【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1 No.2】

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1（一部、加工あり）】

[配信方式の見直し]
 D社は、ゲームファイルの大容量化と利用者のグローバル化に伴い、ゲームファイルの配信をコンテンツ配信ネットワーク（以下、CDNという）事業者のE社のサービスで行うことにした。
 E社CDNは、多数のキャッシュサーバを設置する配信拠点（以下、POPという）を複数もち、その中から、ゲーム端末のインターネット上の所在地に対して最適なPOPを配信元としてコンテンツを配信する。
 あるPOPが端末からアクセスを受けると、POP内でLBがキャッシュサーバにアクセスを振り分ける。E社CDNのキャッシュサーバにコンテンツが存在しない場合は、D社データセンターの配信サーバからE社CDNのキャッシュサーバにコンテンツが同期される。
 配信方式の見直しプロジェクトはXさんが担当することになった。Xさんは、E社が提供しているBGP anycast方式のPOP選択方法を調査した。XさんがE社からヒアリングした内容は次のとおりである。
 E社BGP anycast方式では、同じアドレスブロックを同じAS番号を用いてシンガポールPOP及び東京POPの両方からBGPで経路広告する。シンガポールPOPと東京POPの間は直接接続されていない。ゲーム端末が接続するISPでは、E社ASの経路情報を複数の隣接したASから受信する。どの経路情報を採用するかはBGPの経路選択アルゴリズムで決定される。ゲーム端末からのHTTPSリクエストのパケットは、決定された経路で隣接のASに転送される。
 BGP anyast方式によるE社の経路広告イメージを図2に示す。

 図2でIXは、レイヤー2ネットワーク相互接続点であり、接続された隣接のAS同士がBGPで直接接続することができる。
 BGPでの経路選択では、LP（LOCAL_PREF）属性については値が（ウ）経路を優先し、MED（MULTI_EXIT_DISC）属性については値が（エ）経路を優先する。E社では、LP属性とMED属性が経路選択に影響を及ぼさないように設定している。これによって②E社のあるPOPからゲーム端末へのトラフィックの経路は、そのPOPのBGPルータが受け取るAS Path長によって選択される。
 Xさんは、BGPのセキュリティ対策として何を行っているか、E社の担当者に確認した。E社BGPルータは、③隣接ASのBGPルータとMD5認証のための共通のパスワードを設定していると説明を受けた。また、④アドレスブロックやAS番号を偽った不正な経路情報を受け取らないための経路フィルタリングを行っていると説明があった。

ウ：大きい、エ：小さい

「BGPでの経路選択では、LP（LOCAL_PREF）属性については値が（ウ）経路を優先し、MED（MULTI_EXIT_DISC）属性については値が（エ）経路を優先する。」
 BGP（Border Gateway Protocol）は、パスベクタ型アルゴリズムで、パス（経路）とベクトル（方向）で経路を決定します。
 経路には優先度や経由したAS番号などの情報が記載されており、これらはパスアトリビュート（パスの属性）として以下のようなものがあります。

• AS_PATH：経由したAS番号の並びを示し、長さが最も短い経路情報を選択する
• NEXT_HOP：宛先ネットワークアドレスへのネクストホップのIPアドレスを示し、最も小さい経路情報を選択する
• MED：eBGPピアに対して通知する、自身のAS内に存在する宛先ネットワークアドレスの優先度を示し、最も小さい経路情報を選択する
• LOCAL_PREF：iBGPに対して通知する、外部のASに存在する宛先ネットワークアドレスの優先度を示し、最も大きい経路情報を選択する。

下線②について、図2でAS-E東京POPにAS-GからのHTTPSリクエストのパケットが届く場合、E社トラフィックはどちらの経路から配信されるか。途中通過する場所を、図2中の字句で答えよ。ここで、AS Path長以外は経路選択に影響せず、途中に無効な経路や経路フィルタリングはないものとする。：IX

「E社では、LP属性とMED属性が経路選択に影響を及ぼさないように設定している。これによって②E社のあるPOPからゲーム端末へのトラフィックの経路は、そのPOPのBGPルータが受け取るAS Path長によって選択される。」
 設問の「E社トラフィックはどちらの経路から配信されるか」は、具体的には、E社トラフィックというのはAS-E東京POPからでAS-F経由かIX経由の二つの経路のどちらになるかということであり、その経路選択にはAS Path長のみによって決定されます。

 前の設問で示したように、パスアトリビュートのAS_PATHは経由したAS番号の並びを示し、長さが最も短い経路情報を選択します。
 図2を見れば、AS-F経由の場合はAS Path長は「2」（AS-FとAS-G）であることが分かります。
 ここで、トランジットISPとIXの違いは、両者とも他のASとの物理的な接続を確保するための事業者サービスであり、トランジットISPではAS番号を持ちますが、IXではAS番号を持ちません。（料金はトランジットISPの方が高額）
 したがって、IX経由の場合はAS Path長は「1」（AS-G）となり、IX経由の方が選択されます。

下線③の設定をすることで何を防いでいるか。”BGP”という字句を用いて10字以内で答えよ。：不正なBGP接続

「E社BGPルータは、③隣接ASのBGPルータとMD5認証のための共通のパスワードを設定していると説明を受けた。」
 BGPでは、ルータ間で経路情報交換を行うためにピアリングと呼ばれる論理的な接続（TCPの179番ポート）を構築します。
 BGPで交換されるの情報はメッセージと呼ばれ、OPEN（BGP接続開始時に交換する自AS番号、BGPID、バージョンなど）、UPDATE（経路情報の交換）、KEEPALIVE（BGP接続の確立、維持）などがあります。
 そして、これらのメッセージを交換する際に、メッセージにMD5で作成した署名を付与することで、メッセージを認証して、不正なBGP接続を防ぐことができます。
 この際、送信側と受信側で共通のパスワードを使って、署名の作成、検証を行います。

下線④について、フィルタリングせずに不正な経路を受け取った場合に、コンテンツ配信に与える悪影響を”不正な経路”という字句を用いて40字以内で答えよ。：不正な経路に含まれるアドレスブロックへのコンテンツ配信ができなくなる。

「また、④アドレスブロックやAS番号を偽った不正な経路情報を受け取らないための経路フィルタリングを行っていると説明があった。」
 コンテンツ配信の通信の流れを再確認すると、「E社CDNは、多数のキャッシュサーバを設置する配信拠点（以下、POPという）を複数もち、その中から、ゲーム端末のインターネット上の所在地に対して最適なPOPを配信元としてコンテンツを配信する。」とあるように、E社CDNがゲーム端末の経路に対してコンテンツを配信します。
 E社CDN側からの視点ではこのゲーム端末の経路は正しいことが前提ですが、同じ経路を偽った不正な経路を受け取った場合には、その経路を優先し、ゲーム端末へのコンテンツ配信ができなくなることが想定されます。
 また、ゲーム端末側からの視点でE社CDNの経路が不正な経路に上書きされた場合、E社CDNへのアクセスができなくなります。
 ここで問われているのはE社での対策の有無による影響なので、前者が該当するでしょう。
 なお、IPAの採点講評に「BGP運用に必要なIRR（Internet Routing Registry）や経路ハイジャック対策についての知識を是非身につけておいてほしい。」とあります。
 IRRはJPNICなどが提供しているAS番号とアドレスブロックのデータベースのことで、これらを利用して経路フィルタリングを行い、経路ハイジャックへの対策とすることを理解しましょう。