
ざっくりまとめ
- 下線②を明らかにする
- セッション維持の方法として、WAFサービスの利用を考慮し、セッションID方式を採用
- WAFサービスはHTTPリクエストの送信元IPアドレスをIP-w2に変更し、WebシステムのIPアドレス199.α.β.2に転送する
- そのため、WAFサービスからWebシステムへの送信元IPアドレスはIP-w2のみであることがわかる
- 送信元IPアドレスに基づく方式を明らかにする
- セッション維持の方法として、送信元IPアドレスに基づいて行う
- その上で、発生する問題を答える
- WAFサービスの特徴から、送信元IPアドレスはIP-w2のみなので、セッション維持をする際にサーバが偏ってしまう。つまり、負荷分散ができない。
よって、答えは
負荷分散ができない
IPAの正式解答は
負荷が偏る。(6字)
(3) TLSアクセラレーション
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
下線③を明らかにする
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
本文から読み取れること
本文の中でのTLSアクセラレーションの用途は以下の2つ
- TLSの暗号化・復号処理を高速に処理する
- LBが行うある処理のために利用する(下線③)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
本文の中で記載されているLBの機能は以下の通り
- HTTPリクエストの振り分け機能(負荷分散・ロードバランス)
- 死活監視機能(ヘルスチェック)
- セッション維持機能(Persistence、パーシステンス)
- TLSアクセラレーション
- HTTPヘッダの編集(XFFヘッダ)
セッション維持機能ではセッションID方式を採用し、Cookieを利用する
ざっくりまとめ
- セッション維持機能としてセッションID方式を採用し、Cookieを利用している
- LBはHTTPS通信を復号化処理を行った後に、CookieヘッダーフィールドのセッションIDに基づいてセッション維持を行う
よって、その処理をTLSアクセラレーションで行う旨を20字以内に答える
IPAが公表する資料にTLSアクセラレーションの説明が記載されている↓
出典:IPA ISEC インターネットサーバーの安全性向上策に関する調査 1 サーバーのハイアベイラビリティ技術 p1-18
https://www.ipa.go.jp/security/fy14/contents/high-availability/has.pdf
文字数のまとめ(20字以内)
LBはHTTPS通信を復号化処理を行った後に、CookieヘッダーフィールドのセッションIDに基づいてセッション維持を行う(61字)
↓TLSアクセラレーションの説明で復号化を高速に処理する機能は、問題文の中では聞かれていないから削る
LBはCookieヘッダーフィールドのセッションIDに基づいてセッション維持を行う(41字)
↓LBでの処理は自明なので、LBの文言は省く。修飾語を省く
セッションIDに基づいてセッション維持を行う(22字)
↓長いのでセッション維持を言い換える
セッションIDに基づいて負荷分散を行う(19字)
よって、答えは
セッションIDに基づいて負荷分散を行う(19字)
IPAの正式解答は
HTTPヘッダを編集する処理(14字)
※公式の解答はすごいざっくりとしたものですが、詳細の内容を書いても得点をもらえると思います。
設問3
(1) FWの穴あけポリシー
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
- まず空欄カの機器名を答える
- その上で、本文中の下線④の変更内容が指すことを明確にする
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
本文から読み取れること
- WAFサービスの障害時にも、事業のサービスは継続させたい(目的)
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させる(目的)
↓そのために、
- WAFサービス導入時に設定変更を予定している「空欄カ」の設定変更をすること(手段)
- 図2中の資源レコードの一行を書き換えること(手段)
ざっくりまとめ
- WAFサービスを導入するときに変更を予定している機器が空欄カに当てはまる
- 本文中を探すと、下記の画像通り、FWでアクセス制御の変更を行うことが明記されている
★この時点で空欄カの機器名はFWとなる - その上で、WAFを使用しないで利用者のブラウザから直接Webシステム間への通信を可能にするめに、FWで行う設定変更を答える
- 下記の画像通り、FWでIP-w2(WAFサービス)を送信元とする通信だけを許可している(変更前)
- そのため、利用者からのWebブラウザを送信元に設定変更し(変更後)、その宛先をWebシステムにアクセスするためのIPアドレスである199.α.β.2宛てに転送するHTTPS通信をFWで許可する必要がある
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p8」
文字数のまとめ(35字以内)
