令和4年秋 ネットワーク設問2(1)と設問3(3)
広告
ミケママさん
(No.1)
令和4年秋 ネットワーク設問2(1)と設問3(3)について
どなたか教えてください。
設問2(1)
設問:リモートPCにダウンロードする証明書を答えよ
解答:Webサーバ, 本社VPNサーバ
設問3(3)
設問:営業所UTMにアクセス許可する接続先を答えよ(FW以外)
解答:Web会議サービス, 本社VPNサーバ
となっておりますが、以下の理解でよろしでしょうか?
設問2(1)について
リモートPCは社員のテレワーク環境から接続するので、
先ず本社DMZ上にあるWebサーバにログインしてワンタイムパスワードを入手し
次に本社VPNサーバに接続して認証してもらうことで内部ネットワークのPCにアクセスができる
なお営業所1PCの場合は、
社員のテレワーク環境PC
↓
本社DMZ上にあるWebサーバ
↓
本社VPNサーバ
↓
営業所1VPNサーバ
↓
営業所1PC
の順番で認証及び接続を行う
設問3(3)について
営業所1、2の内部ネットワークのPCからUTMへのアクセス許可なので
社員のテレワーク環境PCは対象外でWebサーバへのアクセスは不要
このため、接続先は
プロキシ例外設定(ローカルブレイクアウト)のWeb会議サービスと
従来の通信のための本社VPNサーバの2つとなる。
以上、よろしくお願いします。
どなたか教えてください。
設問2(1)
設問:リモートPCにダウンロードする証明書を答えよ
解答:Webサーバ, 本社VPNサーバ
設問3(3)
設問:営業所UTMにアクセス許可する接続先を答えよ(FW以外)
解答:Web会議サービス, 本社VPNサーバ
となっておりますが、以下の理解でよろしでしょうか?
設問2(1)について
リモートPCは社員のテレワーク環境から接続するので、
先ず本社DMZ上にあるWebサーバにログインしてワンタイムパスワードを入手し
次に本社VPNサーバに接続して認証してもらうことで内部ネットワークのPCにアクセスができる
なお営業所1PCの場合は、
社員のテレワーク環境PC
↓
本社DMZ上にあるWebサーバ
↓
本社VPNサーバ
↓
営業所1VPNサーバ
↓
営業所1PC
の順番で認証及び接続を行う
設問3(3)について
営業所1、2の内部ネットワークのPCからUTMへのアクセス許可なので
社員のテレワーク環境PCは対象外でWebサーバへのアクセスは不要
このため、接続先は
プロキシ例外設定(ローカルブレイクアウト)のWeb会議サービスと
従来の通信のための本社VPNサーバの2つとなる。
以上、よろしくお願いします。
2024.07.04 14:24
Nekoさん
(No.2)
長文となってしまいました。うまく説明できているか自信ありませんが・・
過去問道場の解説を参考にしております。
設問2(1)
まずはリモートPCがW社の社内ネットワークに接続するのに必要なこととして
「Webサーバのリモートログイン専用のページにアクセス」
「本社VPNサーバにアクセスしてIDとワンタイムパスワードを入力する」です。
問題文に下記の記載があり、それぞれのサーバーにアクセスするのにそれぞれ証明書が必要であることが示されています。
Webサーバー:リモートPC上の証明書が利用される
本社VPNサーバ:リモートPC上の証明書と合わせてVPN接続の認証が行われる
こちらから設問の回答として「Webサーバ, 本社VPNサーバ」が導き出されます。
この後に問題文にあるように2段階目の認証として本社の認証サーバーで認証処理されてW社の内部ネットワークに接続できた状態となります。
あとは営業所の内部PCにアクセスするために拠点間の通信ルートである
本社VPNサーバ→~本社FW~インターネット~営業所1UTM~営業所1VPNサーバ~営業所1PC
の流れで通信が行われます。
設問3(3)
営業所のUTMの接続先として「本社VPNサーバ」は拠点間(本社~営業所)のVPN接続のため必要であることはご理解いただいているとして
あとは解説にありましたローカルブレークアウトの考え方になります。
まずリモートPCは営業所にあるPCに接続して遠隔操作している状態になりますので実際のWeb会議の通信を行っているのは営業所のPCということになります。
