読み込み中...
ローカルブレイクアウトによる負荷軽減
A社は,従業員300人の建築デザイン会社である。東京本社のほか,大阪,名古屋,仙台,福岡の4か所の支社を構えている。本社には100名,各支社には50名の従業員が勤務している。
A社は,インターネット上のC社のSaaS(以下,C社SaaSという)を積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは,C社SaaS宛ての通信がHTTPSであることから,ネットワークの負荷軽減を目的に,各支社のPCからC社SaaS宛ての通信を,本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする,ローカルブレイクアウトについて検討することにした。
〔現在のA社のネットワーク構成〕
現在のA社のネットワーク構成を図1に示す。
現在のA社のネットワーク構成の概要を次に示す。
- 本社及び各支社はIPsec VPN機能をもつUTMでインターネットに接続している。
- プロキシサーバは,従業員が利用するPCのHTTP通信,HTTPS通信をそれぞれ中継する。プロキシサーバではセキュリティ対策として各種ログを取得している。
- DMZや内部ネットワークではプライベートIPアドレスを利用している。
- PCには,DHCPを利用してIPアドレスの割当てを行っている。
- PCが利用するサーバは,全て本社のDMZに設置されている。
- A社からインターネット向けの通信については,本社のUTMでNAPTによるIPアドレスとポート番号の変換をしている。
〔現在のA社のVPN構成〕
A社は,UTMのIPsec VPN機能を利用して,本社をハブ,各支社をスポークとする ア 型のVPNを構成している。本社と各支社との間のVPNは,IP in IPトンネリング(以下,IP-IPという)でカプセル化し,さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し,2拠点間をトンネル接続している。①本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。 ②この鍵はペアごとに異なる値が設定されている。③IPsecの通信モードには,トランスポートモードとトンネルモードがあるが,A社のVPNではトランスポートモードを利用している。
A社のVPNを構成するIPパケット構造を図2に示す。
VPNを構成するために,本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。④IP-IP over IPsecインタフェースでは,IP Unnumbered設定が行われている。 また,⑤IP-IP over IPsecインタフェースでは,中継するTCPパケットのIPフラグメントを防止するための設定が行われている。
〔プロキシサーバを利用した制御〕
BさんがUTMについて調べたところ,追加ライセンスを購入することでプロキシサーバ(以下,UTMプロキシサーバという)として利用できることが分かった。Bさんは,ネットワークの負荷軽減のために,各支社のPCからC社SaaS宛ての通信は,各支社のUTMプロキシサーバをプロキシサーバとして指定することで直接インターネットに向けることを考えた。また,各支社のPCからその他インターネット宛ての通信は,通信相手を特定できないことから,各種ログを取得するために,これまでどおり本社のプロキシサーバをプロキシサーバとして指定することを考えた。各支社のPCから,C社SaaS宛てとその他インターネット宛ての通信の流れを図3に示す。
Bさんは,各支社のPCが利用するプロキシサーバを制御するためにプロキシ自動設定(以下,PACという)ファイルとWebプロキシ自動検出(以下,WPADという)の導入を検討することにした。
〔PACファイル導入検討〕
BさんはPACファイルの作成方法について調査した。PACファイルはJavaScriptで記述する。PACファイルに記述するFindProxyForURL関数の第1引数であるurlにはアクセス先のURLが,第2引数であるhostにはアクセス先のURLから取得したホスト名が渡される。これらの引数に渡された値を様々な関数を用いて条件分けし,利用するプロキシサーバを決定する。FindProxyForURL関数の戻り値が“DIRECT”ならば,プロキシサーバを利用せず直接通信を行う。戻り値が“PROXY host:port”ならば,指定されたプロキシサーバ(host)のポート番号(port)を利用する。テスト用に大阪支社のUTMを想定したPACファイルを作成した。Bさんが作成した大阪支社のUTMのPACファイルを図4に示す。
Bさんは,テスト用のPCとテスト用のUTMプロキシサーバを用意し,作成したPACファイルを利用することで,テスト用のPCからC社SaaS宛ての通信が,期待どおりに本社のプロキシサーバを利用せずに,テスト用のUTMプロキシサーバを利用することを確認した。⑥Bさんは各支社のPACファイルを作成した。
〔WPAD導入検討〕
WPADは, イ や ウ の機能を利用して,PACファイルの場所を配布するプロトコルである。PCやWebブラウザのWebプロキシ自動検出が有効になっていると, イ サーバや ウ サーバと通信を行い,アプリケーションレイヤプロトコルの一つである エ を利用して エ サーバからPACファイルのダウンロードを試みる。WPADの利用には,PCやWebブラウザのWebプロキシ自動検出を有効にするだけでよく,簡便である一方,悪意のある イ サーバや ウ サーバがあると ⑦PCやWebブラウザが脅威にさらされる可能性も指摘されている。 Bさんは,WPADは利用しないことにし,PCやWebブラウザのWebプロキシ自動検出を無効にすることにした。PCやWebブラウザにはPACファイルの オ を直接設定する。
Bさんが検討した対応案が承認され,情報システム部はプロジェクトを開始した。
設問1
〔現在のA社のネットワーク構成〕について答えよ。
(1)
本文中の ア に入れる適切な字句を答えよ。
(2)
本文中の下線①について,本社のUTMと支社のUTMのペアで共有する鍵を何と呼ぶか答えよ。
(3)
本文中の下線②について,鍵は全て同じではなく,ペアごとに異なる値を設定することで得られる効果を,鍵の管理に着目して25字以内で答えよ。
0 / 25字
(4)
本文中の下線③について,A社のVPNで利用しているトランスポートモードとした場合は元のIPパケット(元のIPヘッダーと元のIPペイロード)とESPトレーラの範囲を暗号化するのに対し,A社のVPNをトンネルモードとした場合はどの範囲を暗号化するか。図2中の字句で全て答えよ。
(5)
本文中の下線④について,IP Unnumbered設定とはどのような設定か。“IPアドレスの割当て”の字句を用いて30字以内で答えよ。
0 / 30字
(6)
本文中の下線⑤について,中継するTCPパケットのIPフラグメントを防止するための設定を行わず,UTMでIPフラグメント処理が発生する場合,UTMにどのような影響があるか。10字以内答えよ。
0 / 10字
設問2
〔PACファイル導入検討〕について答えよ。
(1)
図4について,DMZにあるWebサーバにアクセスする際,プロキシサーバを利用する場合はプロキシサーバ名を答えよ。プロキシサーバを利用しない場合は“利用しない”と答えよ。
(2)
図4について,インターネット上にある https://www.example.com/foo/index.html にアクセスする際,プロキシサーバを利用する場合はプロキシサーバ名を答えよ。プロキシサーバを利用しない場合は“利用しない”と答えよ。
(3)
図4について,isInNet(ip, "172.16.0.0", "255.240.0.0")のアドレス空間は,どこからどこまでか。最初のIPアドレスと最後のIPアドレスを答えよ。
(4)
図4について,変数ipがプライベートIPアドレスの場合,戻り値を“DIRECT”にすることで得られる効果を,“負荷軽減”の字句を用いて20字以内で答えよ。
0 / 20字
(5)
本文中の下線⑥について,PACファイルは支社ごとに用意する必要がある理由を25字以内で答えよ。
0 / 25字
設問3
〔WPAD導入検討〕について答えよ。
(1)
本文中の イ 〜 オ に入れる適切な字句を答えよ。
(2)
本文中の下線⑦について,どのような脅威があるか。25字以内で答えよ。
0 / 25字