ラベル 【ネスペ過去問解説】H30 午後Ⅰ問1-設問2 の投稿を表示しています。 すべての投稿を表示
ラベル 【ネスペ過去問解説】H30 午後Ⅰ問1-設問2 の投稿を表示しています。 すべての投稿を表示

2020年8月15日土曜日

【ネスペ過去問解説】平成30年度 午後Ⅰ 問1-設問2

もうSquid入れた方が良いかも。


解説書きながら気づきましたが、ネットワークスペシャリストでは、結構プロキシ問題多いです。そんで、大体同じ内容。ネットワーク系のサーバをあまり触ったことが無ければ、クライアントにVMWare入れて、CentOS+Squid入れて試した方が良いかも。その方が早い気がします。では、始めまーす。

設問2.[G社Saasの試用]について(1)と(2)に答えよ。


(1)本文中の下線②についてHTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ。


この問題も過去に同じ問題が出ていました。プロキシでHTTPS通信する時は、暗号化された文章を復号できないから、そのまま透過させてしまうんですね。そのメソッドは何かと聞いています。squid入れたらログでCONNECTとかでてきますよね。
もうこれも知識問題です。覚えましょう。

答え)CONNECTメソッド


また、このメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただしHTTPS以外の通信)を遮断するためのプロキシサーバでの対策を30時以内で述べよ。

1つの問の中に2つの問題。「やめてよ…」と思っても、合格しないので何か書かないといけません。でも、これは難しいですね。上に書いたように、CONNECTだと全部透過してしまうんですね。だからクライアント側でFTPとかをCONNECTメソッド指定しちゃうと、インターネット上のC&Cサーバ等の悪いサーバに対しても、何か送ってしまうことも出できます。(悪さが簡単にできる)

まぁ、大体のネットワークは、プロキシの前にはFWがいるから、そこでも対応するのだけれど。squidを設定する時は以下のおまじないを書きます。「SSL_ports以外のCONNECTメソッド接続を拒否する」というルールです。

***********************************

http_access deny CONNECT !SSL_ports

***********************************

答え)HTTPS以外のポートのCONNECTを拒否する。


(2)本文中の[ ウ ]に入れる適切な字句を、20字以内で答えよ。


本文中に「アクセス先のURLを把握するために、プロキシサーバで暗号化通信を一旦復号し、必要な処理を行った上で再度暗号化した。」とあります。これは、マジで、過去問に同じ問題があったと思って調べてみたら、「H26の午後Ⅱ問1」でした。過去問は5,6年分は、一通りした方が良いかもです。
因みに、今回の場合の動きは、こうなります。

①PCから「https://aaa.bbb」に通信するために、プロキシにCONNECTメソッド送信
②プロキシは、自分が「https://aaa.bbb」として証明書を作成
③プロキシは、PCに②の証明書を提示
④プロキシは、①~③までとは別に本物の「https://aaa.bbb」と代理で通信する。

①~③のあと、PCでエラーが出ないためには何が必要か。
そうです。プロキシのルート証明書です。実はプロキシで復号するために、よくやる手です。ADのグループポリシーとかでルート証明書を配布しているかもです。

答え)プロキシサーバのルート証明書


さいごに

今年のお盆は、里帰りもできないです。
コロナよ、本当にやってくれたなー!!