【令和元年】ネットワークスペシャリスト(ネスペ)午後1 問2の解説
ネットワークスペシャリスト令和元年度の過去問の解説をしております。
本記事では、令和元年度 午後1 問2の解説をしております。
引用元:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問1」
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1 CNAMEレコードの利点
まずは問われていることを確認しましょう!設問から読み取れることは以下の通りです。
- 「下線①について」とあるので、下線①を明確にする
- A社にとっての利点を答える
下線①とあるので、その付近を本文中から探します↓周辺の文章も読みながら、内容をまとめます。
まず下線①までの文章を噛み砕くと、以下のようになります。
- Webアプリケーションプログラムの脆弱性を悪用したサイバー攻撃がはやっている
- A社でも↑の対策としてWAFサービスを導入することになった
- WAFサービスの説明が書いてある
- 現システムのWebブラウザからA社WebサーバへのHTTPリクエストを、WAFサービス宛てに変える方法を検討している
次に、現システムのWebブラウザからA社WebサーバへのHTTPリクエストを、WAFサービス宛てに変える方法が↓の2つあります。さらに、T社はIP-w1(WAFサービスのIPアドレス)を変更する場合があることが下線①の前文から読み取れます。
- A社DNSサーバに、RDATAにIP-w1を設定したAレコードを登録する方式
- A社DNSサーバに、RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式
ここまでの内容理解を深めます。RDATAとはリソースレコードの値です。本問でいうと「waf-ahsa.tsha.net」、「199.α.β1」、「ns」のことです。
まず「A社DNSサーバに、RDATAにIP-w1を設定したAレコードを登録する方式」を理解します。
DNSサーバでWAFサービスのIPアドレスをAレコードとして登録する場合、T社がIPアドレスを変更するたびに設定変更をしなければなりません。
仮に、A社のDNSサーバでWAFサービスのIPアドレス(100.100.100.1)をAレコードとして登録したとします。T社のWAFサービス側でIPアドレスが100.100.100.254に変わったとき、A社はAレコードのRDATAのIPアドレス(100.100.100.1)を変更後のIPアドレス(100.100.100.254)に設定変更する必要があります。
次に、「A社DNSサーバに、RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式」を理解します。
CNAMEレコードとはドメイン名の別名となるレコードです。
例えば、WebブラウザからA社のWebサーバにアクセスするとき、WebブラウザはWebサーバを表す「shop.asha.com」を名前解決するため、A社のDNSサーバに問い合わせます。
そのとき、CNAMEを設定していた場合、A社のDNSサーバから「shop.asha.com」は「waf-ahsa.tsha.net」だよと応答をもらいます。
再度、Webブラウザは「waf-ahsa.tsha.net」をT社のDNSサーバで名前解決して、そのドメイン名に紐づくAレコードを参照して、A社のWebサーバにアクセスできるようになります。
- WebブラウザがWebシステムにアクセスするためには宛先のIPアドレスを知る必要がある
- Webブラウザはドメイン名 ”shop.asha.com”を名前解決する。
- A社DNSサーバは”shop.asha.com”に紐づくCNAMEレコードである”waf-asha.tsha.net”をWebブラウザに応答する
- Webブラウザはドメイン名 ”waf-asha.tsha.net”を名前解決する。 ※本文では記載はないが、T社の管理するDNSサーバが応答するものと思われる
- ”waf-asha.tsha.net”を名前解決することによって、そのドメイン名に紐づくIPアドレスを知る
- そのIPアドレスを元に、WebブラウザからWebシステムに通信を行う
CNAMEレコードを利用するメリットは、T社がIPアドレスを変更してもA社は設定変更が必要ないことです。
A社は”shop.asha.com”に紐づくCNAMEレコードである”waf-asha.tsha.net”を設定しているので、T社のWAFサービスのIPアドレスが変更されたとしても、A社は特に何もすることはありません。
一方、T社は管理するDNSサーバで”waf-asha.tsha.net”に紐づくAレコードのIPアドレスを変更する必要がありますが、A社ではCNAMEレコードを活用すれば設定変更がいらないのです。
解答案作成
ここまでの内容をまとめて、問題文の解答をつくっていきます!
