HOME»ネットワークスペシャリスト掲示板»平成25年度午後1設問3(オ)
投稿する
JavaアプレットとSSL-VPN装置とのトンネル確立には、ブラウザでSSL-VPN装置にHTTPSでアクセスし認証する必要があります。
HTTPSアクセス時のURLがFQDNの場合、DNSサーバによる名前解決が必要となります。
[0355] 平成25年度午後1設問3(オ)
サルコップさん(No.1)
平成25年度午後1設問3(オ)について
インターネットからDNSサーバへの接続ですが、
B社から資産管理サーバーへのアクセスはJavaアプレットの仕様により、
hostsファイルの定義で名前変換を行っており、
B社からDNSサーバーへのアクセスは不要でないかと思うのですが、
FWの許可が必要なのはなぜでしょうか。
B社以外からもインターネットからDNSサーバーへのアクセスはあるのでしょうか。
それとも、B社から資産管理サーバー以外のアクセスにはDNSサーバーが必要なのでしょうか。
インターネットからDNSサーバへの接続ですが、
B社から資産管理サーバーへのアクセスはJavaアプレットの仕様により、
hostsファイルの定義で名前変換を行っており、
B社からDNSサーバーへのアクセスは不要でないかと思うのですが、
FWの許可が必要なのはなぜでしょうか。
B社以外からもインターネットからDNSサーバーへのアクセスはあるのでしょうか。
それとも、B社から資産管理サーバー以外のアクセスにはDNSサーバーが必要なのでしょうか。
2023.12.05 13:16
hisashiさん(No.2)
★NW ゴールドマイスター
>B社以外からもインターネットからDNSサーバーへのアクセスはあるのでしょうか。
>それとも、B社から資産管理サーバー以外のアクセスにはDNSサーバーが必要なのでしょうか。
JavaアプレットとSSL-VPN装置とのトンネル確立には、ブラウザでSSL-VPN装置にHTTPSでアクセスし認証する必要があります。
HTTPSアクセス時のURLがFQDNの場合、DNSサーバによる名前解決が必要となります。
2023.12.06 22:03
サルコップさん(No.3)
hisashiさん
ご回答ありがとうございます。
私は根本的に勘違いをしていたかもしれません。
hostsの定義には、ループバックアドレスしか定義おらず、
本来の接続先IPアドレスはDNSサーバーから取得する必要があることが頭から抜け落ちていました。
「ネスペの剣」を見ながら学習しているのですが、Javaアプレットを使うために
hostsファイルにループバックアドレスと接続先サーバーのFQDNを定義してあるようですが、そのFQDNから本来の接続先IPアドレスを取得するのが、DNSサーバーという解釈であってますでしょうか。
流れとして
①端末のhostsを参照し、接続先サーバーURL(FQDN)からループバックアドレスを取得
②ループバックアドレスからJavaアプレットにアクセス
③SSL-VPN装置からトンネル確立
④接続先サーバーURL(FQDN)からDNSサーバー接続
⑤DNSサーバーで名前変換し、接続先サーバーにアクセス
ご回答ありがとうございます。
私は根本的に勘違いをしていたかもしれません。
hostsの定義には、ループバックアドレスしか定義おらず、
本来の接続先IPアドレスはDNSサーバーから取得する必要があることが頭から抜け落ちていました。
「ネスペの剣」を見ながら学習しているのですが、Javaアプレットを使うために
hostsファイルにループバックアドレスと接続先サーバーのFQDNを定義してあるようですが、そのFQDNから本来の接続先IPアドレスを取得するのが、DNSサーバーという解釈であってますでしょうか。
流れとして
①端末のhostsを参照し、接続先サーバーURL(FQDN)からループバックアドレスを取得
②ループバックアドレスからJavaアプレットにアクセス
③SSL-VPN装置からトンネル確立
④接続先サーバーURL(FQDN)からDNSサーバー接続
⑤DNSサーバーで名前変換し、接続先サーバーにアクセス
2023.12.07 09:34
hisashiさん(No.4)
★NW ゴールドマイスター
申し訳ありません、ご質問の内容が咀嚼できておりません。
齟齬をなくすため、いくつか確認をさせてください。
hostsファイルには、資産管理サーバとテスト環境サーバのFQDNが定義されております。本来の接続先IPアドレスは、SSL-VPN装置でしょうか?それとも開発システムのサーバのことでしょうか?
①と②はSSLトンネル確立後となります。
④の接続先サーバーURLは、開発システムのサーバのことでしょうか?
通信の流れは大まかに次の3つです。
・ブラウザでSSL-VPN装置のURLにアクセスし認証する
・Javaアプレットが起動し、SSL-VPN装置とSSLトンネルを確立、ブラウザからの通信をリッスン
・PC(ブラウザ)がJavaアプレット~SSL-VPN装置間のSSLトンネルを介し開発システムにアクセスする
齟齬をなくすため、いくつか確認をさせてください。
>「ネスペの剣」を見ながら学習しているのですが、Javaアプレットを使うために
>hostsファイルにループバックアドレスと接続先サーバーのFQDNを定義してあるようですが、そのFQDNから本来の接続先IPアドレスを取得するのが、DNSサーバーという解釈であってますでしょうか。
hostsファイルには、資産管理サーバとテスト環境サーバのFQDNが定義されております。本来の接続先IPアドレスは、SSL-VPN装置でしょうか?それとも開発システムのサーバのことでしょうか?
>①端末のhostsを参照し、接続先サーバーURL(FQDN)からループバックアドレスを取得
>②ループバックアドレスからJavaアプレットにアクセス
>③SSL-VPN装置からトンネル確立
>④接続先サーバーURL(FQDN)からDNSサーバー接続
>⑤DNSサーバーで名前変換し、接続先サーバーにアクセス
①と②はSSLトンネル確立後となります。
④の接続先サーバーURLは、開発システムのサーバのことでしょうか?
