令和4年度 午後2 問1 解答復元
GELさん
(No.1)
最後の10点がどうしても取れなくて涙を飲んできた者です…
去年も午後2が7点足りなくて不合格…
戒めのために、回答復元を晒します。
みんなで議論しましょう。
今までの経験から、
『午後2は両方難しそうだと思ったら、とりあえず問1を選んでおけば
答えられる問題が多そう』
との事から、今年も問1を選びました。
午後2 問1
設問1
(ア)鍵交換
(イ)トンネリング (これ、何でした…?)
(ウ)ポート
(エ)公開
(オ)リバースプロキシ
(カ)ISAKMP (わからんて…)
…穴埋めがビックリするくらいわかりませんでした。。。
設問2
(1)暗号化、認証 (Encription→暗号化?? じゃあもう一つは認証??)
(2)コモンネーム (あれ?合ってる?最初『サブジェクト』って書いてたけど…)
設問3
(1)クライアント証明書の署名に用いられる秘密鍵は、利用者ごとに一意であるから
(2)CAのルート証明書
(3)意図したSSL-VPN装置でなく、不正な接続先に接続してしまうリスク
(4)秘密鍵が漏えいすると通信の全内容が複合されてしまう (誰か、正解を教えてください…)
(5)
・利用者の秘密鍵
・利用者の公開鍵
(→これ、何を聞かれているか凄く悩みました
皆様の認識と、自分の認識が合っていますかね?)
(6)シリアル番号
設問4
(1)ユーザと、そのユーザに割り当てられた仮想PCとの紐づけ情報
(→仮想PCのIPアドレス情報の事まで触れるか迷いました
でも、それはNATテーブルの役割??
その前に、自分の認識合ってる??)
(2)
・クライアント証明書から得られる利用者の情報
・(Ⅷ)
設問5
(1)M社とN社の広域イーサネットを両方利用し、負荷分散するため
(2)4つ、コスト:140
(3)送信元と宛先が同じ場合、同一の経路が選択されるため
(4)社内PCと業務サーバ間において、複数経路間で経路のコストが同じになるように設定しているため
(5)aまたはbの障害発生時、L3SW32がマスタルータとなるよう優先度を上げる
叩かれるの上等です。
皆様のご意見が伺えれば幸いです。
去年も午後2が7点足りなくて不合格…
戒めのために、回答復元を晒します。
みんなで議論しましょう。
今までの経験から、
『午後2は両方難しそうだと思ったら、とりあえず問1を選んでおけば
答えられる問題が多そう』
との事から、今年も問1を選びました。
午後2 問1
設問1
(ア)鍵交換
(イ)トンネリング (これ、何でした…?)
(ウ)ポート
(エ)公開
(オ)リバースプロキシ
(カ)ISAKMP (わからんて…)
…穴埋めがビックリするくらいわかりませんでした。。。
設問2
(1)暗号化、認証 (Encription→暗号化?? じゃあもう一つは認証??)
(2)コモンネーム (あれ?合ってる?最初『サブジェクト』って書いてたけど…)
設問3
(1)クライアント証明書の署名に用いられる秘密鍵は、利用者ごとに一意であるから
(2)CAのルート証明書
(3)意図したSSL-VPN装置でなく、不正な接続先に接続してしまうリスク
(4)秘密鍵が漏えいすると通信の全内容が複合されてしまう (誰か、正解を教えてください…)
(5)
・利用者の秘密鍵
・利用者の公開鍵
(→これ、何を聞かれているか凄く悩みました
皆様の認識と、自分の認識が合っていますかね?)
(6)シリアル番号
設問4
(1)ユーザと、そのユーザに割り当てられた仮想PCとの紐づけ情報
(→仮想PCのIPアドレス情報の事まで触れるか迷いました
でも、それはNATテーブルの役割??
その前に、自分の認識合ってる??)
(2)
・クライアント証明書から得られる利用者の情報
・(Ⅷ)
設問5
(1)M社とN社の広域イーサネットを両方利用し、負荷分散するため
(2)4つ、コスト:140
(3)送信元と宛先が同じ場合、同一の経路が選択されるため
(4)社内PCと業務サーバ間において、複数経路間で経路のコストが同じになるように設定しているため
(5)aまたはbの障害発生時、L3SW32がマスタルータとなるよう優先度を上げる
叩かれるの上等です。
皆様のご意見が伺えれば幸いです。
2022.04.17 20:03
GELさん
(No.2)
設問1の(イ)、H29年度のPM1Q1で出てましたね…
『L2フォワーディング』かな?
