【ネスペ】令和4年春午後1問3の解説(ネットワークスペシャリスト試験)
このNoteでは、ネットワークスペシャリスト試験 令和3年春午後1問3の解説をします。
今回は「午後力」があれば高得点を取れる問題でした。今までの応用情報やセキスペでの学習が定着していれば良いですね。逆に点数が取れなければ、今後も使える解答が身に着く問題でした。
午後問題は選択問題、1問が8割を超えると、もう1問が楽になりますよね。ぜひ高得点を狙える「午後力」を育てていきましょう。
なお、このNoteは私の独学合格体験とIT専門学校での授業経験を活かして作成しています。少しでも信用して頂けたら嬉しいです。
\私の3ヶ月の学習記録/
設問1(1) | プロキシ例外はセキスペ王道
設問1(1):業務サーバと営業支援サーバのFQDNを、プロキシ例外リストに登録する。
セキスペをかじった方は、必ず正解してください。「プロキシ例外(設定)」が必ず浮かぶはず。FQDNもセキスペ・ネスペを受験するなら、すんなり書けるようにしましょう。
PCのWebブラウザに、プロキシサーバを経由するよう設定している中、下線a「営業サーバと営業支援サーバへ~プロキシサーバを経由せず」としたいので、例外設定を追加する話。
解答には3語、「業務サーバ」「営業支援サーバ」「プロキシ例外」が入っていれば、正解にしてくれるでしょう。
私の解答は「業務サーバと営業支援サーバをプロキシ例外設定する」24文字。少し短いですが、たぶん大丈夫。FQDNの記述は、私は控えました。正解に必須ではない気がして。踏み込み過ぎて失点はしたくないので。
40文字制限に対して24文字なので少ないですがメタ読みすると、最初の問題なので「書きにくい」「色んな書き方があり得る」系だろうなと。ゲキムズだから文字数が多いケースは最初の問題ではないです。作問者視点として。
設問1(2) | DNSとDHCPの基礎
設問1(2):社内DNSサーバのIPアドレス
設問1(2):デフォルトゲートウェイのIPアドレス
DNSの方は必ず正解してください。「デフォルトゲートウェイ」は、PCのネットワーク設定をしたことがある方は、見たはず。
IPアドレスとサブネットマスクをDHCPサーバからゲットして、住所を得たんですが、実際に通信する時の相談役の設定も必要です。
利用者がwww.google.co.jpと入力したら、IPアドレスを調べるためにDNSサーバさんに相談します。だからDNSサーバのIPアドレス。
通信を始める時に最初にどこに送って、通信のバケツリレーを始めて良いか分かりません。分からない時に相談できるデフォルトゲートウェイさんのIPアドレスも知っておきたいです。
設問1(3) | FW設定(基本)
設問1(3)ア:外部DNSサーバ
設問1(3)ウ:公開Webサーバ
設問1(3)エ:プロキシサーバ
設問1(3)オ:any
設問1(3)カ:社内DNSサーバ
必ず全部正解してください。
ポート番号に注目するのが分かり易いですね。
ア:53番はDNSなので、DNSサーバ。外部からDMZへなので外部DNSサーバ
ウ:443番はHTTPSなのでWebサーバ。外部からDMZへなので公開Webサーバ
エ:80番はHTTP, 443番はHTTP。DMZから外部にでるのは利用者のWeb閲覧、を中継するプロキシサーバ。
オ:インターネットのどこか/どこでもなので、any。項番1や2の書き方を参考に。
カ:53番はDNS。しかもアは外部DNSサーバ。(ii)から社内DNSサーバとDMZサーバ達からの問い合わせは受ける旨。【カ】のある項番5は「内部LAN→DMZ」なので、【社内DNSサーバ】→外部DNSサーバ。
設問1(4) | ネスペならではのちょい深知識
設問1(4):UDP/53
難しいですね。
DNSはTCPもUDPも使えるプロトコルとのこと。仕様です。問われたからには、次回狩られるわけにはいきませんね。
私はギリ正解できました。考えた経緯を伝えますね。
TCP/53はDNSで既にあるなぁと。セキスペで良くあるのは「管理PCからSSHでアクセスする」なんですが、問題文を探してもないです。
とはいえ何かあるはず(か、自分の勉強不足)と思いつつ。わざわざTCP/xxと「TCP」を明記してるのが目について、UDP/53と解答。勘でSSHのTCP/22と書くよりは、UDP/53の方が芽がありそうだなと。
「ポート番号の指定は、TCPとUDPで2つできる(重複してOK)」と学びになりましたね。ちょいちょいセキスペでも目にしてたのが効きました。セキスペでもTCPやUDPを明記している場面があったんです。>セキスペ令和5春PMI問2解説
なお上図では、FTPの送信先ポート番号で20番を使っていない例。なぜだかは分かりますか? パッシブモードだからです。
>【ネスペ, セキスペ】FTPのNote
>セキスペ令和5春PMI問2解説
設問2(1) | セキスペとシナジー高い
設問2(1):STを取り出せないから
私の解答は「PCの鍵がないから、STを取り出せないから」21文字。オーバーなので「PC鍵なくてSTを取り出せない」15文字。
文字制限15がかなりキツイので、PC鍵を削って「STを取り出せないから」と模範解答と同じに落ち着きました。
⑦でSTを取り出すには、⑥のST(営業支援サーバ鍵、PC鍵で暗号化)を復号したいですが、PC鍵がありません。
ただ個人的には少し引っかかってます。そもそも⑤の通信ができない気がします。
②:盗聴してもPC鍵(PCとKDCだけが持っている)なしでは、TGTを取り出せない
⑤:TGTをKDCに提示できないので、ST発行要求ができない。
