【AP午後R04春NW】応用情報技術者R04春ネットワークの解説
応用情報技術者試験R04春は、通信経路の特化した問題でした。
一問目は簡単なように見えて、プロキシ使用時のパケットヘッダへの深い理解が必要でした。「知らず知らずに失点」しますが、他の問題は普通なので大丈夫です。
面白かったのはIPsecルータの使い方。
そもそも営業所と本社間の暗号通信のためでしたが、FWの負荷軽減のためにインターネットへのアクセスにも使うようにしています。
「こんな使い方もできるんだな」と初めて知りつつ「今後の問題で困ったらテとして書いてみよう」と学びになりました。
IT技術者さんでなければ、機器の詳しい使い方・応用は知らなくて当たり前。だからこそ、模範解答や問題から実践例を吸収するのが有効になります。
今回は、AP-PM-NWシリーズの一区切り。
40枚以上の図解+補強解説もして、今までにない品質で書いてみました。少しでも理解の手助けになれば嬉しいいです。
このNoteは、私がIT専門学校でしてきた授業がベース。
一緒に読んで解いていきます。解くためのコツや学ぶべき追加知識も書いています。
書籍や解説サイトでの学習で、「短い解説で良く分からなかった」「正解だけでなく、どう解いていくかも知りたい」方のために書きました。
情報安全確保支援士(セキュスペ)まで見通した「本質的な正解力をゲットしたい」方は、私や担当してきた学生さんの仲間。ぜひぜひ読んでください。
なお、私は応用情報技術者試験の午後は88点、情報安全確保支援士の午後2を97点で合格しています。ITパスポートからずっと独学。スキル4高度資格は、SC, NW, DB, ESを取得。
血の通った解説を、魂込めて伝えます。
それでは、始めましょう!
過去問を一度解いてから読んでくださいね。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<
選択するか考える
問題文と設問文を見て選ぶか考えます。
まずは問題文。
最初の問題を解くまでに読む量が少ないか
ネットワーク図を一目見て理解できそうか
穴埋めや下線がどれくらいあるか
読む量を見積もる際は、図と表は抜いて考えます。
今回はわりと絶望。
穴埋めaが3頁目前半、図1と2を差し引いても1.5頁。図1のネットワークは複雑に見えますし、図2には見慣れない図が。
しかし。少し見るとそう複雑ではありません。
ネットワークは営業所は本社にIPsec通信、NPCも同じかな。プロキシ経由でQ社SaaS使うのかなと予測。図2もただの経路図。なんとかいけそう。
次は設問を見ます。
選択肢問題が多いか(完全解答は少ない方が良い)
記述で問われていることは(設定や理由など)
機器名を答える問題がほとんど。作文が1問あります(設問3-1)。仕組みさえ理解が正しければ得点はできそうです。
結論。私は解きますね。私は「セキュリティ・ネットワーク・データベースはなるべく解こう」と決めて対策してきたので。
図1を少し詳しく見て理解もできましたから。
営業所から本社にIPsecを使った暗号通信でアクセス
社内DNSサーバとDMZプロキシを経由してインターネット
Q社のサービスを利用してる
外出先NPC(ノートPC)でもIPsecを使って本社にアクセスかなぁ
図1がさっぱり分からない方は、解かない勇気を持っても良いかもしれません。ただしデータベースを解くか解かないかに依ります。「両方を解かない」だとさすがに得点源がキビシイですから。
設問1 |
全て、図1や2の用語をそのまま使います。実質、選択肢問題でした。
事前読み:
残念ながら今回は違いましたが、
「問題文を穴埋めまで頑張って読んで設問文を見たら、穴埋めより前に解けるのがあった。。。」なんて経験ないですか?
