令和4年春期ネットワークスペシャリスト(NW)試験の午後Ⅱ問1の解説をしていきます。
解答はIPAが公表している解答を引用しています。
解説には間違いが含まれる可能性があるため、その際は指摘していただけると幸いです。
設問1
ア
解答:改ざん検知
TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、改ざん検知になります。
デジタル証明書を利用するものは大体このセットなので覚えておきましょう。
イ
解答:L2フォワーディング
SSL-VPNには、リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3つの方式があります。
L2フォワーディングの特徴は問題文で後述されているとおり、ポート番号が変化するアプリケーションに対応していることです。
ウ
解答:ポート
ポートフォワーディング方式の特徴は、任意のポートへのアクセスに対応していることです。
この問題の場合はこのことを知らなくても、「TCPまたはUDPの任意の」という前文から答えることは可能だったと思います。
エ
解答:公開
認証局が発行する電子証明書には公開鍵が含まれます。
以下のページで詳しく解説されていましたので、ご参照ください。
https://www.contracts.co.jp/useful/16853/
オ
解答:ポートフォワーディング
「SSL-VPN装置がRDPだけで利用されることを踏まえ」とあります。
リバースプロキシ方式にはWebアプリケーションのみという制約があるため採用できません。
また、RDPは「動的にポート番号が変わるアプリケーションプログラム」ではないためL2フォワーディング方式も不適切です。
よって、空欄オにはポートフォワーディングが入ります。
カ
解答:DHE
TLS1.3で規定されている鍵交換方式は、DHE、ECDHE、PSKとなります。
知識問題のため知らないと答えられない問題です。
設問2
(1)
解答:①)暗号化
②)メッセージ認証
AEADは暗号化とデータが改ざんされていないことの保障(メッセージ認証)を行います。
Authenticated Encryption with Associated Dataを直訳すると、関連データによる認証済み暗号化となります。
(2)
解答:Subject
電子証明書において識別用情報を示すフィールドはSubjectです。
そのほかにSerial NumberやIssuerといったフィールドがあります。
設問3
(1)
解答:クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないから
クライアント証明書とは、システムやサービスを利用するユーザのデバイスにインストールすることでそのユーザの正当性を証明するものです。
クライアント証明書の秘密鍵は本人のみが所有し、対応した公開鍵によって暗号化されたデータを復号するのに使用します。
よって、秘密鍵を保有していることによって身元を一意に特定できます。
(2)
解答:CAのルート証明書
クライアント証明書を検証するためには、クライアント証明書を発行した認証局(CA)の正当性が保証されている必要があります。
CAのルート証明書とは、CAが発行した自己署名証明書であり、これによってCAの正当性を保証します。
(3)
解答:なりすまされたSSL-VPN装置へ接続してしまうリスク
サーバ証明書とは、クライアント証明書の逆でサーバ側の正当性を保証するものです。
つまり、クライアント側ではサーバ証明書を検証することでサーバ側の正当性が保証されるため、なりすましリスクを低減できます。
(4)
解答:秘密鍵が漏えいする前に行われた通信のデータ
秘密鍵が漏えいした場合、対応する公開鍵で暗号化された過去の通信データが復号されてしまいます。
(5)
解答:署名に用いる鍵)利用者の秘密鍵
署名の検証に用いる鍵)利用者の公開鍵
一方が秘密鍵、もう一方が公開鍵であることまでは予想がつくと思います。
秘密鍵は利用者本人しか保有しないため、利用者がCAサービスにCSRを提出するときに署名に用いる鍵は秘密鍵になります。
対して、CAサービスはその秘密鍵と対になる利用者の公開鍵を用いてCSRの署名を検証します。
(6)
解答:シリアル番号
証明書失効リストに含まれる証明書を一意に識別できる情報はシリアル番号になります。
証明書失効リストとは、有効期限内に失効した証明書のシリアル番号を管理するリストです。
設問4
(1)
解答:VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組
しっかりと文章を整理することで正解が見えてきます。
まず、ユーザテーブルという名前からユーザに関する情報が記載されていることが推測できるかと思います。
「利用者ごとに仮想PCがあらかじめて割り当てられており、IPアドレスは静的に割り当てられている。」「K社においては、社員番号を利用者IDとしてクライアント証明書に含める」と言った文言から利用者IDと仮想PCのIPアドレスを組み合わせてユーザの整合性を取る仕組みが見えてくれば答えられると思います。
(2)
解答:情報)クライアント証明書から得られる利用者ID
タイミング)Ⅷ
直前の問題から検索のキーとなるのはクライアント証明書から得られる利用者IDとなります。
クライアント側の機器がSSL-VPNに対してクライアント証明書を送っているタイミングは、ⅧのCertificateになります。
設問5
(1)
解答:M社とN社の広域イーサネットの両方を利用すること
「拠点間接続の冗長化のために、新たにN社の広域イーサネットを契約する。その回線速度と接続トポロジーは現行のM社の広域イーサネットと同等とする。」とあることから、新たにM社で従来のN社と変わらない広域イーサネットを契約していることがわかります。
また、「通常は、M社とN社の広域イーサネットの両方を利用する」とあり、通常時にこれらの広域イーサネットをどちらも利用する前提であることもわかります。
ECMPを利用するのはそのためであり、解答はM社とN社の広域イーサネットの両方を利用することとなります。
(2)
解答:経路数)4
コスト)70
まず経路数についてですが、以下の4通りがあります。
- L3SW11→L2SW13→M社広域イーサネット→L2SW34→L3SW31
- L3SW11→L2SW13→M社広域イーサネット→L2SW34→L3SW32
- L3SW11→L2SW14→N社広域イーサネット→L2SW35→L3SW31
- L3SW11→L2SW14→N社広域イーサネット→L2SW35→L3SW32
次にコストについてですが、L3SW11の出力に50、L3SW31およびL3SW32の出力に20が設定されているため、その合計の70となります。
(3)
解答:フローモードはパケット到着順序の逆転が起こりにくいから
文中に「パケットモードの場合、パケットごとにランダムに経路を選択し、フローモードの場合は、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行う。」とあります。
このことからパケットモードではパケットの遅延による到着順の逆転が起こりやすいです。
対して、フローモードでは経路選択を行い同一経路でパケットを送信するため逆転が起こりづらいです。
(4)
解答:送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないから
ECMPのフローモードでは、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算するため、計算元になるパターンが多いほどハッシュ値も多くなります。
さらに、ハッシュ値が多ほど経路の分散が効くということになります。
(5)
解答:インタフェースの障害を検知した時にL3SW31のVRRPの優先度を下げる。
VRRPのトラッキング機能では、インタフェースのリンク障害を検知した場合、マスタルータの優先度を下げます。
それによりバックアップルータがマスタへ昇格します。
ネットワークスペシャリスト(NW)試験の対策にオススメな参考書はこちら
試験範囲を網羅的に学習できます!
午後試験の直前対策にオススメな一冊です!