…えー!自分もそんな気がしてL2フォワーディングって書いてたのに消してしまった。。。
もったいない。。。。
『L2フォワーディング』かな?
…えー!自分もそんな気がしてL2フォワーディングって書いてたのに消してしまった。。。
もったいない。。。。
2022.04.17 20:16
ととろさん
(No.3)
■午後2-1
【設問1】
ア = 改ざんの検知
イ = L2フォワーディング
ウ = 固定ポート番号
エ = 公開
オ = ポートフォワーディング
カ = IEEE802.1X
【設問2】
(1) 暗号化
通信相手の認証
(2) Common Name(Subjectだと思う)
【設問3】
(1) クライアント証明書の秘密鍵は送信元のPCしか知らないから
(2) クライアントのルート証明書
(3) サーバ証明書が偽装されていた場合に接続してしまうこと
(4) 漏えいした秘密鍵により復号された共通鍵
(5) 利用者の公開鍵
利用者の公開鍵に対応する秘密鍵
(6) シリアル番号
【設問4】
(1) 利用者IDと認証パスワードと利用者IDに対応するIPアドレス(仮想PCのIPアドレスだと思う)
(2) クライアント証明書から得られる利用者ID
(V)
【設問5】
(1) N社とM社の両方の広域イーサネットの回線速度を有効活用するため
(2) 経路数: 4
コスト:70
(3) パケットモードだとVRRPバックアップへルーティングする場合があるから(不明)
(4) 送信元IPアドレスと宛先IPアドレスから計算されるハッシュ値の組が複数あるから
(5) aとbの両方のリンクが正常な場合のみL3SW31のVRRPの優先度を高くする
【設問1】
ア = 改ざんの検知
イ = L2フォワーディング
ウ = 固定ポート番号
エ = 公開
オ = ポートフォワーディング
カ = IEEE802.1X
【設問2】
(1) 暗号化
通信相手の認証
(2) Common Name(Subjectだと思う)
【設問3】
(1) クライアント証明書の秘密鍵は送信元のPCしか知らないから
(2) クライアントのルート証明書
(3) サーバ証明書が偽装されていた場合に接続してしまうこと
(4) 漏えいした秘密鍵により復号された共通鍵
(5) 利用者の公開鍵
利用者の公開鍵に対応する秘密鍵
(6) シリアル番号
【設問4】
(1) 利用者IDと認証パスワードと利用者IDに対応するIPアドレス(仮想PCのIPアドレスだと思う)
(2) クライアント証明書から得られる利用者ID
(V)
【設問5】
(1) N社とM社の両方の広域イーサネットの回線速度を有効活用するため
(2) 経路数: 4
コスト:70
(3) パケットモードだとVRRPバックアップへルーティングする場合があるから(不明)
(4) 送信元IPアドレスと宛先IPアドレスから計算されるハッシュ値の組が複数あるから
(5) aとbの両方のリンクが正常な場合のみL3SW31のVRRPの優先度を高くする
2022.04.17 23:57
受験生さん
(No.4)
設問1
ア 完全性の確認
イ L2フォワーディング(知識問題)
ウ ポート
エ 公開鍵
オ ポートフォワーディング
カ DHE(知識問題)
設問2
(1) 復号 と 完全性の検証(知識問題)
(2) Subject(フィールドを答えよなのでSubject。コモンネームはSubjectフィールド内の項目でフィールドではないので良くて部分点?)