通常のインターネットに抜ける通信は営業所から本社プロキシサーバーを経由するので通信量の多いWeb会議によって「本社のインターネット接続回線の帯域使用率が非常に高い」トラブルが発生します。
しかし、営業所側のUTMでWeb会議の通信を本社に流さず、営業所から直接インターネット上の「Web会議サービス」に接続させることを許可することによって、本社の帯域使用率を減らすことができるという考えとなります。
社員のテレワーク環境PCは対象外でWebサーバへのアクセスは不要
→上記の通り社員のテレワーク環境PCはリモートで接続され本社を通じて営業所と通信します。
解説にありますように、営業所の内部PCのWeb会議の通信データは本社VPNサーバーを通じて社員のテレワーク環境PCに転送されます。
※営業所からのローカルブレークアウトがなければ本社の通信が2倍となってしまうということですね。
過去問道場の解説を参考にしております。
設問2(1)
まずはリモートPCがW社の社内ネットワークに接続するのに必要なこととして
「Webサーバのリモートログイン専用のページにアクセス」
「本社VPNサーバにアクセスしてIDとワンタイムパスワードを入力する」です。
問題文に下記の記載があり、それぞれのサーバーにアクセスするのにそれぞれ証明書が必要であることが示されています。
Webサーバー:リモートPC上の証明書が利用される
本社VPNサーバ:リモートPC上の証明書と合わせてVPN接続の認証が行われる
こちらから設問の回答として「Webサーバ, 本社VPNサーバ」が導き出されます。
この後に問題文にあるように2段階目の認証として本社の認証サーバーで認証処理されてW社の内部ネットワークに接続できた状態となります。
あとは営業所の内部PCにアクセスするために拠点間の通信ルートである
本社VPNサーバ→~本社FW~インターネット~営業所1UTM~営業所1VPNサーバ~営業所1PC
の流れで通信が行われます。
設問3(3)
営業所のUTMの接続先として「本社VPNサーバ」は拠点間(本社~営業所)のVPN接続のため必要であることはご理解いただいているとして
あとは解説にありましたローカルブレークアウトの考え方になります。
まずリモートPCは営業所にあるPCに接続して遠隔操作している状態になりますので実際のWeb会議の通信を行っているのは営業所のPCということになります。
通常のインターネットに抜ける通信は営業所から本社プロキシサーバーを経由するので通信量の多いWeb会議によって「本社のインターネット接続回線の帯域使用率が非常に高い」トラブルが発生します。
しかし、営業所側のUTMでWeb会議の通信を本社に流さず、営業所から直接インターネット上の「Web会議サービス」に接続させることを許可することによって、本社の帯域使用率を減らすことができるという考えとなります。
社員のテレワーク環境PCは対象外でWebサーバへのアクセスは不要
→上記の通り社員のテレワーク環境PCはリモートで接続され本社を通じて営業所と通信します。
解説にありますように、営業所の内部PCのWeb会議の通信データは本社VPNサーバーを通じて社員のテレワーク環境PCに転送されます。
※営業所からのローカルブレークアウトがなければ本社の通信が2倍となってしまうということですね。
2024.07.07 02:09
ミケママさん
(No.3)
コメントありがとうございます。よく理解できました。
あと1点確認させてください。
設問3(3)
設問:営業所UTMにアクセス許可する接続先を答えよ(FW以外)
解答:Web会議サービス, 本社VPNサーバ
について
「本社DMZ上にあるWebサーバには、社員のテレワーク環境PCのみアクセスし、営業所の内部PCはアクセスしないため、営業所UTMにアクセス許可する接続先には該当しない」
この考えであっていますでしょうか?
よろしくお願いします。
あと1点確認させてください。
設問3(3)
設問:営業所UTMにアクセス許可する接続先を答えよ(FW以外)
解答:Web会議サービス, 本社VPNサーバ
について
「本社DMZ上にあるWebサーバには、社員のテレワーク環境PCのみアクセスし、営業所の内部PCはアクセスしないため、営業所UTMにアクセス許可する接続先には該当しない」
この考えであっていますでしょうか?
