平成21年秋期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
リモートアクセスに関する次の記述を読んで,設問1~3に答えよ。
広告
 T社は,東京に本社があり,都内に3か所の営業所をもつ食料品販売会社である。本社と各営業所のLANは,インターネットVPNによって相互に接続され,T社のネットワークを構成している。インターネットVPNには,ファイアウォール(以下,FWという)に組み込まれているIPsec機能を使用している。
 インターネットVPNの導入前から,営業員は,T社から1人に1台支給される携帯用PCから,公衆網を利用してT社ネットワークにリモートアクセスをしている。営業員は,リモートアクセスによって,メールサーバ,Webサーバ,データベースサーバ(以下,DBサーバという)へのアクセスなど,社内と同様の作業を行える。リモートアクセスには,本社に設置されたリモートアクセスサービスサーバ(以下,RASサーバという)にPHSで接続する方式を使用している。
 図1に,T社ネットワークの構成を示す。社内LANでは,DHCPサーバが割り当てるローカルIPアドレスを使用している。
pm05_1.png
 T社の事業拡張に伴い,携帯用PCのリモートアクセスに,次の問題が発生した。
  • 営業員の増加によってRASサーバへのアクセスが増し,回線がつながりにくくなり,業務に支障が出ている。
  • 営業地域が全国に拡大し,通信費が増大している。
 問題解決のために,インターネット経由で携帯用PCを接続する方法として,次の三つの案を検討した。

〔案1〕
 社内のRASサーバの代わりに,通信事業者が提供するRASサーバに,携帯用PCからリモートアクセスする(図2)。営業員は,最寄りの通信事業者のRASサーバに,PHSで接続する。RASサーバへの接続時のユーザ認証は,abなどを利用して通信事業者が行う。
pm05_2.png

〔案2〕
 既存のFWによるIPsec機能とは別に,SSL-VPN装置を導入しSSLによってVPNを構成する(図3)。携帯用PCをインターネットに接続できる環境があれば,Webブラウザを起動して,社内のアプリケーションを利用できる。
 SSL-VPN装置は,cが発行したサーバ証明書を携帯用PCに送信して,自らをサーバ認証してもらう。逆に,クライアント証明書を受信して,クライアント認証を行うこともできる。
pm05_3.png

〔案3〕
 既存のインターネットVPNを使用する(図4)。携帯用PCをインターネットに接続できる環境があれば,あらかじめインストールしておいたIPsecクライアント用ソフトウェアを使用して,社内のアプリケーションを利用できる。
 セキュリティプロトコルには,データの暗号化機能を提供するdを使用する。通信モードには,IPヘッダーとデータ部をまとめて暗号化するトンネルモードを使用する。
pm05_4.png


〔案3の課題〕
 案1~3の特徴を考慮して,案3を導入する方向で検討を進めた。営業員の利用環境を調査したところ,NAPTを利用している環境があったが,NAPTの利用に関連して発生することのある問題には対処できていることが確認できた。しかし,リモートアクセスを不可能にする別の課題があることが分かった。例えば,携帯用PCが,出張先のホテルにあるeから,動的にfを取得する場合,T社ネットワーク内でfが重複してしまい,リモートアクセスができなくなるおそれがある。
 この課題について更に調査し,恒久的な対策があることが分かった。
広告

設問1

本文中のadに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d に関する解答群
  • AH
  • CA
  • CHAP
  • ESP
  • ICMP
  • IEEE
  • ISO
  • RADIUS
  • RFC

解答例・解答の要点

a: ※順不同
b: ※順不同
c:
d:

