もうSquid入れた方が良いかも。
解説書きながら気づきましたが、ネットワークスペシャリストでは、結構プロキシ問題多いです。そんで、大体同じ内容。ネットワーク系のサーバをあまり触ったことが無ければ、クライアントにVMWare入れて、CentOS+Squid入れて試した方が良いかも。その方が早い気がします。では、始めまーす。
設問2.[G社Saasの試用]について(1)と(2)に答えよ。
(1)本文中の下線②についてHTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ。
もうこれも知識問題です。覚えましょう。
答え)CONNECTメソッド
また、このメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただしHTTPS以外の通信)を遮断するためのプロキシサーバでの対策を30時以内で述べよ。
1つの問の中に2つの問題。「やめてよ…」と思っても、合格しないので何か書かないといけません。でも、これは難しいですね。上に書いたように、CONNECTだと全部透過してしまうんですね。だからクライアント側でFTPとかをCONNECTメソッド指定しちゃうと、インターネット上のC&Cサーバ等の悪いサーバに対しても、何か送ってしまうことも出できます。(悪さが簡単にできる)
まぁ、大体のネットワークは、プロキシの前にはFWがいるから、そこでも対応するのだけれど。squidを設定する時は以下のおまじないを書きます。「SSL_ports以外のCONNECTメソッド接続を拒否する」というルールです。
***********************************
http_access deny CONNECT !SSL_ports
***********************************
答え)HTTPS以外のポートのCONNECTを拒否する。
(2)本文中の[ ウ ]に入れる適切な字句を、20字以内で答えよ。
本文中に「アクセス先のURLを把握するために、プロキシサーバで暗号化通信を一旦復号し、必要な処理を行った上で再度暗号化した。」とあります。これは、マジで、過去問に同じ問題があったと思って調べてみたら、「H26の午後Ⅱ問1」でした。過去問は5,6年分は、一通りした方が良いかもです。
因みに、今回の場合の動きは、こうなります。
①PCから「https://aaa.bbb」に通信するために、プロキシにCONNECTメソッド送信
②プロキシは、自分が「https://aaa.bbb」として証明書を作成
③プロキシは、PCに②の証明書を提示
④プロキシは、①~③までとは別に本物の「https://aaa.bbb」と代理で通信する。
①~③のあと、PCでエラーが出ないためには何が必要か。
そうです。プロキシのルート証明書です。実はプロキシで復号するために、よくやる手です。ADのグループポリシーとかでルート証明書を配布しているかもです。
答え)プロキシサーバのルート証明書
さいごに
今年のお盆は、里帰りもできないです。
コロナよ、本当にやってくれたなー!!
0 件のコメント:
コメントを投稿