【ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2 No.2】

ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2

【出典:ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2(一部、加工あり)】

[ECサイトの応答速度の低下]
 最近、購買担当者から、ECサイト利用時の応答が遅くなったというクレームが入るようになった。そこで、Y社の情報システム部(以下、情シスという)のネットワークチームのX主任は、運用PCを使用して次の手順で原因究明を行った。
⑴購買担当者と同じURLでアクセスし、応答が遅いことを確認した。
⑵ecsv.example.jp及びecsv.y-sha.example.lan宛てに、それぞれpingコマンドを発行して応答時間が測定したところ、両者の測定結果に大きな違いはなかった。
⑶FWzのログからはサイバー攻撃の兆候は検出されなかった。
⑷ sshコマンドで①ecsv.y-sha.example.lanにアクセスしてCPU使用率を調べたところ、設計値を大きく超えていた。

 この結果から、X主任は、ECサーバが処理能力不足になったと判断した。

URLをhttps://ecsv.y-sha.example.lan/に設定してECサーバにアクセスすると、TLSのハンドシェイク中にエラーメッセージがWebブラウザに表示される。その理由を、サーバ証明書のコモン名に着目して、25字以内で答えよ。:コモン名とURLのドメインが異なるから

 TLSのハンドシェイクとは、httpsで始まるURLでアクセスする際にセキュリティを確保するため、暗号化と証明書による通信相手の認証を行うやり取りのことです。
 サーバの認証を行うのがサーバ証明書ですが、サーバ証明書については、「ECサーバに登録されているサーバ証明書は一つであり、マルチドメインには対応していない。」とありました。
 マルチドメインに関連して、ドメインについては「DMZのDNSサーバは、ECサイトのインターネット向けドメインexample.jpと、社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する。」とあるように、「example.jp」と「y-sha.example.lan」の二つありました。
 一つのサーバ証明書で二つのドメインに対応するのがマルチドメインですが、対応していない場合はどちらかのドメインへのアクセス時にセキュリティ警告のエラーメッセージが表示されます。
 そして、「.lan」はインターネット経由では使用できないドメインであり認証局からの証明書発行はできないため、「example.jp」に対するサーバ証明書が発行され、「y-sha.example.lan」へのアクセスにエラーメッセージが表示されることになります。
 なお、コモン名とはサーバ証明書でCN(Common Name)として登録されている値で、今回の場合は「ecsv.example.jp」になります。
 TLSの認証では、アクセスしてくるFQDNとCNが一致するかどうかで、正規のサーバかどうかを確認します。
 https://ecsv.y-sha.example.lan/のFQDN「ecsv.y-sha.example.lan」と、コモンネームが異なるためエラーメッセージが表示されることになります。

下線①でアクセスしたとき、運用PCが送信したパケットがECサーバに届くまでに経由する機器を、図1中の機器名で全て答えよ。:L3SW、FWz、L2SW

sshコマンドで①ecsv.y-sha.example.lanにアクセスしてCPU使用率を調べたところ、設計値を大きく超えていた。
 運用PCから「ecsv.y-sha.example.lan」(ECサーバ)にアクセスするルートを確認します。

 図1のとおり、インターネット経由と広域イーサ網経由の二つがあります。
 問題文の関連する記述を探すと、「運用担当者は、運用PCのWebブラウザでhttps://ecsv.y-sha.example.lan/を指定して、広域イーサ網経由でECサーバにアクセスする。」「L3SWには、DMZへの経路とデフォルトルートが設定されている。」などの記述があり、広域イーサ網経由である運用PC→L3SW→FWz→L2SW→ECサーバであることが分かります。