※本記事は問題を解いた考え方と解答を記載していますので、事前に令和4年度春期のネットワークスペシャリスト試験(NW)の午後一を解いてからご確認ください。
令和4年度春期のネットワークスペシャリスト(NW)の午後問題
令和4年度春期のネットワークスペシャリスト(NW)の午後問題は以下の3つあります。
それぞれの問題について、解説を記載しました。
- 午後Ⅰの問1 ネットワークの更改に関する問題
- 午後Ⅰの問2 セキュアゲートウェイサービスの導入に関する問題
- 午後Ⅰの問3 シングルサインオンの導入に関する問題
- 午後Ⅱの問1 テレワーク環境の導入に関する問題
- 午後Ⅱの問2 仮想化技術の導入に関する問題
ネットワークスペシャリスト試験(問3の設問1の解答)
(1) 本文中の下線(a)の動作を行うために、PCのプロキシ設定で登録するべき内容を答える問題です。
下線(a)の内容を確認すると、一部のサーバへのアクセスのみはプロキシを設定しない設定を答える必要があります。
プロキシを経由しないように該当のFQDNを例外リストに登録したらいいです。
例として、Microsoft Edgeの場合は以下のような設定をし、Googleの検索サイト(www.google.co.jp)のみ例外リストに登録しています。
【解答例】
業務サーバと営業支援サーバのFQDNを、プロキシ例外リストに登録する。
(2)
本文中の下線(b)について、(Ⅲ)~(ⅴ)の実行を可能とするための、その他のネットワーク情報を二つ答える問題です。
下線(b)の内容を確認すると、DHCPサーバから付与されるネットワーク情報のうち、PCのIPアドレス、サブネットマスク以外の内容を2つ答える必要があります。
Windows OSの[コントロール パネル]-[ネットワークとインターネット]-[ネットワークと共有センター]で確認できる設定を以下の画面の通りです。
本文中の設定と比較したところ、「社内DNSサーバのIPアドレス」と「デフォルトゲートウェイ」がないため、答えになります。
【解答例】
社内DNSサーバのIPアドレス
デフォルトゲートウェイのIPアドレス
(3)
表1中の ア、ウ~カ に入れる字句を、図1または表1中の字句を用いて答える問題です。
ア、ウについて
インターネットからDMZへの通信のため、図1中のDMZに設置されている機器を確認すると、「公開Webサーバ」、「プロキシサーバ」、「外部DNSサーバ」、「L2SW」の4台です。
そのため、ア と ウ は4台のいずれかが入ります。
ア の行のポート番号を確認すると、DNSの通信ポートである「TCP53」があるため、「外部DNSサーバ」が答えです。
ウ の行のポート番号を確認すると、Webアクセスで用いるHTTPSの通信ポートである「TCP443」であるため、「公開Webサーバ」が答えです。
エ、オについて
DMZからインターネットへの通信のため、図1中のDMZに設置されている機器を確認すると、「公開Webサーバ」、「プロキシサーバ」、「外部DNSサーバ」、「L2SW」の4台です。
そのため、エ は4台のいずれかが入り、オ は「ルータ」か「インターネット(any)」が入ります。
ウ と エ の行のポート番号を確認すると、TCP80とTCP443のためWebアクセスの通信であることが分かります。
本文中にWebアクセスに関する通信を探すと、以下の赤枠の箇所に「PCにはプロキシ設定でプロキシサーバを登録」や「マルウェア定義ファイルの更新はプロキシサーバ経由で行う」という記載があるため、プロキシサーバからインターネット(any)へのWebアクセスをしていることが分かります。
そのため、ウ は「プロキシサーバ」、エ は「any」です。
カについて
内部LANからDMZへの通信のため、図1中の赤枠内の機器が カ に入ります。
オ の行のポート番号を確認すると、DNSの通信ポートである「TCP53」があるため、DNSに関する通信であることが分かります。
本文中に以下の記載があるため、内部LAN以外のゾーンの名前解決は社内DNSサーバから外部DNSサーバに転送する旨の記載があります。
そのため、答えは「社内DNSサーバ」です。
【解答例】
ア : 外部DNSサーバ
ウ : 公開Webサーバ
エ : プロキシサーバ
オ : any
カ : 社内DNSサーバ
(4)
表1中の イ に入れるプロトコル/ポート番号を答える問題です。
表1中の イ の箇所を確認すると、以下の赤枠の3行ともDNSに関する通信であることが分かります。
DNSはTCP/53 又は UDP/53 を使用するため、答えは「UDP/53」です。
【解答例】
イ : UDP/53
ネットワークスペシャリスト試験(問3の設問2の解答)
(1)