解説

用語の穴埋め問題ですので、各用語の概要を確認します。
AH (Authentication Header)
IPsecプロトコルを構成する技術の一つで、IPパケットの送信元の認証やパケットが改ざんされていないか確認します。暗号化は行いません。
CA (Certificate Authority)
サーバ証明書等の電子証明書を発行する機関のことです。認証局とも言います。
CHAP (Challenge Handshake Authentication Protocol)
ルータ同士の接続やモデムとの接続で利用されるPPP(Point-to-Point Protocol)などで、チャレンジ/レスポンス方式を利用したユーザ認証をする方法です。
ESP (Encapsulating Security Payload)
AHと同様にIPsecプロトコルを構成する技術の一つで、IPパケットの送信元の認証やパケットが改ざんされていないか確認して、暗号化を行います。
ICMP (Internet Control Message Protocol)
ネットワーク層でノード間の通信状態を確認するためのプロトコルです。
IEEE (Institute of Electrical and Electronics Engineers)
米国電気電子学会です。電気工学・電子工学技術分野における国際的な標準化を行っています。
ISO (International Organization for Standardization)
国際標準化機構です。電気・電子以外の様々な分野に関する国際規格の作成を行っています。
RADIUS (Remote Authentication Dial In User Service)
ネットワーク機器の接続可否の認証などに利用されるユーザ認証のプロトコルです。
RFC (Request for Comments)
IETFが発行してるインターネット技術についての文書のことです。プロトコルの仕様などが記載されています。
abについて〕
RASサーバ接続時のユーザ認証についての解答を求められてます。
解答群のうち、RASサーバ接続時のユーザ認証に使われるのは「CHAP」及び「RADIUS」です。

ab=ウ:CHAP、ク:RADIUS(※順不同)

cについて〕
サーバ証明書の発行元についての解答を求められています。
サーバ証明書は、電子証明書の一種でありCAにより発行されます。したがって、空欄には「CA」が当てはまります。

c=イ:CA

dについて〕
セキュリティプロトコルであるIPsecについて解答を求められています。
解答群の中でIPsecのプロトコルを構成する技術は「AH」「ESP」のいずれかになりますが、問題文では「暗号化機能を提供する」と書かれているため、「ESP」が当てはまると判断できます。

d=エ:ESP
広告

設問2

案1~3に関する記述として適切なものを解答群の中からそれぞれ一つ選び,記号で答えよ。
解答群
  • HTTP以外のアプリケーションの通信プロトコルに対応できない。
  • インターネット通信の暗号化を追加検討する必要がある。
  • クライアント認証の有無は,サーバ側で設定できる。
  • 事前共有鍵として,FWと携帯用PCに認証鍵を設定する。
  • パケット転送に,ラベルスイッチング方式を用いている。

解答例・解答の要点

案1:
案2:
案3:

解説

問題文を読むと現在のT社ネットワークは次の状態であることがわかります。
  • FWのIPsec機能を使用したインターネットVPNを利用して、本社と3か所の営業所を接続している。
  • 携帯用PCからPHSを利用してRASサーバに接続して、メールサーバやWebサーバなどの社内システムを利用している。
そこで携帯用PCのリモートアクセスに問題が発生したために、次の案1~3によって問題解決をすることを考えています。
案1:通信事業者が提供するRASサーバを利用する
通信事業者が提供するRASサーバにアクセスさせ、認証及びIPアドレスの割当てを行う。RASサーバは、接続を許可した携帯用PCと社内ネットワークの間に仮想的な通信経路を確立する(トンネリング)。
案2:SSL-VPN装置を導入する
SSL-VPN装置は携帯用PCを認証する。SSL-VPN装置は、携帯用PCと社内ネットワークの機器の間に仮想的な通信経路を確立する。
案3:既存のインターネットVPNを利用する
FWは携帯用PCを認証する。FWは、携帯用PCと社内ネットワークの機器の間に仮想的な通信経路を確立する。
解答群が、案1~3に関する記述として適切であるかを一つずつ確認していきます。
  • 案1:これまでメール等HTTP以外の社内システムは利用できているので、適切ではありません。
    案2:SSLの上位プロトコルとしては主にHTTPが使用されるというだけで、FTP、SMTP、POP3など様々なプロトコルに対応しているので、適切ではありません。
    案3:営業所-本社の利用でメール等HTTP以外の社内システムは利用できているので、適切ではありません。
  • 案1:通信事業者と本社間のインターネット区間がトンネリングされるものの、その区間が暗号化されるという記述がないため、検討が必要になります。よって、解答として適切です。
    案2:SSLによりインターネット通信を暗号化しているため、適切ではありません。
    案3:IPsecによりインターネット通信を暗号化しているため、適切ではありません。
  • 案1:RASサーバでの認証は必須で、認証の有無を選択することはできません。
    案2:SSLではクライアント証明書による認証はオプションとなっています。クライアント認証をするためにはサーバに設定を行います。よって、解答として適切です。
    案3:IPsecでは通信に先立ち認証を行います。認証の有無を選択することはできません。
  • 案1:事前共通鍵の共有は必要ではありません。
    案2:事前共通鍵の共有は必要ではありません。
    案3:IPsecでは、IKE(Internet Key Exchange)フェーズでの認証のために、FWと携帯用PC間で共有する鍵(事前共有鍵)をあらかじめ用意しておく必要があります。よって、解答として適切です。
  • ラベルスイッチング方式は、IPルーティングではなくIPパケットにラベルと呼ばれる情報を付加して、パケット転送を行います。ラベルスイッチング(MPLS)は、IP-VPN網で使われる技術なので、インターネットVPNを用いる本問では適切ではありません。
∴案1:イ、案2:ウ、案3:エ
広告