A社でAレコードを登録する方式では、T社でIP-w1の変更があるたびに設定変更をする必要がある(デメリット)
それに対して
T社から割り当てられたFQDNをA社のCNAMEレコードとして登録する方式では、T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる(メリット)
よって、後者の内容をA社にとっての利点として、45字以内でまとめて答えます。
T社から割り当てられたFQDNをA社のCNAMEレコードとして登録する方式では、T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる(76字)
↓問題文の「下線①」はCNAMEレコードの方式を指しているため、CNAMEレコード方式の説明内容は不要
T社でIP-w1の変更がある場合でも、A社は設定変更をする必要がなくなる(36字)
↓A社の何の設定変更内容がいらなくなるのかを明記した方がbetter
T社でIP-w1の変更がある場合でも、A社はDNSサーバのゾーンファイルの設定変更をする必要がなくなる(51字)
↓「DNSサーバ」「ゾーンファイル」は片方を削っても内容は明確になるのでどちらかを削除する
T社でIP-w1の変更がある場合でも、A社はDNSサーバの設定変更をする必要がなくなる(43字)
よって、答えはT社でIP-w1の変更がある場合でも、A社はDNSサーバの設定変更をする必要がなくなる(43字)
IPAの正式解答はT社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる。(35字)
設問2
(1) 穴埋め問題
空欄ア
知識問題です。空欄付近の文章から考えます!
- LBの負荷分散方式
- 負荷分散方式のひとつである、ラウンドロビン方式
- ラウンドロビン方式は、HTTPリクエストをWebサーバーに順番に振り分ける方式
答えは順番
空欄イ
これも知識問題です。空欄付近の文章から考えます!
- 死活監視機能
- LBからサーバに対してHTTPリクエストを送ることでL7のサービス監視
- HTTPリクエストなので、ポート番号は80番ポート
答えは、80
空欄ウ
これも知識問題です。
- 死活監視機能
- LBからサーバに対してHTTPリクエストを送ることでL7のサービス監視
- HTTPリクエストなので、ポート番号は80番ポート
- LBからのHTTPリクエストに対して、サーバがHTTPレスポンスを応答する
ステータスコードは以下の通り
| 情報レスポンス | 100-199 |
| 成功レスポンス | 200-299 |
| リダイレクト | 300-399 |
| クライアントエラー | 400-499 |
| サーバーエラー | 500-599 |
答えは、200(200 OKでも個人的には正解だと思います。)
空欄エ
これも知識問題です。
- WebサーバとWebブラウザ間で状態を管理するためにCookieを使用する
- LBがセッションIDを追加するHTTPレスポンスのヘッダフィールドの名称
答えは、Set-Cookie。Set-Cookieは何度も出題されているので答えたいですね!
空欄オ
これも知識問題です。
- WebサーバとWebブラウザ間で状態を管理するためにCookieを使用する
- LBはSet-CookieヘッダフィールドにセッションIDを追加
- WebブラウザはSet-CookieヘッダフィールドにセッションIDを〇〇に追加する
- LBはWebブラウザからのHTTPリクエストの〇〇ヘッダフィールドのセッションIDをもとにセッション維持を行う
答えは、Cookie。Cookieも頻出です!しっかり覚えましょう!
