ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3(一部、加工あり)】
問3 ローカルブレイクアウトによる負荷軽減に関する次の記述を読んで、設問に答えよ。
A社は、従業員300人の建築デザイン会社である。東京本社のほか、大阪、名古屋、仙台、福岡の4か所の支社を構えている。本社には100名、各支社には50名の従業員が勤務している。
A社は、インターネット上のC社のSaaS(以下、C社SaaSという)を積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは、C社SaaS宛ての通信がHTTPSであることから、ネットワークの負荷軽減を目的に、各支社のPCからC社SaaS宛ての通信を、本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする、ローカルブレイクアウトについて検討することにした。
[現在のA社のネットワーク構成]
現在のA社のネットワーク構成を図1に示す。
現在のA社のネットワーク構成の概要を次に示す。
- 本社及び各支社はIPsec VPN機能をもつUTMでインターネットに接続している。
- プロキシサーバは、従業員が利用するPCのHTTP通信、HTTPS通信をそれぞれ中継する。プロキシサーバではセキュリティ対策として各種ログを取得している。
- DMZや内部ネットワークではプライベートIPアドレスを利用している。
- PCには、DHCPを利用してIPアドレスの割当てを行っている。
- PCが利用するサーバは、全て本社のDMZに設置されている。
- A社からインターネット向けの通信については、本社のUTMでNAPTによるIPアドレスとポート番号の変換をしている。
[現在のA社のVPN構成]
A社は、UTMのIPsec VPN機能を利用して、本社をハブ、各支社をスポークとする(ア)型のVPNを構成している。本社と各支社との間のVPNは、IP in IPトンネリング(以下、IP-IPという)でカプセル化し、さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し、2拠点間をトンネル接続している。①本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。②この鍵はペアごとに異なる値が設定されている。
③IPsecの通信モードには、トランスポートモードとトンネルモードがあるが、A社のVPNではトランスポートモードを利用している。
A社のVPNを構成するIPパケット構造を図2に示す。
VPNを構成するために、本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。④IP-IP over IPsecインタフェースでは、IP Unnumbered設定が行われている。また、⑤IP-IP over IPsecインタフェースでは、中継するTCPパケットのIPフラグメントを防止するための設定が行われている。
ア:ハブアンドスポーク
「A社は、UTMのIPsec VPN機能を利用して、本社をハブ、各支社をスポークとする(ア)型のVPNを構成している。」
ハブ、スポークとあるので簡単ですね。
ハブアンドスポーク型では、ハブとなる本社を中心にスポークである各支社を接続します。
これに対し、フルメッシュ型の場合には本社、各支店がそれぞれ接続する構成となります。
フルメッシュ型では支店間の通信は直接行いますが、ハブアンドスポーク型では支店間の通信も本社を経由して行います。
下線①について、本社のUTMと支社のUTMのペアで共有する鍵を何と呼ぶか答えよ。:事前共有鍵
「①本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。」
暗号化のための同じ鍵を共有とくれば、事前共有鍵です。
下線②について、鍵は全て同じではなく、ペアごとに異なる値を設定することで得られる効果を、鍵の管理に着目して25字以内で答えよ。:鍵が漏えいした際の影響範囲を小さくできる。
「②この鍵はペアごとに異なる値が設定されている。」
鍵の管理としては、鍵の数に比例して管理が大変になりそうですが、それでもペアごとに異なる鍵として多くの鍵を管理するメリットがあります。
それは、重要な鍵が漏えいした際の影響を局所化できるということです。
同じ鍵の場合、漏えいした鍵による窃取される通信や鍵の入れ替え作業の範囲が大きくなります。
下線③について、A社のVPNで利用しているトランスポートモードとした場合は元のIPパケット(元のIPヘッダーと元のIPペイロード)とESPトレーラの範囲を暗号化するのに対し、A社のVPNをトンネルモードとした場合はどの範囲を暗号化するか。図2中の字句で全て答えよ。:IPヘッダー、元のIPパケット、ESPトレーラ
「③IPsecの通信モードには、トランスポートモードとトンネルモードがあるが、A社のVPNではトランスポートモードを利用している。」
設問のとおり、トランスポートモードでの暗号化は「元のIPパケットとESPトレーラの範囲」であり、図2のとおり、IPヘッダーは暗号化されません。
これに対し、トンネルモードの場合は、IPヘッダーも暗号化され、「IPヘッダー、元のIPパケット、ESPトレーラー」が暗号化の範囲となります。
IPsecでは、一般的に、トランスポートモードは端末間の通信、トンネルモードは端末を束ねたVPN装置間の通信で適用します。
今回の場合のVPNは、問題文に「本社と各支社との間のVPNは、IP in IPトンネリング(以下、IP-IPという)でカプセル化し、さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し、2拠点間をトンネル接続している。」とあるように、端末はIP-IPでカプセル化されており、その後のIPsecではUTMが端末に相当するため、トランスポートモードを利用していると思われます。
下線④について、IP Unnumbered設定とはどのような設定か。”IPアドレスの割当て”の字句を用いて30字以内で答えよ。:インタフェースにIPアドレスの割当てを行わない設定
「VPNを構成するために、本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。④IP-IP over IPsecインタフェースでは、IP Unnumbered設定が行われている。」
整理すると、UTMにはインターネット向けのインタフェースにおいて、物理的なインタフェースにグローバルIPアドレスが割り当てられ、IP-IP用の仮想的なインタフェースであるIP-IP over IPsecインタフェースにはUnnumberd、つまりIPアドレスを付与しない設定となっています。
この場合のIP-IPの通信は、物理インタフェースのIPアドレスを使ってパケットをやり取りすることになります。
ちなみに、トンネルインタフェースを物理インタフェースとは別に管理することなどを目的に、トンネルインタフェースにIPアドレスを付与することも可能です。
下線⑤について、中継するTCPパケットのIPフラグメントを防止するための設定を行わず、UTMでIPフラグメント処理が発生する場合、UTMにどのような影響があるか。10字以内で答えよ。:転送負荷の増大
「また、⑤IP-IP over IPsecインタフェースでは、中継するTCPパケットのIPフラグメントを防止するための設定が行われている。」
IPフラグメントとは、IPパケットを複数のパケットに分割して通信することです。
図2を見てわかるように、IPsecで暗号化してIPパケットは元のIPパケットにヘッダー分が追加されデータサイズが大きくなっています。
IPパケットの最大サイズであるMTU(Maximum Transmission Unit)はイーサネットの場合1500バイトのため、UTMやルータなどで必要な場合、IPフラグメントが行われます。
IPフラグメントではIPパケットの分割や組み立てが発生し、負荷がかかるため、今回のUTMではIPフラグメントを防止する設定が行われたものと思われます。
その場合、MTUの超過が発生しないかどうかですが、送信側のUTMなどの端末では、伝送路上のMTUを自動検知する仕組みとしてPath MTU Discoveryという機能が備わっています。
これにより、あらかじめ送信するIPパケットのサイズを調整して送信することで、途中の機器でのIPフラグメントが不要となります。