よろしくお願いします。
2024.07.10 19:45
Nekoさん
(No.4)
WebブラウザやWebサーバーという言葉がでてややこしいですね。
解説にある
「Web会議サービスに対する通信は、VPN通信をしないようにWebブラウザに例外設定をする」
→このVPNというのもリモートVPNではなく本社と営業所間の「拠点間VPN」を指していると考えられます。
リモート会議は本社のWebサーバーのサービスではなく、インターネット上のクラウドサービスになり、ブラウザでアクセスします。
※「Web会議サービス」の使用には「本社のWebサーバー」は関与しません。
ブラウザの設定でWeb会議サービスのURLをプロキシサーバーを使用しないと設定することによってWeb会議サービスの通信が本社のプロキシサーバーに向かわない様にします。
そして、営業所からインターネットへの通信は本社プロキシサーバーを経由する設定ため、営業所のUTMは本社FWへ通信を転送しますが、Web会議サービスの通信については直接インターネットに抜けるルートを設定することによってUTM~インターネット~Web会議サービスのルートで通信できるようになります。
※本来の営業所内部ネットワークPCのWeb会議の通信は
UTM~本社FW~L2SW~本社プロキシサーバ~L2SW~本社FW~インターネット~Web会議サービス
通信を荷物に例えて、通常であれば「Web会議サービス」の宛先の荷物はルート(道)が営業所UTM→本社FW→本社プロキシサーバーを経由するパターンしかありませんでしたが、あたらに営業所のUTMから直接インターネットに抜ける道を作って「Web会議サービス」宛の荷物はそこを通ってくださいと設定したという考えでしょうか。
(図でいうところで UTM~インターネット~Web会議サービス)
※本社Webサーバーのサービスは、リモートPCの認証の機能しか問題上は出ていません。この問題は、Web会議サービスによる本社ネットワークの帯域使用増加対策ですので、本社Webサーバーへのアクセスを許可しなければいけない理由はないので答えには該当しないという考えかと思います。
(本社Webサーバーにリモート接続の認証以外の別サービスの機能がある場合は本社FW経由でWebサーバーにアクセスするルートが設定されている可能性はあります)
ミケママさんの
「本社DMZ上にあるWebサーバには、社員のテレワーク環境PCのみアクセスし、営業所の内部PCはアクセスしないため、営業所UTMにアクセス許可する接続先には該当しない」という考えも上記条件(Web会議サービスの使用)では当てはまると考えます。
解説にある
「Web会議サービスに対する通信は、VPN通信をしないようにWebブラウザに例外設定をする」
→このVPNというのもリモートVPNではなく本社と営業所間の「拠点間VPN」を指していると考えられます。
リモート会議は本社のWebサーバーのサービスではなく、インターネット上のクラウドサービスになり、ブラウザでアクセスします。
※「Web会議サービス」の使用には「本社のWebサーバー」は関与しません。
ブラウザの設定でWeb会議サービスのURLをプロキシサーバーを使用しないと設定することによってWeb会議サービスの通信が本社のプロキシサーバーに向かわない様にします。
そして、営業所からインターネットへの通信は本社プロキシサーバーを経由する設定ため、営業所のUTMは本社FWへ通信を転送しますが、Web会議サービスの通信については直接インターネットに抜けるルートを設定することによってUTM~インターネット~Web会議サービスのルートで通信できるようになります。
※本来の営業所内部ネットワークPCのWeb会議の通信は
UTM~本社FW~L2SW~本社プロキシサーバ~L2SW~本社FW~インターネット~Web会議サービス
通信を荷物に例えて、通常であれば「Web会議サービス」の宛先の荷物はルート(道)が営業所UTM→本社FW→本社プロキシサーバーを経由するパターンしかありませんでしたが、あたらに営業所のUTMから直接インターネットに抜ける道を作って「Web会議サービス」宛の荷物はそこを通ってくださいと設定したという考えでしょうか。
(図でいうところで UTM~インターネット~Web会議サービス)
※本社Webサーバーのサービスは、リモートPCの認証の機能しか問題上は出ていません。この問題は、Web会議サービスによる本社ネットワークの帯域使用増加対策ですので、本社Webサーバーへのアクセスを許可しなければいけない理由はないので答えには該当しないという考えかと思います。
(本社Webサーバーにリモート接続の認証以外の別サービスの機能がある場合は本社FW経由でWebサーバーにアクセスするルートが設定されている可能性はあります)
ミケママさんの
「本社DMZ上にあるWebサーバには、社員のテレワーク環境PCのみアクセスし、営業所の内部PCはアクセスしないため、営業所UTMにアクセス許可する接続先には該当しない」という考えも上記条件(Web会議サービスの使用)では当てはまると考えます。
2024.07.10 22:49
ミケママさん
(No.5)
よく分かりました。
Nekoさん、親切丁寧な解説ありがとうございました。
Nekoさん、親切丁寧な解説ありがとうございました。
2024.07.15 11:51
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告