見出し画像
Photo by yukiao

ネットワークスペシャリスト試験問題解説(令和元年度 秋季 午後Ⅰ 問2)

ちくわ

こんにちは。ちくわです。前回に引き続き、今回は問2の解説を行います。よろしくお願いいたします。(出典:令和元年度 秋季 ネットワークスペシャリスト試験 午後 問2)

問題文

画像1

画像15

コメント

小規模のオンラインショップ、ECサイトに関する問題です。どなたかSNSでつぶやかれていましたが、ネットワークスペシャリスト(に限らないのかもしれません)の午後問題は読み物としても秀逸で、構成もリアリティが高く、デザインパターンの教材としてもよいと思います。

話が逸れました。現在はサーバ1台の構成であるECサイトに、追加のサーバ、LB、WAFを入れ、能力増強とセキュリティ強化を同時行おうというシナリオです。さて、Uさんはどのように検討していくのでしょうか。

問題文

画像16

画像3

コメント

まずUさんは、WAFサービスをSaaS型のものに決定し、仕様を確認しています。WAFにはSaaS型の他にも、サーバにインストールするタイプ、リバースプロキシタイプなどがあります。一般的なSaaS型のWAFは防御対象のトラフィック量に応じた価格設定がなされており、かつ、導入や運用が比較的容易で、この問題のような小規模なサイトに導入されるケースが多いようです。

説明の4項目、このWAFサービスは、アクセス元のIPアドレスを X-Forwarded-For ヘッダに記録しています。なぜこのようなことを行うのでしょうか。WAF導入後は、ECサイト側から見た場合の全てのHTTPSセッションの Source IP Address はWAFサービスのものになります。このため、実際のアクセス元の情報が失われてしまわないよう、HTTPヘッダとして記録しているのです。

問題文

画像4

画像5

画像6

コメント

SaaS型のWAFを導入する場合、ブラウザからのアクセスをWAFサービスに振り向けてあげる必要があり、これはDNSで設定するのが一般的です。Uさんの質問へのT社からの回答では、CNAMEレコードにWAFサービスのFQDNを設定することを推奨するそうです。この理由に関する設問が後で登場します。最後の段落では、FWのアクセス制御を、WAFサービスからの通信のみを許可するよう設定変更する、とありますが、これは全てのリクエストがWAFサービスからのみ来るようになるから、ですね。

問題文

画像7

画像8

画像9

画像10

コメント

次はLBの導入検討です。まず空欄穴埋め問題はここに書いてしまいます。
・ア=順番
・イ=80
・ウ=200
・エ=Set-Cookie
・オ=Cookie
です。このあたりは基本情報技術者試験レベルかと思いますので、解説は割愛します。

LB導入はアプリケーションレイヤの知識も要求され、場合によってはアプリケーションエンジニアとコミュニケーションを図って仕様を決める業務になります。実装上のポイントはどのようなアルゴリズムで負荷分散させるか、ユーザのセッション維持をどのような方式にするか、配下のサーバでダウンしているものがあればそのサーバには振り分けない、などがあります。

問題文

画像11

画像12

コメント

最後にWAFサービスに障害が発生した場合の備えを検討しています。ネットワークに限らず、障害が発生した場合の備えを検討し、事前に動作を確認しておくことが重要です。Uさんは、WAFサービスに障害が発生した場合、サービスの継続を優先し、手動で設定変更することでサービス継続させる計画としたようです。それでは設問にまいりましょう。

設問

画像13

解説

IPAの解答例は「T社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる。」です。

選定するWAFサービスに依りますが、一般的にシステムの改修などで(一時的にでも)IPアドレスが変更されることはそう珍しいものではありません。そのため、IPアドレスを直接記載するのではなく、FQDNでアクセスさせ、WAFサービスのIPアドレスの変更がA社サービスに影響しないようにしているのです。

設問

画像14

解説

(1) 先に記載した通りですので、スキップします。

(2) IPAの解答例は「負荷が偏る。」です。ECサイトですので、LBのセッション維持機能を利用して、ユーザごとの状態を保持しておく必要があります。そのための方式として、HTTPリクエストの送信元IPアドレスに基づく方式と、セッションIDに基づく方式がありました。先に解説した通り、HTTPリクエストの送信元IPアドレスに基づく方式を採用してしまうと、当該IPアドレスは1つですので、トラフィックが1つのサーバに偏ってしまいます。

(3) IPAの解答例は「HTTPヘッダを編集する処理」です。セッション維持にセッションIDに基づく方式を採用していますので、LBはHTTPヘッダを編集することが必要です。

設問

画像15

解説

(1) 機器名:FW
変更内容:任意のIPアドレスからWebシステムへのHTTPS通信を許可する。
WAF導入後、HTTPのアクセス元がWAFサービスからのみとなることで制限を強化していたFWの設定を元に戻す、つまり、インターネット全体からアクセス可能にするように設定変更してあげないといけないですね。

(2) 「shop IN A 199.α.β.2」です。
WAFサービスには障害が発生していて利用できませんので、直接A社のサービスに導いてあげる必要があります。構成としては、ブラウザから見た場合にLBがHTTPリクエストを処理するノードになりますので、shop.asha.com の A レコードににはLBのIPアドレスを記載します。

(3) IPAの解答例は「XFFヘッダに送信元IPアドレスを追加する設定」です。
先にコメントした通り、WAFを介する場合は、送信元IPアドレスからはエンドユーザのIPアドレスが分からなくなってしまうため、WAFサービスの有無にかかわらずXFFヘッダからエンドユーザのIPアドレスを読み取ることにしたようですね。そうすると、WAFがない場合、つまり、LBが直接エンドユーザからのHTTPリクエストをさばく場合に備えて、LBにもXFFヘッダに送信元IPアドレスを記録するように設定する必要があります。

おわりに

セキュリティ事故からWebサービスを守るためにWAFサービスを導入する企業は増えています。この問題では、能力増強とともにSaaS型のWAFサービスを導入する際の構成変更や障害時の備えを題材に、DNSの基礎知識、負荷分散装置の設定などを問う良問でした。

次回は問3を解説したいと思います。お楽しみに。




この記事が気に入ったらサポートをしてみませんか?