(2) 負荷分散
まずは問題文から確認しましょう!内容をまとめます↓
- 下線②を明らかにする
- 「送信元IPアドレスに基づく方式」を明らかにする
- その上で、発生する問題を答える
下線②とあるので、その付近をみていきます。「WAFサービスの利用を考慮し、セッションIDに基づいて行う方式を採用した」とあります。
問題文ではセッションIDに基づいて行う方式とは別の送信元IPアドレスに基づいて行う方式を採用した場合の問題点が問われていることがわかりますね。
その際に、「WAFサービスの利用を考慮し」という部分があるので、WAFサービスの特徴が理由になっていそうです。なので、WAFサービスを説明している箇所を本文から探します↓
ここまでで本文から読み取れることをまとめます。
- セッションID方式を採用したのは、WAFサービスの特徴が関係している
- WAFサービスは復号化して、XFFヘッダに送信元IPアドレスを追加する
- WAFサービスはHTTPリクエストの送信元IPアドレスを、HTTPレスポンスがWAFサービスに送られるようにするためのIPアドレス(IP-w2)に変更する
- WAFサービスは再暗号化して、WebシステムのIPアドレス199.α.β.2に転送する
ここまでの情報で問題文で問われていることに沿って、解答をつくっていきます。↑のWAFサービスの内容をざっくりまとめると以下のようになります。
- WAFサービスはHTTPリクエストの送信元IPアドレスをIP-w2に変更し、WebシステムのIPアドレス199.α.β.2に転送する
送信元IPアドレスに基づく方式を選択した場合、WAFサービスからWebシステムへの送信元IPアドレスはIP-w2のみなので、セッション維持をする際にサーバが偏ってしまいます。つまり、負荷分散ができず、サーバへの負荷が偏ることになります。
答えは、負荷分散ができない(9字)
IPAの正式解答は、負荷が偏る。(6字)
(3) TLSアクセラレーション
問題文から読み取れること
下線③を明らかにする
本文から読み取れること
本文の中でのTLSアクセラレーションの用途は以下の2つ
- TLSの暗号化・復号処理を高速に処理する
- LBが行うある処理のために利用する(下線③)
本文の中で記載されているLBの機能は以下の通り
- HTTPリクエストの振り分け機能(負荷分散・ロードバランス)
- 死活監視機能(ヘルスチェック)
- セッション維持機能(Persistence、パーシステンス)
- TLSアクセラレーション
- HTTPヘッダの編集(XFFヘッダ)
本文では特に記載のある以下の2つの処理に注目。
- LBはSSL/TLS通信を復号化した後に、HTTPレスポンスにSet-CookieヘッダフィールドにセッションIDを追加する
- LBはSSL/TLS通信を復号化した後に、X-Forwarded-Forヘッダに送信元のIPアドレスを追加する(本文の最後の方に記載)
ざっくりまとめ
- LBはSSL通信を復号化した後に、HTTPヘッダの編集を行う
- HTTPのヘッダ編集で行う具体的な例は、Set-CookieヘッダフィールドにセッションIDを追加することやX-Forwarded-Forヘッダに送信元のIPアドレスを追加することが挙げられる。
よって、TLSアクセラレーションで復号化した後に↑の処理を行う旨を20字以内に答える
IPAの正式解答はHTTPヘッダを編集する処理(14字)。この問題は部分点をとれればいいレベルだと思います。
設問3
(1) FWの穴あけポリシー
問題文から読み取れること
- まず空欄カの機器名を答える
- その上で、本文中の下線④の変更内容が指すことを明確にする
本文から読み取れること
- WAFサービスの障害時にも、事業のサービスは継続させたい(目的)
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させる(目的)
↓そのために、
- WAFサービス導入時に設定変更を予定している「空欄カ」の設定変更をすること(手段)
- 図2中の資源レコードの一行を書き換えること(手段)
ざっくりまとめ
- WAFサービスを導入するときに変更を予定している機器が空欄カに当てはまる
- 本文中を探すと、下記の画像通り、FWでアクセス制御の変更を行うことが明記されている
- この時点で空欄カの機器名はFWとなる
- その上で、WAFを使用しないで利用者のブラウザから直接Webシステム間への通信を可能にするめに、FWで行う設定変更を答える
- 下記の画像通り、FWでIP-w2(WAFサービス)を送信元とする通信だけを許可している(変更前)