よって⑦まで到達しない気がします。考え落としがあったら、すみません。
なお、チケットの問題はFEで見ました。複雑ですよね。>基本情報技術者H22秋セキュリティの解説Note
設問2(2) | 消去法で削ってから考える
設問2(2):①, ②, ⑤, ⑥
分かる範囲で消去法して正解できました。
まず③④⑦⑧は「HTTP要求/応答」なので、HTTPの80番ポートを使うので削除。
残った①②⑤⑥がケルベロス認証に関係してるかを、問題文17頁で確認します。
17頁の①②はDSのKDCとの通信なのでケルベロス。17頁の⑤⑥もKDCとの通信なのでケルベロス。
私オリジナルの解説。
最後に迷いました。「ポート番号88が用いられる通信」の意味。送信元ポート番号とも送信先ポート番号とも書かれていないので。「送信先ポート番号が88を用いてる通信は?」などの問い方を良く見るので、変わった設問だなと感じました。
最終的には「用いられる」とは、送信元ポート番号として/送信先ポート番号として、の両方と判断しました。
設問2(3) | 複数サーバの王道
設問2(3):PCとサーバの間で時刻同期を行う
必ず正解してください。よくある王道解答で、色んな問で使えます。
PCとサーバで時刻ずれがあれば、有効期限の判断がお互いずれてしまうということ。自分の時計と会社の時計にずれがあって、遅刻判定されるようなものです。
チケットの有効期限なんて正直知らないから、下線cみたいに聞かれてもアワアワしますよね。「対応」って言葉もすごく難しいことしそうな雰囲気ですし。
もし時刻かなと思っても、NTPサーバの話題が一切でてきないので、良いのかなぁと不安にもなりました。
サーバたち、特に複数の機器からログを収集するケースでは、最初に時刻同期を考えてください。
設問3(1) | FQDNが出るようになろう
設問3(1):ケルベロス認証を行うサーバのFQDN
セキスペやネスペの勉強をしていれば、正解できる問題でした。
「SRVレコードを利用しない場合」なので、SRVレコードの役割を問題文から探します。
17頁末「サービス名からホスト名を取得できる」旨。図4では、一番左が「_Service_~」なのでサービス名かな、一番右のTargetがホスト名かなと推測できます。
SRVレコードを使わない時は、サービス名→ホスト名の紐づけができないので、ホスト名を直接知っておくしかないと結論。
ただし、ホスト名と思いつつ「naibulan.y-sha.jp.」とドメインまで書かれているので、正確にはFQDN、まで考え抜きます。
私の解答は「DS1とDS2のFQDN」12文字。
設問3(2) | 身に着いたセンス(常識)で考える
設問3(2):720
正解してください。
図5のTTL:43,200の単位が分かりませんよね。秒なのかミリ秒かもしれません。
設問文で「何分か」と問われているので、秒だと720分(12時間)、ミリ秒だと0.72分(短すぎ!)と考えて、720分の方と判断しました。
チケットの有効期限を12時間ぐらいに設定するんだな、と学びになりました。今後異常なTTL設定が出るかもしれませんから、と備えます。
設問3(3) | DNSラウンドロビンの具体設定
設問3(3):ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する。
DNSラウンドロビンは、登録されたアドレスに順番に振り分ける負荷分散の方式です。
図5より、Aレコードに「DS.naibulan.y-sha.jp.」とIPアドレスを紐づける行を複数行作っておけば、順番にアクセスを振り分けます。
図4と問題文より、DS1とDS2でPriorityが同じなので、Weightで比率が決まります。DS1とDS2に2:1で振り分けています。3回アクセスがあれば、2回をDS1・1回をDS2に。
よって、Aレコードに
DS.naibulan.y-sha.jp.→DS1のIPアドレス(add1)
DS.naibulan.y-sha.jp.→DS1のIPアドレス(add1)
DS.naibulan.y-sha.jp.→DS1のIPアドレス(add2)
と設定するんかなぁと推測できます。参考Web(KDDI様)
なお、AやMXレコードの具体的な書き方は、ネスペ・セキスペに必須なので学習しておいてくださいね。
>【ネスペ】DNSの午前1Note
>【ネスペ, セキスペ】DNSレコードのNote
作文が難しいですが「add1を二」「add2を一」は外せない言葉。50文字だから、作問者は解答に苦労することを想定してますね。
私の解答は「DS.naibulan.y-sha.jp.とadd1を二行・add2を一行紐づけて記述する」45文字。
DNSラウンドロビンで手軽に負荷分散できます。一方で各サーバの同期(同じデータにする)、通信継続性(前アクセスしたサーバと違うので)、転送先サーバの負荷状況への考慮の必要あり。参考Web(KDDI様)
まとめ
お疲れ様でした!
いつもは緑丸/橙三角/赤×ですが、違う色の丸も使いました。高度資格を勉強してきた方には正解して欲しい設問が多かったです。
これぐらいの危うさでもちょちょいと正解をゲットしていかねば、合格は無理です。もっとノーヒント・理不尽な飛び道具問題・知らないと即4問題がありますからね。
知らなくても「あれだろうな」とアタリがつけば、学習効果は充分でています。逆に不正解が多いと、まだまだ問題演習経験が足りてません。今後もネスペ・セキスペに限らず、あらゆる学習経験を総動員して解いていってくださいね。でわでわ。
\私の3ヶ月の学習記録/
いいなと思ったら応援しよう!