利用者からのWebブラウザを送信元に設定変更し、その宛先をWebシステムにアクセスするためのIPアドレスである199.α.β.2宛てに転送するHTTPS通信をFWで許可する必要がある(91字)
↓主語はFW(空欄カ)で明らかであり、設定変更の内容そのものを答える
利用者からのWebブラウザを送信元に設定変更し、199.α.β.2宛てに転送するHTTPS通信を許可する(52字)
↓修飾語を削り、文章を整える
Webブラウザから199.α.β.2宛てのHTTPS通信を全て許可する(35字)
よって、答えは空欄カはFW
設定変更内容はWebブラウザから199.α.β.2宛てのHTTPS通信を全て許可する(35字)
IPAの正式解答は
任意のIPアドレスからWebシステムへのHTTPS通信を許可する。(33字)
(2) DNSレコードの理解
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
- 本文中の下線⑤を明確にする
- 「書換え後の資源レコード」とあるので、資源レコードを書き換える前と後の変化をポイントとしておさえる
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p10」
本文から読み取れること
- WAFサービスの障害時にも、事業のサービスは継続させたい(目的)
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させる(目的)
↓そのために、
- WAFサービス導入時に設定変更を予定している「空欄カ」の設定変更をすること(手段)
- 図2中の資源レコードの一行を書き換えること(手段)
ざっくりまとめ
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させるために(目的)、図2中の資源レコードの一行を書き換える
図2中の資源レコードは以下の通り
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p9」
- “waf-asha.tsha.net.”はWAFサービスを利用するためのFQDNと注記にあり、このFQDNが該当する一行のレコードを変更すればWAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信が可能になる
- CNAMEレコードはドメイン名(本問のFQDN、”waf-asha.tsha.net.”)の正式名を指定するレコード
- Webブラウザが”shop”というAレコードを名前解決したときに、そのAレコードとWebシステムにアクセスするためのIPアドレス199.α.β.2(LB)を紐づければ、直接 LBに通信を行うことになる
よって、答えは shop IN A 199.α.β.2
(3) XFFヘッダの理解
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
問題文から読み取れること
本文中の下線⑥の設定内容とあるので、下線⑥を明確にする
本文から読み取れること
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p8」
- WebAPでアクセスログを記録している
- XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録する
- 上記に関連して、LBに設定を追加する
- WAFサービスでXFFヘッダにWebブラウザの送信元IPアドレスを追加し、WebシステムへのHTTPリクエストの応答であるHTTPレスポンスがWAFサービスに転送されるようにIPアドレス(IP-w2)を変更する
ざっくりまとめ
- WAFサービスからのみ、XFFヘッダに送信元IPアドレスが挿入される
- WAFサービスに関わらず、WebブラウザからWebシステムへの直接通信の際にも、XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録する
- そのため、WebブラウザからWebシステムへの直接通信の際にも、Webブラウザの送信元IPアドレスをXFFヘッダにLBで追加する設定が必要になる
よって、WebブラウザからWebシステムへの直接通信の際にもアクセス時の送信元IPアドレスを記録するLBの設定を30字以内でまとめて答える
文字数のまとめ(30字以内)
出典:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2 p11」
WebブラウザからWebシステムへの直接通信の際にも、XFFヘッダにWebブラウザの送信元IPアドレスをLBで追加する設定(61字)
↓問題文では設定内容そのものを問われているので、設定内容自体を軸に答える
XFFヘッダにWebブラウザの送信元IPアドレスをLBで追加する設定(34字)
↓下線⑥でLBの設定であることは明確なので、「LB」という文言は省く。また文章を整える
XFFヘッダにWebブラウザの送信元IPアドレスを追加する(29字)
よって、答えは
XFFヘッダにWebブラウザの送信元IPアドレスを追加する(29字)
IPAの正式解答は
XFFヘッダに送信元IPアドレスを追加する設定(23字)
↓令和元年度のその他午後Iの解説もしておりますので、よければ復習にどうぞ!!!!
