【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3 No.1】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3(一部、加工あり)】

問3 シングルサインオンの導入に関する次の記述を読んで、設問1〜3に答えよ。

 Y社は、医療機器販売会社であり、都内に本社を備えている。受発注業務システムのサーバ(以下、業務サーバという)、営業活動支援システムのサーバ(以下、営業支援サーバという)など、複数のサーバを本社で運用している。
 Y社では、IT活用の推進によって社員が利用するシステムが増加した結果、パスワードの使い回しが広がり、セキュリティリスクが増大した。また、サーバの運用を担当する情報システム部(以下、情シスという)では、アカウント情報の管理作業が増大したことから、アカウント情報管理の一元化が課題になった。
 このような状況から、Y社は、社内のシステムへのシングルサインオン(以下、SSOという)の導入を決定した。情シスのZ課長は、SSOの導入検討を部下のX主任に指示した。

[ネットワーク構成及び機器の設定と利用形態]
 最初に、X主任は、本社のネットワーク構成及び機器の設定と利用形態をまとめた。X主任が作成した本社のネットワーク構成を図1に示す。

 現状の機器の設定と利用形態を次に示す。

  1. 社内DNSサーバは、内部LANのゾーン情報を管理し、内部LAN以外のゾーンのホストの名前解決要求は、外部DNSサーバに転送する。
  2. 外部DNSサーバは、DNZのゾーン情報の管理及びフルサービスリゾルバの機能をもっている。外部DNSサーバは、社外からの再帰問合せ要求は受け付けない。一方、社内DNSサーバ及びDMZのサーバからの再帰問合せ要求は受け付け、再帰問合せ時には、送信元ポート番号のランダム化を行う。
  3. PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、(a)業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う
  4. PCのスタブリゾルバは、社内DNSサーバで名前解決を行う。
  5. PC、サーバセグメントとDNZのサーバでは、マルウェア対策ソフトが稼働している。マルウェア定義ファイルの更新は、プロキシサーバ経由で行う。
  6. (b)PCには、L3SWで稼働するDHCPサーバから、PCのIPアドレス、サブネットマスク及びその他のネットワーク情報が付与される

 図1中のFWに設定されている通信を許可するルールを表1に示す。

 次に、X主任は、アカウント情報の一元管理をDSによって行い、DSの情報を利用してSSOを実現することを考え、ケルベロス認証によるSSOについて検討した。

下線(a)の動作を行うために、PCのプロキシ設定で登録すべき内容について、40字以内で述べよ。:業務サーバと営業支援サーバのFQDNを、プロキシ除外リストに登録する。

PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、(a)業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う
 PCがあるPCセグメントと業務サーバ及び営業支援サーバのサーバセグメントは内部LANであり、L3SWを介して通信します。
 プロキシサーバはDMZにあり、PCから業務サーバ及び営業支援サーバへの通信をプロキシサーバ経由にすると、FWでDMZ→内部LANへの通信を許可する必要があり、セキュリティリスクが高くなってしまいます。
 したがって、この通信はプロキシサーバを経由しないようにしたのでしょう。
 具体的には、PCのプロキシ設定でプロキシサーバを使用しないエントリとして、当該サーバのFQDNをプロキシ除外リストに登録します。

下線(b)について、3〜5の実行を可能とするための、その他のネットワーク情報を二つ答えよ。:社内DNSサーバのIPアドレス/デフォルトゲートウェイのIPアドレス

(b)PCには、L3SWで稼働するDHCPサーバから、PCのIPアドレス、サブネットマスク及びその他のネットワーク情報が付与される
 PCに設定するネットワーク情報としては、上記のPC自身のIPアドレス、サブネットマスク以外に、デフォルトゲートウェイ、DNSサーバのIPアドレスが必要です。
 3の「業務サーバ及び営業支援サーバへのアクセス」には、別セグメントのためL3SW経由となりデフォルトゲートウェイと、名前解決のため社内DNSサーバのIPアドレスが必要です。
 4の「社内DNSサーバで名前解決」には、社内DNSサーバのIPアドレスと、別セグメントのためデフォルトゲートウェイのIPアドレスが必要です。
 5の「プロキシサーバ経由で行う」には、PCに設定されているプロキシサーバのFQDNの名前解決のため、社内DNSサーバのIPアドレスと、別セグメントのためデフォルトゲートウェイのIPアドレスが必要です。

ア:外部DNSサーバ、イ:UDP/53、ウ:公開Webサーバ、エ:プロキシサーバ、オ:any、カ:社内DNSサーバ

  • 項番1
    インターネット→DMZの経路で、DMZ上の機器でTCP/53を使うサーバは外部DNSサーバです。
    また、DNSではTCP/53とUDP/53を使います。
    主に使われるのはUDP/53の方ですが、ゾーン転送やDNS応答が512バイトを超える場合にはTCP/53が使われます。
  • 項番2
    同じくDMZ上の機器でTCP/443を使うサーバは公開Webサーバです。
  • 項番4
    DMZ→インターネットの経路で、TCP/80(HTTP)、TCP/443(HTTPS)の通信としては、プロキシサーバからインターネット上のサーバ(any)向けの通信が該当します。
  • 項番5
    内部LAN→DMZの経路で、外部DNSサーバ向けの通信としては、「社内DNSサーバは、内部LANのゾーン情報を管理し、内部LAN以外のゾーンのホストの名前解決要求は、外部DNSサーバに転送する」とあるように、社内DNSサーバからの名前解決を転送(フォワード)が該当します。