サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1 No.3】

ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1(一部、加工あり)】

[テレワーク環境構成の検討]
 P主任は、ネットワーク構築ベンダQ社の担当者に相談して、Q社の製品を利用したテレワーク環境の構成を検討した。P主任が考えたテレワーク環境を図2に示す。また、図2の主要な構成要素の説明を表1に示す。

 SSL-VPN装置の⑨ユーザテーブルは、SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり、仮想PCの起動時に自動設定される。
 SSL-VPN装置のNATテーブルは、SSL-VPNクライアントからの通信を適切な仮想PCに振り向けるためのテーブルである。SSL-VPN装置がSSL-VPNトンネルからVIP宛てのパケットを受けると、適切な仮想PCのIPアドレスにDNAT処理して送る。この処理のためにNATテーブルがあり、SSL-VPNで認証処理中にエントリが作成される。
 IPアドレステーブルは、SSL-VPNクライアントに付与するIPアドレスのためのアドレスプールであり、172.16.3.1〜172.16.3.254を設定する。
 P主任が考えた、図2のテレワーク環境のVDIクライアントから仮想PCまでの接続シーケンスを図3に示す。

 図3の動作の概要を次に示す。

  1. 個人PCでSSL-VPNクライアントとVDIクライアントを起動する。
  2. SSL-VPNクライアントは、SSL-VPN装置に対するアクセスを開始する。
  3. SSL-VPN装置は、クライアント証明書による認証を行う。
  4. SSL-VPNクライアントとSSL-VPN装置間に、TLSセッションが確立される。このTLSセッションはSSL-VPNトンネルとして利用する。
  5. SSL-VPN装置は、SSL-VPNクライアントに割り当てるIPアドレスを管理するためのIPアドレスプールからIPアドレスを割り当て、SSL-VPNクライアントに通知する。この割り当てられたIPアドレスを、クライアントIPという。
  6. SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。
  7. SSL-VPNクライアントは、localhost:3389の待ち受けを開始する。
  8. VDIクライアントは、localhost:3389へTCP接続を行う。
  9. SSL-VPNクライアントは、SSL-VPNトンネルを通じて、VIPの3389番ポートへ向けてのTCP接続を開始する。
  10. SSL-VPN装置は、VIPに届いた一連のパケットをDNAT処理して仮想PCに転送する。これによって、SSL-VPNクライアントと仮想PCの間にTCP接続が確立する(以下、この接続をリモート接続という)。
  11. SSL-VPNクライアントは、localhost:3389とリモート接続の間のデータ中継を行う。

 上記の1〜11によって、VDIクライアントから仮想PCまでの接続が確立し、個人PCから仮想PCのデスクトップ環境が利用可能になる。

下線⑨について、ユーザテーブルに含まれる情報を40字以内で答えよ。:VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組

SSL-VPN装置の⑨ユーザテーブルは、SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり、仮想PCの起動時に自動設定される。
 ユーザテーブルという名前と、「仮想PCの起動時に自動設定される」とのことから、それぞれのユーザ毎に仮想PCに関する一意の情報が含まれていることを想定して、問題文でヒントになりそうなところを確認します。
 まずは、前の問題文で、「個人PCからSSL-VPN装置に接続を行う時に利用者のクライアント証明書がSSL-VPN装置に送られ、③SSL-VPN装置はクライアント証明書を基にして接続元の身元特定を行う。K社においては、社員番号を利用者IDとしてクライアント証明書に含めることにする。」とあり、利用者IDがユーザを特定するパラメータになりそうです。
 そして、このユーザ毎に定義されるものとしては「SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。」から、仮想PCのIPアドレスであることが分かります。
 したがって、ユーザテーブルに含まれる情報としては「利用者IDと仮想PCのIPアドレスの組」(19字)となりますが、40字に近づけるため「VDI利用者の利用者ID」「その利用者の仮想PCのIPアドレス」と修飾してあげます。(少し煩わしいですが、字数合わせも重要です)

下線⑩について、検索のキーとなる情報はどこから得られるどの情報か。25字以内で答えよ。また、SSL-VPN装置は、その情報をどのタイミングで得るか。図3中の(Ⅰ)〜(Ⅹ)の記号で答えよ。:(情報)クライアント証明書から得られる利用者ID情報、(タイミング)

SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。
 前の設問からユーザテーブルには利用者IDと仮想PCのIPアドレスの組があるため、検索キーとしては利用者IDとなることが分かるでしょう。
 そしてこの利用者IDは、これも前の設問で示したように、利用者IDはクライアント証明書から得ることができます。
 具体的には、クライアント証明書のフィールド「subject(主体者)」にあるCN(Common Name)が証明対象を識別する情報、つまり利用者IDとなります。
 そして、SSL-VPN装置がクライアント証明書を受け取るのは(Ⅷ)「certificate」です。

モバイルバージョンを終了