問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/index.html
答えはIPAの回答例となります。
構成 図1
接続1(1)
問題 本文中の下線(a)の動作を行うために、PCのプロキシ設定で登録すべき内容について、40字以内で述べよ。
業務サーバと営業支援サーバはプロキシサーバを経由させないで通信するとの事なので、プロキシ設定で2つのサーバのアドレスを除外する設定が必要です。
※業務サーバと営業支援サーバは固定アドレスともDHCPともないのでFQDNでなく、IPアドレスでもいい気がしますね
答え:業務サーバと営業支援サーバのFQDNを、プロキシ例外リストに登録する。
接続1(2)
問題 本文中の下線(b)について、(ⅲ)〜(ⅴ)の実行を可能とするための、その他のネットワーク情報を二つ答えよ。
DHCPサーバから教えられるのは、自機器に設定する「IPアドレス・サブネットマスク・デフォルトゲートウェイ・有効期限・DHCPサーバアドレス・DNSサーバアドレス」などになります。
この中でIPアドレスとSMはあり、その他で更に(ⅲ)〜(ⅴ)で必要となるのは、デフォルトゲートウェイのアドレスと社内のDNSサーバのアドレスです。
DNSサーバは外部DNSサーバもあるので注意です。
答え 1つ目:社内DNSサーバのIPアドレス
2つ目:デフォルトゲートウェイのIPアドレス
設問1(3)
問題 表1中の「ア」、「ウ」~「カ」に入れる字句を、図1又は表1中の字句を用いて答えよ
ア はインターネットからDMZへの通信となり、ポートが53なので、DNSだなと推測できます。
表1DMZで見ると外部DNSサーバがあります。
また、(ⅱ)で外部DNSサーバはゾーン情報を持っているとあります。
答え ア:外部DNSサーバ
*************************************************************
ウ はインターネットからDMZへの通信となり、ポートが443なので、公開WEBサーバだなと推測できます。
答え ウ:公開Webサーバ
*************************************************************
エ はDMZからインターネットへの通信となり、ポートが80,443なので、インターネット向けにWEBサーバなどに通信する物だと推測できます。
PCはWeb通信はプロキシサーバ経由しているのでプロキシサーバだと推測できます。
答え エ:プロキシサーバ
*************************************************************
オ はエの宛先となりますが、固定の宛先などの設定はなさそうなので、どこでも通信可能と考えてanyだと推測できます。
答え オ:any
*************************************************************
カ は内部LANからDMZへの通信となり、ポートが53なので、DNSだなと推測できます。
宛先も外部DNSサーバ(ア)となり、外部DNSサーバは再起問い合わせを社内DNSサーバかDMZ内のサーバからしか受け付けていないので、社内DNSサーバだと推測できます。
答え カ:社内DNSサーバ
設問1(4)
問題 表1中の「イ」に入れるプロトコル/ポート番号を答えよ。
設問1(3)にて「イ」はDNSの通信と推測できます。
DNSはTCP/UDPの53番ポートを使用します。
TCP/53は記載されているので、
答え イ:UDP/53
図2
設問2(1)
問題 攻撃者が図2中の②の通信を盗聴して通信データを取得しても、攻撃者は、⑦の通信を正しく行えないので、営業支援サーバを利用することはできない。⑦の通信を正しく行えない理由を、15字以内で述べよ。
②のパケットを盗んでもTGTは暗号化されているので中身は分かりません。
もちろんPCの鍵も持っていません。
そしてSTは営業支援サーバで暗号化されていて、更にSTにセッション情報など付与して全体をPCの鍵で暗号化しています。
攻撃者はPCの鍵で暗号化されている情報からSTを取り出すことが出来ません。
答え:STを取り出せないから
設問2(2)
問題 図2中で、ケルベロス認証サービスのポート番号88が用いられる通信を、①〜⑧の中から全て選び記号で答えよ。
図2を見るとDS(KDC)と通信しているのは、①②⑤⑥となっています。
またほかの通信はHTTPなので除外できます。
答え:①、②、⑤、⑥
設問2(3)
問題 本文中の下線(c)の問題を発生させないための、PCとサーバにおける対応策を、20字以内で述べよ
PCとサーバで時刻同期がされていない場合は失敗する事が多々あります。
なので、同じNTPサーバなどを参照して時刻同期をする必要があります。
答え:PCとサーバ間で時刻同期を行う
設問3(1)
問題 ケルベロス認証を行うPCが、図4のSRVレコードを利用しない場合、PCに設定しなければならないサーバに関する情報を、25字以内で答えよ。
SRVレコードは、「DNSサーバにSRVレコードが登録されていれば、サービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる。」とあるので、
DNSサーバに「_kerberos._tcp.naibulan.y-sha.jp」を問い合わせると、FQDNの「DS1.naibulan.y-sha.jp. か DS2.naibulan.y-sha.jp.」を教えてくれるようです。
なので、これが無い場合はサービスが稼働してるホスト名(FQDN)が解決できない状態になるので、PCにFQDNを設定してやる必要があります。
答え:ケロべロス認証を行うサーバのFQDN
設問3(2)
問題 図4のSRVレコードが、PCのキャッシュに存在する時間は何分かを答えよ。
TTLが43200となっているので、43200秒です。
43200秒÷60秒(1分)=720分
答え:720
設問3(3)
問題 図4の二つのSRVレコードの代わりに、図5の一つのSRVレコードを使った場合、DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。図4と同様の比率でDS1とDS2が使用されるようにする場合の、Aレコードの設定内容を、50字以内で述べよ。ここで、DS1のIPアドレスをadd1、DS2のIPアドレスをadd2とする。
問題分にて優先度はPriorityが同じ場合はWeightで比率を設定するとあり、図4のSRVレコードの設定を見るとPriortyを見ると同じ値で、WeightがDS1=2でDS2=1となっています。
なので、比率は2:1です
DNSサーバは登録されているアドレスを順番に返すので、Aレコードを3行書いて割り振りをadd1のAレコードを2行、addr2のAレコードを1行書けば、2:1となります。
答え:ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する。
コメント