設問3

〔案3の課題〕について,(1),(2)に答えよ。
  • 本文中のefに入れる適切な字句を本文中から選んで答えよ。
  • 本文中の下線部の恒久的な対策として適切なものを解答群の中から選び,記号で答えよ。
解答群
  • 本社DHCPサーバからIPsec専用のIPアドレスを携帯用PCに割り当てる。
  • 本社FWの通信ポート443の通信を許可する。
  • 本社と営業所の通信ポート番号の体系を変更する。
  • 本社と営業所のローカルIPアドレスの体系を変更する。
  • 本社プロキシサーバのNAPT機能を解除する。

解答例・解答の要点

  • e:DHCPサーバ
    f:ローカルIPアドレス 又は IPアドレス

解説

  • efについて〕
    問題文中には「[e]から,動的に[f]を取得する。T社ネットワーク内で[f]が重複してしまい,リモートアクセスができなくなるおそれがある」と記載されています。

    T社ネットワークではローカルIPアドレスの割当てにDHCPサーバを使用しています。携帯用PCが本社のDHCPサーバと別のDHCPサーバを利用し、両者のアドレス割当て範囲が被っていると、IPアドレスの重複が発生することがあります。TCP/IPのネットワーク上でIPアドレスはユニークな値である必要があります。重複してしまうと送信元からのパケットはどこに送信すれば良いかわからなくなり、正常に通信することができなくなってしまいます。

    重複するとリモートアクセスができなくなってしまうということなので、[f]には「IPアドレス(もしくはローカルIPアドレス)」が当てはまります。

    上記の説明より、「eから,動的に「f:IPアドレス」を取得する」という文章になります。
    DHCPサーバはPCからIPアドレス取得を求められると指定した範囲のIPアドレスを指定して、PCに対して動的にIPアドレスを設定する機能をもつサーバです。したがって、[e]には「DHCPサーバ」が当てはまります。

    e=DHCPサーバ
     f=ローカルIPアドレス 又は IPアドレス

  • リモートアクセス時のIPアドレスが重複する問題の恒久対策を解答群の中から選ぶ問題です。解答群について検討します。
    • 正しい。社内ネットワーク内に存在するIPアドレスではないIPsec専用のIPアドレスを割り当てることができれば、重複は発生しなくなります。よって、適切な対策です。
    • 443番はHTTPSのポート番号です。HTTPSを使用するわけではないので無関係です。
    • IPアドレスが重複してしまうのが原因なので、ポート番号を変更しても無意味です。
    • 本社と営業所のローカルIPアドレスを変更しても、外出先で同じIPアドレスを割り振られてしまう可能性はあるため、恒久的対策としては適切ではありません。
    • NAPTの利用に関して発生することのある問題(TCP/UDPヘッダーが暗号化されてしまうのでポートの変換ができない)には対処できているので、NAPT機能を解除しても対策にはなりません。
    ∴ア
広告
模範解答
広告

前の問題次の問題


Pagetop