サイトアイコン やさしいネットワークとセキュリティ

ネットワークの障害分析と対策【基本情報技術者試験 平成30年度 秋期 午後 問4(ネットワーク)】

基本情報技術者試験 平成30年度 秋期 午後 問4(ネットワーク)

問4 ネットワークの障害分析と対策に関する次の記述を読んで、設問に答えよ。

 G社は、ソフトウェア開発会社である。G社のネットワーク構成を図1に示す。

(1)図1中の各セグメントには、図に記された機器を含む複数の機器が配置されており、各機器はセグメントごとに用意されたスイッチにLANケーブルで接続されている。

(2)社員は、事務作業を事務セグメント内のPCを使用して行い、ソフトウェア開発作業を開発プロジェクトごとに設けられた開発セグメント内のPCを使用して行う。現在、開発セグメントは、開発セグメント1から開発セグメント10まである。

(3)事務セグメント内のPCは、リモードデスクトップ(手元のPCをクライアントとして、他のPCをGUIで遠隔操作する技術であり、操作される側がサーバになる)のクライアント機能(以下、リモートデスクトップ機能という)又はSSHを用いて、開発セグメント内のPCを遠隔操作できる。

(4)開発セグメント内のPCは、事務セグメント内のファイルサーバにアクセスできる。

(5)事務セグメント内のPCからインターネット上に公開されたWebサイトを閲覧する際には、DMZセグメント内のプロキシサーバを経由する。

(6)ルータBは、内蔵のパケットフィルタ型のファイアウォール機能によってセグメント間の通信の可否を制御しており、上記(3)〜(5)に必要な通信だけを許可している。ルータBのファイアウォール機能は、送信元ネットワークから、宛先ネットワークの指定したポート番号への通信の可否を制御するものであって、許可した通信の応答パケットの通過も許可する。

【障害の発生】

 ある日、”事務セグメント内のPC B-1から、リモートデスクトップ機能を用いて、開発セグメント1内のPC 1-1を遠隔操作しようとしたが、接続できなかった”と報告があったので、障害箇所を特定するために原因の切分けを行った。

 初めに、事務セグメント内のPC B-2から、PC 1-1にリモートデスクトップ機能を用いて接続を試みたが、失敗した。

 次に、PC B-1からSSHを用いてログインした開発セグメント1内のPC 1-2でpingコマンドを実行し、PC 1-1から応答が返ってくることを確認した。

 これらのことから、障害の原因として(a:PC 1-1のソフトウェア)や(b:設定を含むルータBのソフトウェア)の不具合が考えられたので、これらに不具合があるかどうかを調査して、原因を特定した。

a、bに関する解答群

ア PC 1-1のLANポート イ PC 1-1のソフトウェア ウ スイッチ1

エ スイッチB オ 設定を含むルータBのソフトウェア カ ルータBのLANポート

a:PC 1-1のソフトウェア、b:設定を含むルータBのソフトウェア

解答群をそれぞれ確認していきます。

【セグメントの追加】

 新しい開発プロジェクトの立上げに伴い、開発セグメント11をネットワークに追加した。開発セグメント11は、開発セグメント1〜10と同様にスイッチ11でルータBと接続する。ルータBのファイアウォールに追加した設定を表1に示す。ところが、表1の設定には誤りがあり、開発セグメント11に接続されたPCに関して、(c:当該PCから事務セグメント内のファイルサーバにアクセスできない)ことが分かった。

 事務セグメントと開発セグメント11のネットワークアドレスは、表2のとおりである。

cに関する解答群

ア 事務セグメント内のPCからSSHを用いて当該PCを遠隔操作できない

イ 事務セグメント内のPCからリモートデスクトップ機能を用いて当該PCを遠隔操作できない

ウ 当該PCから事務セグメント内のファイルサーバにアクセスできない 

c:当該PCから事務セグメント内のファイルサーバにアクセスできない

事務セグメントと開発セグメント間の通信要件については、本文に「事務セグメント内のPCは、リモートデスクトップ機能又はSSHを用いて、開発セグメント内のPCを遠隔操作できる。」「開発セグメント内のPCは、事務セグメント内のファイルサーバにアクセスできる。」とあります。

これを表1のファイアウォールの設定と照合するには、ポート番号(サービス)を参考にするのは早そうです。

すると、1行目のファイルサーバへのアクセスに関するルールで、事務セグメントから開発セグメント11への通信を許可するようになっており、方向が逆であることが分かります。

したがって、この設定では開発セグメント11から事務セグメント内のファイルサーバにアクセスできないことになります。

【障害発生の予防】

 現在のネットワーク構成では、社内のセグメント間の全ての通信がルータBを経由するので、ルータBの過負荷によって社内ネットワークに障害が発生することが懸念される。そこで、ルータCを増設することによって負荷を分散させることとし、増設後の構成として構成案1と構成案2の二つを検討した。

 構成案1及び構成案2における、ルータとスイッチの接続形態を図2に示す。

 構成案1では、セグメントごとにルータBかルータCのどちらかのルータを使用するように設定することによって、負荷を分散させる。このとき、ルータの冗長化技術を用いて、一方のルータに障害が発生したときは、もう一方のルータが使用されるように構成する。

 構成案2では、ルータBとルータCの役割を分けることによって、負荷を分散させる。ルータCに、事務セグメントと開発セグメントの間の通信を中継する役割をもたせる。

 G社では(d:可用性を高められる)ことや(e:ルータBとルータCの負荷に大きな差が生じないように調整できる)ことを重視して、構成案1を採用することにした。

d、eに関する解答群

ア 可用性を高められる

イ 機密性を高められる

ウ 障害発生時に原因を特定しやすい

エ セグメント間で通信する際に経由する機器が少なくなる

オ ルータB、Cとスイッチ間をつなぐLANケーブルの本数が少なくて済む

カ ルータBとルータCの負荷に大きな差が生じないように調整できる

【出典:基本情報技術者試験 平成30年度 秋期 午後 問4(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_fe_pm_qs.pdf

d:可用性を高められる、e:ルータBとルータCの負荷に大きな差が生じないように調整できる

解答群をそれぞれ確認していきます。

モバイルバージョンを終了