問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/index.html
答えはIPAの回答例となります。
構成
設問1(1)
問題 本文中の下線①のIPアドレスを、表1中のIPアドレスで答えよ。
インターネット上にあるP社営業支援サービスへのアクセスを制限していて、特定のIPアドレスからしか許可しないようにしています。
これは良く実施しますね、本社のグローバルアドレスからしかアクセスを許可しないようにして、セキュリティアップを図ります。
各営業所からもアクセス制限に当てはまりそうですが、営業所は「営業所PC → 営業所IPsecルータ → 本社IPsecルータ → L3SW → FW」となっていますので、営業支援サービスへはすべて本社FW経由となりますね。
また、FWはNAPTによるIPアドレスの変換を行うとあるので、答えはFWのINT-IFのアドレスとなります。
答え:a.b.c.d
設問1(2)
問題 本文中の「a」に入れる適切な字句を答えよ
VRFは一つのルータで仮想的に複数のルータを使用できる機能です。
ポート10個のルータで例えばポート1-5・ルータ1でポート6-10・ルータ2の様にポート5個の2台のルータとして使用できます。
別々なのでルーティングテーブルも分かれます。
答え:ルーティング
設問1(3)
問題 表2中の「b」~「d」に入れる適切な字句を、表2中の字句を用いて答えよ
N社ではOSPFで経路制御を行っているようです。
上記説明にてデフォルトルートはFWより配布しているとあります、また「b」の経路制御方式は動的となっていますので、このデフォルトルートはOSPFにて配布された経路情報だと推測できます。
b は本社のIPsecルータのデフォルトルートのネクストホップなので本社のL3SWになります。
※表2中の字句となっているので。本社のL3SWにしないと間違いになりそうです。
c・d は上記にて【本社及び営業所のIPsecルータには、~~省略~~トンネルIFをネクストホップとした静的経路を設定している。」とあり、静的経路制御だと解ります。
答え b:本社のL3SW
c:静的経路制御
d:静的経路制御
設問1(4)
問題 ”本社のIPsecルータ”が、営業所のPCからP社営業支援サービス宛てのパケットを転送するときに選択する経路は、表2中のどれか。VRF識別子及び宛先ネットワークを答えよ。
営業所PCから営業支援サービス宛なので、VRF識別子はトンネルIFを使用しているVRFとなります。
一つは宛先ネットワークは営業支援サービス向けなので(営業所のLAN)向けなので違います。
もう一つはデフォルトルートとなり、FW経由のインターネット向け通信となります。
なので、宛先はデフォルトルートだと解ります。
答え VRF:65000:2
宛先:0.0.0.0/0
設問1(5)
問題 本文中の下線②について、デフォルトルート(宛先ネットワーク0.0.0.0/0の経路)が必要になる理由を、40字以内で答えよ。
本社IPsecルータにはデフォルトルートは2つあります。
下線②のデフォルトルートは「営業所のIPsecルータとVPNを確立するために静的な」とあるので、VRF65000:1のデフォルトルートの事と推測できます。
このデフォルトルートが無い場合は本社IPsecルータは営業所ルータとVPNを組むのに本社IPsecルータ → L3SW → FW経由でVPNを組みに行ってしまいます。
(VRF:1とL3SW/FWでOSPFを交換している描写もないので、そもそもルーティングが出来ない可能性もあります。)
そして、宛先が営業所ルータのグローバルアドレスではなく、デフォルトルートとしているのは表1の注意書きで
「注4) w.x.y.zは、ISPから割り当てられた動的なグルーバルIPアドレスである。」とあるので、アドレスは固定ではなく変わり指定できないので、デフォルトルートとなります。
答え:ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから
設問1(6)
問題 本文中の下線③の宛先ネットワークを、表2中の字句を用いて答えよ。
本表2を見ると静的経路は2つある。
1つはVRF:1のデフォルトルートで、もう1つはVRF:2の営業所のLANです。
VRF:1のデフォルトルートを再配布するとOSPF内でデフォルトルートが競合することになり可笑しなことになります。
VRF:2の営業所のLANのセグメントをOSPFで再配布することによって、本社FW・L3SWも営業所のLANのアドレスを学習できます。
この設定が無いと、、本社FW・L3SWも営業所のLANのアドレスを知らないので営業支援サービスから戻りの通信が営業所に戻っていかないですね。
なので答えはVRF:2の営業所のLANです。
答え:172.17.1.0/24 又は 営業所のLAN
構成 図2
設問2(1)
問題 本文中の「e」~「h」に入れる適切な字句を答えよ
IPsecはパケットを暗号化して通信します。
IPsecはパケットが途中で盗まれても、盗んだ相手に内容を見られない様するために使用します。
答え e:暗号
*************************************************************
パケットに新しいIPヘッダを付けて送ります。
(ヘッダなので、付与する物をIPアドレスと間違えないように注意)
答え f:IP
*************************************************************
IKE v2を使用しているので、SAはChildとなります。
v1の時はIPsec SAを作成します。
答え e:Child
*************************************************************
Diffie-Hellman法は、お互いのIPsec機器が共通鍵(パスワード)を直接受け渡すのではなく、鍵を生み出すための数値を共有してその数値を計算して共通鍵をだします。
DHグループ番号は複数あり、主に番号数が大きいほど、鍵長も長くなっていき解きにくいものになります。
答え h:鍵長
設問2(2)
問題 POPとのIPsec VPNを確立できない場合に、失敗しているネゴシエーションを特定するためには、何の状態を確認するべきか。本文中の字句を用いて二つ答えよ。
上記にてIPsecを確立するために必要なものが記載されています。
IKE SAを確立して、その後にIKE SAを使用してChild SAを確立します。
答え 1つ目:IKE SA
2つ目:Child SA
設問3(1)
問題 本文中の下線④について、情報セキュリティの観点でR主任が確認した内容を、20字以内で答えよ。
上記からQ社が提供しているSWGは複数社で共有して使用していると考えられます。
その為、割り当てられたグローバルアドレスも共有して他の会社でも使用できる可能性があります。
なので割り当てられたグローバルアドレスがN社専用なのか、他の会社では使用できない様になっているか確認する必要があります。
N社専用でないとせっかく営業支援サービスの接続許可設定をしても他の会社からもアクセス出来てしまいます。
答え:N社専用のIPアドレスであること
設問3(2)
問題 本文中の下線⑤について、P社営業支援サービスの応答時間が、現行よりも長くなると考えられる要因を30字以内で答えよ。
以前の構成と今回の構成で変わった点は、SWGを導入した事と本社・営業所のVPN先がQ社のPOPになりました。
この構成変更から応答時間が長くなった理由を考えると、SWGを導入した事が影響大と考えられます。
IPsecによって暗号・復号などによる遅延やSWGを経由することにより経路が遠回りする形になってます。
結果としてはSWGサービス導入によるものです。
答え:Q社SGWサービスの経由によって発生する遅延
コメント