通信の流れは大まかに次の3つです。
・ブラウザでSSL-VPN装置のURLにアクセスし認証する
・Javaアプレットが起動し、SSL-VPN装置とSSLトンネルを確立、ブラウザからの通信をリッスン
・PC(ブラウザ)がJavaアプレット~SSL-VPN装置間のSSLトンネルを介し開発システムにアクセスする
2023.12.07 23:33
hisashiさん(No.5)
★NW ゴールドマイスター
質問を読み直して次のように解釈しました。
誤っている場合はご指摘ください。
本来の接続先IPアドレス=資産管理サーバとテスト環境サーバのIPアドレス(10.10.10.1、10.10.10.2)
最初の私の説明が不十分でした。
DNSサーバによる名前解決は、SSL-VPN装置のFQDNに対してです。
それ以外は発生しません。
DNSサーバへのクエリが発生するのは、ブラウザからのHTTPリクエスト時にPCが宛先IPアドレスの情報を持ち合わせていない場合です。
図2の構成では、hostsによる名前解決ができているため、開発システムへのアクセス時にJavaアプレットを宛先IPアドレス(127.0.1.10)にセットしたパケットが送出されます。
Javaアプレットの待ち受けから先は、中継する機器でポートフォワードされパケットを伝送するため、PCは、その先のIPアドレスを知ることなく開発システムにアクセスできます。
例えば、1つのGIPを持つNAPT(静的NAT)の構成でDMZ上のサーバがローカルIPアドレスでも、インターネット上のPCからDMZ上のサーバにアクセスする際の名前解決のAレコードは、GIPでありDMZ上のローカルIPアドレス(本来のIPアドレス)をPCが知る必要がないというのと同じ理屈です。
誤っている場合はご指摘ください。
本来の接続先IPアドレス=資産管理サーバとテスト環境サーバのIPアドレス(10.10.10.1、10.10.10.2)
最初の私の説明が不十分でした。
DNSサーバによる名前解決は、SSL-VPN装置のFQDNに対してです。
それ以外は発生しません。
DNSサーバへのクエリが発生するのは、ブラウザからのHTTPリクエスト時にPCが宛先IPアドレスの情報を持ち合わせていない場合です。
図2の構成では、hostsによる名前解決ができているため、開発システムへのアクセス時にJavaアプレットを宛先IPアドレス(127.0.1.10)にセットしたパケットが送出されます。
Javaアプレットの待ち受けから先は、中継する機器でポートフォワードされパケットを伝送するため、PCは、その先のIPアドレスを知ることなく開発システムにアクセスできます。
例えば、1つのGIPを持つNAPT(静的NAT)の構成でDMZ上のサーバがローカルIPアドレスでも、インターネット上のPCからDMZ上のサーバにアクセスする際の名前解決のAレコードは、GIPでありDMZ上のローカルIPアドレス(本来のIPアドレス)をPCが知る必要がないというのと同じ理屈です。
2023.12.09 00:25
サルコップさん(No.6)
hisashiさん
回答いただいていたのに、見るのが遅くなり大変申し訳ありません。
曖昧な表現ですみません。開発システムサーバーのことです。
こちらも開発システムサーバーのことです。
この時点で私が間違った認識をしていました。
Javaアプレットが何のために必要なのかよくわかっておらず、
Javaアプレットを使ってSSL-VPN装置にアクセスするものと思っていました。
ブラウザでアクセスしてから、Javaアプレットが起動するのですね。
解説ありがとうございました。
回答いただいていたのに、見るのが遅くなり大変申し訳ありません。
>本来の接続先IPアドレスは、SSL-VPN装置でしょうか?それとも開発システムのサーバのことでしょうか?
曖昧な表現ですみません。開発システムサーバーのことです。
>④の接続先サーバーURLは、開発システムのサーバのことでしょうか?
こちらも開発システムサーバーのことです。
>・ブラウザでSSL-VPN装置のURLにアクセスし認証する
>・Javaアプレットが起動し、SSL-VPN装置とSSLトンネルを確立、ブラウザからの通信をリッスン
この時点で私が間違った認識をしていました。
Javaアプレットが何のために必要なのかよくわかっておらず、
Javaアプレットを使ってSSL-VPN装置にアクセスするものと思っていました。
ブラウザでアクセスしてから、Javaアプレットが起動するのですね。
解説ありがとうございました。
2023.12.09 14:12
サルコップさん(No.7)
hisashiさん
それ以外は発生しません。
DNSサーバーはSSL-VPN装置のFQDNのために必要なのですね。
ポートフォワードで変換されるため、開発システムのIPアドレスをDNSサーバーから取得する必要はないのですね。
ここも分かっていませんでした。
ありがとうございます。
全体的にかなり私の解釈が間違っていました。
回答いただいたおかげで、だいぶ正しい認識ができました。
丁寧な解説、ありがとうございました。
>DNSサーバによる名前解決は、SSL-VPN装置のFQDNに対してです。
それ以外は発生しません。
DNSサーバーはSSL-VPN装置のFQDNのために必要なのですね。
>Javaアプレットの待ち受けから先は、中継する機器でポートフォワードされパケットを伝送するため、PCは、その先のIPアドレスを知ることなく開発システムにアクセスできます。
ポートフォワードで変換されるため、開発システムのIPアドレスをDNSサーバーから取得する必要はないのですね。
ここも分かっていませんでした。
ありがとうございます。
全体的にかなり私の解釈が間違っていました。
回答いただいたおかげで、だいぶ正しい認識ができました。
丁寧な解説、ありがとうございました。
2023.12.09 14:30