平成30年度の午後1問1は
SaaSの導入
というテーマで、
プロキシ、HTTPS、SD-WAN(Software-Dfined WAN)ルータ
に関する問題になっていた。
以下、設問と解答で抑えておくべきところを抜粋する。
この作業を繰り返していると、問題文の状況が分からなくても
求められる解答のイメージが掴めてくる。
このイメージを掴んだ(ストックを増やした)上で、
問題文の状況と重ね合わせて解答するのが定石かと思う。
・「フォワード」プロキシ:社内PCからインターネット宛てにアクセス
する際に、社内PCの通信を受けて、社内PCの代わりにインターネット
へアクセスするプロキシ。アクセスログの記録や、外部サーバの
コンテンツをキャッシュすることで使用帯域を削減する利点がある。
・「リバース」プロキシ:インターネットのような外部から社内宛ての
通信を代わりに受けるプロキシ。外部サーバから公開サーバの
オリジナルコンテンツに直接アクセスさせないことで改ざん防止、
キャッシュによる応答速度の向上、複数サーバでの負荷分散できる
などの利点がある。
・”プロキシサーバにおいて認証を行う。”について、プロキシサーバで
認証を行うことにより、アクセスログに付加できる情報:
「利用者ID」
・”アクセス先のホスト名は記録されていたが、
URLは記録されていなかった。”について、HTTPSでアクセスする
ためのHTTPプロトコルのメソッド名を答えよ。また、このメソッドを
用いる場合、マルウエアによる通信を遮断するためのプロキシサーバ
での対策を述べよ:
メソッド名「CONNECT」
対策「HTTPS以外のポートのCONNECTを拒否する」
・社内PCとアクセス先のWebサーバ間の通信をプロキシサーバが
再度暗号化すると、”証明書が信頼できない”とのメッセージが出る。
これは、暗号化に使用するプロキシサーバの証明書がCAで発行した
ものではないことによる。
この場合、プロキシサーバのルート証明書(自己証明書)を
すべての社内PCにインストールすることで解決できる。
・SDNでは”通信トラフィックを転送する機能”を「データプレーン」
”通信装置を集中制御する機能”を「コントロールプレーン」と呼ぶ。
・”G社SaaSのIPアドレスが変更された場合でもその都度L3SWを
設定しなくても済むように、L3SWの静的経路情報を設定変更する。”
について、設定変更後の静的経路情報を答えよ:
「ネクストホップがSD-WANルータとなるデフォルトルート」
→経路情報にない宛先を処理するための特殊なルートのことを
デフォルトルートと呼ぶ。
・”SD-WANルータの設定は、SD-WANコントローラによって
集中制御される。”とあるように、全社のSD-WANルータへ設定変更の
指示を行うのは「SD-WANコントローラ」となる。
・”プロキシ自動設定ファイルを作成する”について、このファイルを作成
することによってプロキシから除外する通信を答えよ:
「G社SaaSへのHTTPS通信」
→”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず
各SD-WANルータを経由する”ので、このファイルを使用して、
G社SaaSへのHTTPS通信をプロキシから除外する。
・”プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得する”
について、G社SaaSのAPI経由で取得する理由を二つ挙げよ:
「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」
「出張先のPCからG社SaaSへのアクセスが記録されるから」
↓ブログランキング、更新の励みになります。
SaaSの導入
というテーマで、
プロキシ、HTTPS、SD-WAN(Software-Dfined WAN)ルータ
に関する問題になっていた。
以下、設問と解答で抑えておくべきところを抜粋する。
この作業を繰り返していると、問題文の状況が分からなくても
求められる解答のイメージが掴めてくる。
このイメージを掴んだ(ストックを増やした)上で、
問題文の状況と重ね合わせて解答するのが定石かと思う。
・「フォワード」プロキシ:社内PCからインターネット宛てにアクセス
する際に、社内PCの通信を受けて、社内PCの代わりにインターネット
へアクセスするプロキシ。アクセスログの記録や、外部サーバの
コンテンツをキャッシュすることで使用帯域を削減する利点がある。
・「リバース」プロキシ:インターネットのような外部から社内宛ての
通信を代わりに受けるプロキシ。外部サーバから公開サーバの
オリジナルコンテンツに直接アクセスさせないことで改ざん防止、
キャッシュによる応答速度の向上、複数サーバでの負荷分散できる
などの利点がある。
・”プロキシサーバにおいて認証を行う。”について、プロキシサーバで
認証を行うことにより、アクセスログに付加できる情報:
「利用者ID」
・”アクセス先のホスト名は記録されていたが、
URLは記録されていなかった。”について、HTTPSでアクセスする
ためのHTTPプロトコルのメソッド名を答えよ。また、このメソッドを
用いる場合、マルウエアによる通信を遮断するためのプロキシサーバ
での対策を述べよ:
メソッド名「CONNECT」
対策「HTTPS以外のポートのCONNECTを拒否する」
・社内PCとアクセス先のWebサーバ間の通信をプロキシサーバが
再度暗号化すると、”証明書が信頼できない”とのメッセージが出る。
これは、暗号化に使用するプロキシサーバの証明書がCAで発行した
ものではないことによる。
この場合、プロキシサーバのルート証明書(自己証明書)を
すべての社内PCにインストールすることで解決できる。
・SDNでは”通信トラフィックを転送する機能”を「データプレーン」
”通信装置を集中制御する機能”を「コントロールプレーン」と呼ぶ。
・”G社SaaSのIPアドレスが変更された場合でもその都度L3SWを
設定しなくても済むように、L3SWの静的経路情報を設定変更する。”
について、設定変更後の静的経路情報を答えよ:
「ネクストホップがSD-WANルータとなるデフォルトルート」
→経路情報にない宛先を処理するための特殊なルートのことを
デフォルトルートと呼ぶ。
・”SD-WANルータの設定は、SD-WANコントローラによって
集中制御される。”とあるように、全社のSD-WANルータへ設定変更の
指示を行うのは「SD-WANコントローラ」となる。
・”プロキシ自動設定ファイルを作成する”について、このファイルを作成
することによってプロキシから除外する通信を答えよ:
「G社SaaSへのHTTPS通信」
→”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず
各SD-WANルータを経由する”ので、このファイルを使用して、
G社SaaSへのHTTPS通信をプロキシから除外する。
・”プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得する”
について、G社SaaSのAPI経由で取得する理由を二つ挙げよ:
「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」
「出張先のPCからG社SaaSへのアクセスが記録されるから」
↓ブログランキング、更新の励みになります。