よって、1つめの設問文はチェックした方が良いです。この工夫は、文章が長くなる高度資格ほど有効になってきますよ。
問題文を読む目的を設定するために、設問文を読みます。
(1):パケットの送信先/送信元IPアドレスの件。ゴール/スタートそのままのことが多いので、素直に解けそう。
(2):外出先NPCから外部のWebサーバにアクセスする経路。IPsecで本社に暗号接続して、本社DMZのプロキシ経由じゃないかなぁと。
(3):FWのフィルタリングルール。オーソドックス。必要な通信を丁寧に把握すれば正解できそう。
読み:24ページ~
1パラグラフを見つつ、図1で機器の配置を確認します。
A:本社と営業所をVPN(IPsec)接続。良いですね。
B:情報共有ISサーバ。社内LANにあるのでOK。
C:メールは外部のMシステムを使う。悪くないです。
D:NPCからISサーバ・MシステムへはHTTPS暗号通信。良いですね。(経路は不明ですが)
特にISサーバは社内LANにありますが、HTTPS暗号通信で社内盗聴の対策にもなるので強固で良いです。
図1を見ます。
DNSサーバを内部/外部に分けてるの良い。
社内LANからインターネットへはプロキシ経由だろう。
営業所から本社にVPNした後、プロキシ経由だろう。
外出先NPCからはどんなアクセスなんだろう。VPN(IPsec)接続なんだろうか。
ネットワーク構成は予想の範囲内に収まります。
24頁後半。【P社のネットワーク機器の設定内容と動作】。
外部DNSにわざわざ「キャッシュサーバ機能」と書いてます。ポイズニングされるということでしょうか。怪しいなとマーキング。
プロキシサーバにわざわざ「利用者認証・URLフィルタリング・ログ」と書いてます。解答で使うかもなのでマーキング。
ISサーバには社内NPCのみ。外出先NPCはどうなのか不明。
外出先NPCもプロキシ経由でインターネットへ。プロキシまでの経路が不明。
図2。不明点が明らかになって欲しいですね。
外出先NPC→ルータ→FW→プロキシです。
外出先NPCからの通信プロトコルは何なのか
FWはインターネットからプロキシへのアクセスにどう許可を出しているのか
プロキシは外出先NPCを利用者認証しているのか(24頁後半、利用者認証が書かれてたのでたぶんOK)。
以上の疑問。1と2点目はまだ解決しません。
図2の時点で、(あ)に到達したので設問1(1)は解けますが、穴埋めa~cも次なので続けます。
26頁の表1。オーソドックスなFWルールでした。穴埋めa, b, cに到達したので、解きに入ります。
解き:設問1(1) |
正解は「送信先はプロキシサーバ、送信元は営業所NPC」。
ヘッダは荷物でいう伝票。伝票では、送り主と宛先の氏名・住所、全4個が記載されますよね。
データ通信も似てます。送信元と送信先(宛先)のIPアドレス・MACアドレス・ポート番号、全6個が記載されています。
送信元/送信先のMACアドレスはバシバシ変わります。「前の機器」と「次の機器」が記載されるので。
送信元/送信先IPアドレスは、あまり変わりません。特に送信先IPアドレスが変わるのは極稀です。送信先IPアドレスは通信のゴールなので、変わるとゴールが分からなくなりますからね。
さて、送信先IPアドレスはゴールなので「Mサービス」かなと思うのですが、少し難しい問題です。
プロキシサーバを経由したインターネットアクセスの場合は、ちょっと違います。
送信先IPアドレスはプロキシサーバで送る
プロキシサーバが改めてパケットを作り、Mサービスへ送る(送信元IP:プロキシ、送信先:Mサービス)
なお、NPCのゴール(MサービスのIPアドレス)は、プロキシへ送ったデータの内に記述されています。
送信先(宛先)IPアドレスが変わる珍しい例でした。不正解もやむなしです。
補強 | 通信経路での送信元と送信先の変化
送信元/送信先IPアドレス、MACアドレスを少し補強しますね。
通信パケットは、ネットワーク機器をバケツリレーします。
MACアドレスはバケツリレーの度にちょこちょこ変わります。IPアドレスは伝票の送り主と宛先(ゴール)なので、早々変わりません。
送信先IPアドレスが変わると、最終的に届けたい場所が分からなくなりますからね。
送信元IPアドレスが変わることはあります。
代表的なのは、プライベートIPアドレスとグローバルIPアドレスの変換が行われる場合。つまり、社内からインターネットへのアクセスです。
インターネットでの通信ではグローバルIPアドレス(申請が必要)を使います。ここではFWのIPアドレスとします。
送信元IPアドレスをグローバルIPアドレス(FW)に替えて、送信します。
しかしこのままだと、Webサーバからの返事を受けた時に、FWは「どのPCかな?」と分かりません。
そこで、送信元ポートも変えます。ここでは「ポート番号B」しますね。
ここから先は
【フルセット】応用情報技術者試験の全教材
R06春/R05秋に不合格になった方、過去問演習に取り組む方向けのNoteです。 AP午後の有料Noteはこのマガジンにまとめていきます。…
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