- そのため、利用者からのWebブラウザを送信元に設定変更し(変更後)、その宛先をWebシステムにアクセスするためのIPアドレスである199.α.β.2宛てに転送するHTTPS通信をFWで許可する必要がある
文字数のまとめ(35字以内)
利用者からのWebブラウザを送信元に設定変更し、その宛先をWebシステムにアクセスするためのIPアドレスである199.α.β.2宛てに転送するHTTPS通信をFWで許可する必要がある(91字)
↓主語はFW(空欄カ)で明らかであり、設定変更の内容そのものを答える
利用者からのWebブラウザを送信元に設定変更し、199.α.β.2宛てに転送するHTTPS通信を許可する(52字)
↓修飾語を削り、文章を整える
Webブラウザから199.α.β.2宛てのHTTPS通信を全て許可する(35字)
よって、答えは空欄カはFW。設定変更内容はWebブラウザから199.α.β.2宛てのHTTPS通信を全て許可する(35字)
IPAの正式解答は任意のIPアドレスからWebシステムへのHTTPS通信を許可する。(33字)
(2) DNSレコードの理解
問題文から読み取れること
- 本文中の下線⑤を明確にする
- 「書換え後の資源レコード」とあるので、資源レコードを書き換える前と後の変化をポイントとしておさえる
本文から読み取れること
- WAFサービスの障害時にも、事業のサービスは継続させたい(目的)
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させる(目的)
↓そのために、
- WAFサービス導入時に設定変更を予定している「空欄カ」の設定変更をすること(手段)
- 図2中の資源レコードの一行を書き換えること(手段)
ざっくりまとめ
- WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させるために(目的)、図2中の資源レコードの一行を書き換える
図2中の資源レコードは以下の通り
- “waf-asha.tsha.net.”はWAFサービスを利用するためのFQDNと注記にあり、このFQDNが該当する一行のレコードを変更すればWAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信が可能になる
- CNAMEレコードはドメイン名(本問のFQDN、”waf-asha.tsha.net.”)の正式名を指定するレコード
- Webブラウザが”shop”というAレコードを名前解決したときに、そのAレコードとWebシステムにアクセスするためのIPアドレス199.α.β.2(LB)を紐づければ、直接 LBに通信を行うことになる
よって、答えは shop IN A 199.α.β.2
(3) XFFヘッダの理解
問題文から読み取れること
本文中の下線⑥の設定内容とあるので、下線⑥を明確にする
本文から読み取れること
- WebAPでアクセスログを記録している
- XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録する
- 上記に関連して、LBに設定を追加する
- WAFサービスでXFFヘッダにWebブラウザの送信元IPアドレスを追加し、WebシステムへのHTTPリクエストの応答であるHTTPレスポンスがWAFサービスに転送されるようにIPアドレス(IP-w2)を変更する
ざっくりまとめ
- WAFサービスからのみ、XFFヘッダに送信元IPアドレスが挿入される
- WAFサービスに関わらず、WebブラウザからWebシステムへの直接通信の際にも、XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録する
- そのため、WebブラウザからWebシステムへの直接通信の際にも、Webブラウザの送信元IPアドレスをXFFヘッダにLBで追加する設定が必要になる
よって、WebブラウザからWebシステムへの直接通信の際にもアクセス時の送信元IPアドレスを記録するLBの設定を30字以内でまとめて答える
文字数のまとめ(30字以内)
WebブラウザからWebシステムへの直接通信の際にも、XFFヘッダにWebブラウザの送信元IPアドレスをLBで追加する設定(61字)
↓問題文では設定内容そのものを問われているので、設定内容自体を軸に答える
XFFヘッダにWebブラウザの送信元IPアドレスをLBで追加する設定(34字)
↓下線⑥でLBの設定であることは明確なので、「LB」という文言は省く。また文章を整える
XFFヘッダにWebブラウザの送信元IPアドレスを追加する(29字)
よって、答えはXFFヘッダにWebブラウザの送信元IPアドレスを追加する(29字)
IPAの正式解答はXFFヘッダに送信元IPアドレスを追加する設定(23字)
