ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3
【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3(一部、加工あり)】
問3 シングルサインオンの導入に関する次の記述を読んで、設問1〜3に答えよ。
Y社は、医療機器販売会社であり、都内に本社を備えている。受発注業務システムのサーバ(以下、業務サーバという)、営業活動支援システムのサーバ(以下、営業支援サーバという)など、複数のサーバを本社で運用している。
Y社では、IT活用の推進によって社員が利用するシステムが増加した結果、パスワードの使い回しが広がり、セキュリティリスクが増大した。また、サーバの運用を担当する情報システム部(以下、情シスという)では、アカウント情報の管理作業が増大したことから、アカウント情報管理の一元化が課題になった。
このような状況から、Y社は、社内のシステムへのシングルサインオン(以下、SSOという)の導入を決定した。情シスのZ課長は、SSOの導入検討を部下のX主任に指示した。
[ネットワーク構成及び機器の設定と利用形態]
最初に、X主任は、本社のネットワーク構成及び機器の設定と利用形態をまとめた。X主任が作成した本社のネットワーク構成を図1に示す。
現状の機器の設定と利用形態を次に示す。
- 社内DNSサーバは、内部LANのゾーン情報を管理し、内部LAN以外のゾーンのホストの名前解決要求は、外部DNSサーバに転送する。
- 外部DNSサーバは、DNZのゾーン情報の管理及びフルサービスリゾルバの機能をもっている。外部DNSサーバは、社外からの再帰問合せ要求は受け付けない。一方、社内DNSサーバ及びDMZのサーバからの再帰問合せ要求は受け付け、再帰問合せ時には、送信元ポート番号のランダム化を行う。
- PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、(a)業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う。
- PCのスタブリゾルバは、社内DNSサーバで名前解決を行う。
- PC、サーバセグメントとDNZのサーバでは、マルウェア対策ソフトが稼働している。マルウェア定義ファイルの更新は、プロキシサーバ経由で行う。
- (b)PCには、L3SWで稼働するDHCPサーバから、PCのIPアドレス、サブネットマスク及びその他のネットワーク情報が付与される。
図1中のFWに設定されている通信を許可するルールを表1に示す。
次に、X主任は、アカウント情報の一元管理をDSによって行い、DSの情報を利用してSSOを実現することを考え、ケルベロス認証によるSSOについて検討した。
下線(a)の動作を行うために、PCのプロキシ設定で登録すべき内容について、40字以内で述べよ。:業務サーバと営業支援サーバのFQDNを、プロキシ除外リストに登録する。
「PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、(a)業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う。」
PCがあるPCセグメントと業務サーバ及び営業支援サーバのサーバセグメントは内部LANであり、L3SWを介して通信します。
プロキシサーバはDMZにあり、PCから業務サーバ及び営業支援サーバへの通信をプロキシサーバ経由にすると、FWでDMZ→内部LANへの通信を許可する必要があり、セキュリティリスクが高くなってしまいます。
したがって、この通信はプロキシサーバを経由しないようにしたのでしょう。
具体的には、PCのプロキシ設定でプロキシサーバを使用しないエントリとして、当該サーバのFQDNをプロキシ除外リストに登録します。
下線(b)について、3〜5の実行を可能とするための、その他のネットワーク情報を二つ答えよ。:社内DNSサーバのIPアドレス/デフォルトゲートウェイのIPアドレス
「(b)PCには、L3SWで稼働するDHCPサーバから、PCのIPアドレス、サブネットマスク及びその他のネットワーク情報が付与される。」
PCに設定するネットワーク情報としては、上記のPC自身のIPアドレス、サブネットマスク以外に、デフォルトゲートウェイ、DNSサーバのIPアドレスが必要です。
3の「業務サーバ及び営業支援サーバへのアクセス」には、別セグメントのためL3SW経由となりデフォルトゲートウェイと、名前解決のため社内DNSサーバのIPアドレスが必要です。
4の「社内DNSサーバで名前解決」には、社内DNSサーバのIPアドレスと、別セグメントのためデフォルトゲートウェイのIPアドレスが必要です。
5の「プロキシサーバ経由で行う」には、PCに設定されているプロキシサーバのFQDNの名前解決のため、社内DNSサーバのIPアドレスと、別セグメントのためデフォルトゲートウェイのIPアドレスが必要です。
ア:外部DNSサーバ、イ:UDP/53、ウ:公開Webサーバ、エ:プロキシサーバ、オ:any、カ:社内DNSサーバ
- 項番1
インターネット→DMZの経路で、DMZ上の機器でTCP/53を使うサーバは外部DNSサーバです。
また、DNSではTCP/53とUDP/53を使います。
主に使われるのはUDP/53の方ですが、ゾーン転送やDNS応答が512バイトを超える場合にはTCP/53が使われます。 - 項番2
同じくDMZ上の機器でTCP/443を使うサーバは公開Webサーバです。 - 項番4
DMZ→インターネットの経路で、TCP/80(HTTP)、TCP/443(HTTPS)の通信としては、プロキシサーバからインターネット上のサーバ(any)向けの通信が該当します。 - 項番5
内部LAN→DMZの経路で、外部DNSサーバ向けの通信としては、「社内DNSサーバは、内部LANのゾーン情報を管理し、内部LAN以外のゾーンのホストの名前解決要求は、外部DNSサーバに転送する」とあるように、社内DNSサーバからの名前解決を転送(フォワード)が該当します。