攻撃者が図2中の②の通信を盗聴して通信データを取得しても、攻撃者は、⑦の通信を正しく行えないので、営業支援サーバを利用することはできない。
⑦の通信を正しく行えない理由を答える問題です。
本文中に以下のチケットの記載があり、2種類のチケットの意味は以下の通りです。
図2中にも複数回使用されているため、理解しておいてください。
TGT : PCの利用者の身分証明書に相当するチケット
ST : PCの利用者がサーバでの認証を受けるためのチケット
本文中に以下の記載があり、ケルベロス認証ではデータの暗号化をしている旨の記載があります。
そのため、図2中の「② 認証成功(TGT)」も暗号化されていますので、②の通信を盗聴されてもデータ(TGT)を取り出すことはできません。
そのため、TGTを用いて取得する⑥の通信のSTの内容も取得できず、⑦の通信もできません。
【解答例】
STを取り出せないから
(2)
図2中でケルベロス認証サービスのポート番号88が用いられる通信を、①~⑧の中からか答える問題です。
図2の通信を①、②、⑤、⑥以外は営業支援サーバに対するHTTP通信(HTTP要求/HTTP応答)であるため、ケルベロス認証のポート88番ではないことが分かります。
①、②、⑤、⑥はKDCに対する認証およびST要求とST払い出しのため、全てケルベロス認証に関する通信です。
【解答例】
①、②、⑤、⑥
(3)
本文中の下線(c)の問題を発生させないためのPCとサーバにおける対応策を答える問題です。
下線(c)の箇所を確認すると、有効期限が正しく判断できない場合に認証できない問題の対応策を答える問題です。
有効期限が正しく判断できないため、時間に関する問題が発生しています。
PCとサーバ間で時間があっていない場合、有効期限が正しく判断できないため、PCとサーバ間で時刻同期をする必要があります。
【解答例】
PCとサーバ間で時刻同期を行う。
ネットワークスペシャリスト試験(問3の設問3の解答)
(1)
ケルベロス認証を行うPCが、図4のSRVレコードを利用しない場合、PCに設定しなければならないサーバに関する情報を答える問題です。
図4の内容を確認すると、以下のようにSRVレコードが設定されています。
SRVレコードを利用しない場合にPCに設定する情報を答える必要があるため、図4に設定されている情報が答えになります。
本文中の箇所にいくつかの設定値の説明があります。
本文中の説明も参考にしてSRVレコードの設定値は以下のようになります。
| 設定値 | 説明 |
|---|---|
| _Service._Proto._Name | 以下の文字列を連結した内容。 ・_Service:ケルベロス認証のサービス名 ・_Proto:プロトコル名 ・_Name:ケルベロス認証をするFQDN |
| TTL | 生存時間(単位は秒) |
| SRV | レコード名 |
| Priority | 利用するSRVレコードの優先度 |
| Weight | Priorityが同じものの中で負荷分散する場合の分散割合 |
| Port | サービスのポート番号 |
| Target | サービスのホスト名 |
SRVレコードの設定値を確認すると、ケルベロス認証するサーバのFQDNが分からないと通信することができないため、PCに設定する必要があります。
【解答例】
ケルベロス認証を行うサーバのFQDN
(2)
図4のSRVレコードがPCのキャッシュに存在する時間は何分か答える問題です。
図4のTTL(生存時間)を確認すると、43200という値になっています。
TTLの単位は秒ですので、「43200(秒) ÷ 60 = 720(分)」が答えになります。
【解答例】
720
(3)
図4の二つのSRVレコードの代わりに、図5の一つのSRVレコードを使った場合、DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。
図4と同様の比率でDS1とDS2が使用されるようにする場合の、Aレコードの設定内容を、50字以内で答える問題です。
ここで、DS1のIPアドレスをadd1、DS2のIPアドレスをadd2とする。
本文中の以下の箇所にSEVレコードを使用した際の比率に関する記載があります。
図4の設定値を確認すると、DS1へ2、DS2へ1の比重で設定されています。
そのため、DNSラウンドロビンで比率を設定する場合、ホスト名がDS対して、add1のAレコード二つ、add2のAレコード一つ記述する必要があります。
【解答例】
ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する。
書籍紹介
本問題など令和4年度春期のネットワークスペシャリスト試験(NW)の午後問題の解説を詳しく知りたい方は以下の書籍を購入して勉強することをお勧めします。
