今日は、平成21年度秋期ネットワークスペシャリスト午後I 問2を解こうと思います。
問題文および模範解答(解答のみ、解説はありません)は下のリンクからどうぞ。
※IPAのサイトで公開されているPDFにリンクしています
各問解説
設問1
(ア)
『JavaScriptの非同期通信機能による画面遷移が起こらない動的なユーザインターフェイス』といえば、 AJax(Asynchronous Javascript And XML)のことです。ネットワークエンジニアというよりはWebコンテンツプログラマの受け持ち範囲のような気がしますが、まぁ周辺技術も頭に入れておけと言うことなのでしょうか。
(イ)
TCPの25番ポートを使用するプロトコルは SMTP(Simple Mail Transfer Protocol)です。
(ウ)
TCPの995番ポートを使用するプロトコルは POP3S (POP3 over SSH/TLS)です。
従来のPOP3(Post Office Protocol version 3、TCPの110番ポートを使用)はアカウントやパスワードも含めて通信が暗号化されないため、盗聴によって通信内容やアカウント情報が漏洩する危険がありました。POP3Sではメールサーバとクライアントの間でSSL/TLSによる通信路を形成し、通信を暗号化することによって安全を確保します。
(イ)や(ウ)のようなウェルノウンポートについてはひととおり憶えておくのがよいでしょう。
(エ)
『一つのグローバルアドレスを共有し、同時に複数のPCがASPサーバと通信する』ために使われる機能は NAPT (Network Address Port Translation)です。これは、LAN側の送信元アドレスを1つのグローバルアドレスに変換することで外部ネットワークとの通信を行うものです。送信元の区別にはポート番号を使用します。
なお、IPマスカレードやPATもNAPTとほぼ同じ意味ですが、IPマスカレードはNAPTのLinuxにおける実装のことで、PATはCisco独自の用語です。情報処理技術者試験の場合は一般的な用語としてNAPTと解答するのが適切だと思います。
(オ)
HTTPSは、Webサーバとクライアントとの通信にSSL/TLSを用いてサーバの認証および通信の暗号化・改竄検出を行います。プロキシサーバを経由してアクセスする場合は、HTTPのセッションを中継ではなく透過させるようにします。このとき、CONNECTメソッドを使用してプロキシサーバへ接続先を指定します。
設問2
(1)
表の『アクセス設定』の項をみると、『接続を許可するクライアントのIPアドレスを設定する』とあるので、これによって接続元を社内PCのみに限定します。Webメールを使用するため、社内PCはHTTPSによってメールサーバにアクセスします。このとき直接J社のサーバにアクセスするのではなく、プロキシサーバを経由するので、J社のメールサーバからみたアクセス元はプロキシサーバです。
よって、J社のメールサーバに対する設定は『アクセス設定でプロキシサーバのIPアドレスだけを許可する』です。
(2)
本文中に『PCでのメール送受信には、内部メールサーバとの間でSMTPとPOP3を利用している』とあるので、現在のメールの転送は次のようになると思われます。
社内から社外へ:社内PC → 内部メールサーバ → 外部メールサーバ → インターネット
社外から社内へ:インターネット → 外部メールサーバ → 内部メールサーバ → 社内PC
社内から社内へ:社内PC → 内部メールサーバ → 社内PC
メールシステム移行後は、『社内から社内へ』の場合も含めたすべてのメール送受信がJ社のメールサーバを利用することになります。よって、トラフィックの調査には『社内から社内へ』のメール送受信も含めなければなりません。しかし『社内から社内へ』の通信は外部メールサーバを経由しないため、外部メールサーバのログを調べても通信の状況が判りません。そのため、『社内から社内へ』のメールでも『社内から社外』のメールでも『社外から社内へ』のメールでも必ず経由する内部メールサーバのログを調査するのです。
以上より、外部メールサーバのログを調査しなかった理由は『社内から社内へのログが残っていないから』です。
(3)
『メールを閲覧しただけでPCがウィルスに感染する』のは、HTMLメールを表示する機能(Webサイトと同様に画像やスクリプトも使用できてしまう)が悪用されています。これを防ぐため、HTMLメール表示機能を無効にする(プレーンテキストとして表示する)のが安全です。
設問3
(1)
カ、キはメールサーバを現行のX社外部メールサーバからJ社のメールサーバ(ASPサーバ)に移行する手順のうち、DNSサーバに関する変更点を記述した文中にあります。
DNSで、あるドメイン宛のメールを処理するサーバを指定するのがMXレコードです。MXレコードは以下のような書式です。
[ドメイン名] [TTL] IN MX [優先度] [メールサーバのFQDN]
メールサーバの移行によって変更するのは、言うまでもなくメールサーバのFQDNです。現状ではX社の外部メールサーバが指定されています。これをASPサーバに変更する事で、外部からのメールがJ社のASPで処理されるようになります。
よって、カがMXレコード、キがFQDNとなります。
(2)
移行手順(d)の後も、移行手順(g)が終了するまでは内部メールサーバを停止することができません。この間に移行手順(e)を行わず内部メールサーバを使用してメールを送受信してしまう社員がいるのではないか、という懸念です。
移行手順(f)のため内部メールサーバそのものを停止させることはできませんが、内部メールサーバを使用してメールの送受信ができなければ内部メールサーバに新規のメールが保存されることはありません。移行手順(c)が完了した時点で内部メールサーバに外部からのメールが届くことはなくなっているので、あとは内部メールサーバからのメール転送を停止すれば内部メールサーバを使用したメール送信は行われなくなるはずです。よって、解答は(内部メールサーバの)『SMTPの機能を停止する』となります。
(3)
移行手順(e)は、移行手順(f)『PCからASPサーバへのメールデータのアップロード』のための準備です。本文中にある『PCに保存しているメールデータをASPサーバに移行する方法』は、PCからIMAPやIMAPSを利用するものです。PCのメールソフトがIMAPSに対応していないことから、
社内PC →(IMAP)→ プロキシサーバ(SSLゲートウェイ) →(IMAPS)→ J社ASPサーバ
という手順でメールデータのアップロードを行うことが読み取れます。よって、社内PCに必要な設定は、
・受信プロトコルをIMAPにする
・受信サーバをプロキシサーバにする
となります。
(4)
輻輳の危険があるため『割り当てられた作業期間以外にはアップロード作業ができないような対策』について、『FWの設定で対応したい』とあるので、作業期間ごとにJ社ASPサーバに接続できる社内PCを限定するような設定が必要です。
社内PCには固定IPアドレスが割り当てられているので、これを利用すれば容易に『社員』や『社員グループ』毎のアクセス制御が可能でしょう。ただしメールアップロード作業期間中にも通常業務は行われていると思われるので、メールアップロード以外のインターネットアクセス(HTTPやHTTPS)は利用できるようにしなけらばなりません。よって解答は
『作業期間ごとにIMAPを利用できる送信元IPアドレスを制限する』となります。
感想
午後Iの問題の中では易しめ
コメント