設問3
(1) ここは題意が汲み取れなかった
(2) CAのルート証明書
(3) K社のSSl-VPN装置になりすました装置への接続
(4) 漏えいした秘密鍵で共有した共通鍵で暗号化したデータ(古い鍵交換方式では、暗号化通信に用いる共通鍵の基(プリマスタシークレット)を最初にどちらかの公開鍵で暗号化して送信することで共有するため、第三者が過去の暗号化通信を蓄積していた場合、そのプリマスタシークレットを暗号化していた秘密鍵が危殆化することで、当該通信の共通鍵を生成でき、暗号文を復元できる。DH鍵交換では、離散対数問題に基づく計算量的安全性を用いているので、両社が共通鍵の生成に必要な乱数を平文で送信しても、第三者には共通鍵が生成できない。前方秘匿性といったりする。)
(5) 署名 利用者の秘密鍵
検証 利用者の公開鍵 (CSRは偽造捏造されるとクラッカーにクライアント証明書が生成される可能性もあるので、内容のハッシュを署名する)
(6) シリアル番号
設問4
(1) 社員番号とそれに対応する仮想PCのIPアドレス(利用者ごとに仮想PCが割り当てられていて、それぞれにIPアドレスが割り当てられている(表1より)。すなわちSSL-VPN装置が利用者ごとに適切なIPアドレスへDNATすればよい。そのIPアドレスの情報はユーザテーブルを検索して得られる(P8 下から4行目より)。すなわち、利用者と対応する仮想PCのIPアドレスの組がユーザテーブルに記載されている。利用者を識別する情報(利用者ID)でクライアント証明書に記載されているのは社員番号(P5 中央)。ただ文字数が40文字で回答文字数が半分強なのでわからん。
(2) クライアント証明書の中の利用者ID(社員番号は利用者IDとして記載されいている(P5 中央))
タイミング: VIII (でいいのかな?)
設問5
(1) 複数経路が利用可能なときに同時利用できるようにする
(2) 経路2 コスト120 (L3SW11から業務サーバへのコストは単純に合算して120)。L2SW31と32はVRRPで冗長化されている(P9 下から3行目)ので、同時に利用できるL3SWはマスタ側の1台しかない。従って経路はM社およびN社広域イーサネットを経由するそれぞれの経路で2つ
(3) サーバセグメントとそこに接続されているL3SW間は回線が1本だから(これ微妙。コストが低いので帯域幅があると考えられるので多分違うかも)
(4) PCと業務サーバは複数あり、それぞれIPアドレスは別なので、経路が分散されるから
(5) a又はbで障害が発生した際に、自身の優先度をL3SW32よりも下げる (片方の回線が死んだだけなら通信できるけど、あえて自身の優先度を下げることで、経路が2本生きている待機系に切り替える。)
ア 完全性の確認
イ L2フォワーディング(知識問題)
ウ ポート
エ 公開鍵
オ ポートフォワーディング
カ DHE(知識問題)
設問2
(1) 復号 と 完全性の検証(知識問題)
(2) Subject(フィールドを答えよなのでSubject。コモンネームはSubjectフィールド内の項目でフィールドではないので良くて部分点?)
設問3
(1) ここは題意が汲み取れなかった
(2) CAのルート証明書
(3) K社のSSl-VPN装置になりすました装置への接続
(4) 漏えいした秘密鍵で共有した共通鍵で暗号化したデータ(古い鍵交換方式では、暗号化通信に用いる共通鍵の基(プリマスタシークレット)を最初にどちらかの公開鍵で暗号化して送信することで共有するため、第三者が過去の暗号化通信を蓄積していた場合、そのプリマスタシークレットを暗号化していた秘密鍵が危殆化することで、当該通信の共通鍵を生成でき、暗号文を復元できる。DH鍵交換では、離散対数問題に基づく計算量的安全性を用いているので、両社が共通鍵の生成に必要な乱数を平文で送信しても、第三者には共通鍵が生成できない。前方秘匿性といったりする。)
(5) 署名 利用者の秘密鍵
検証 利用者の公開鍵 (CSRは偽造捏造されるとクラッカーにクライアント証明書が生成される可能性もあるので、内容のハッシュを署名する)
(6) シリアル番号
設問4
(1) 社員番号とそれに対応する仮想PCのIPアドレス(利用者ごとに仮想PCが割り当てられていて、それぞれにIPアドレスが割り当てられている(表1より)。すなわちSSL-VPN装置が利用者ごとに適切なIPアドレスへDNATすればよい。そのIPアドレスの情報はユーザテーブルを検索して得られる(P8 下から4行目より)。すなわち、利用者と対応する仮想PCのIPアドレスの組がユーザテーブルに記載されている。利用者を識別する情報(利用者ID)でクライアント証明書に記載されているのは社員番号(P5 中央)。ただ文字数が40文字で回答文字数が半分強なのでわからん。
(2) クライアント証明書の中の利用者ID(社員番号は利用者IDとして記載されいている(P5 中央))
タイミング: VIII (でいいのかな?)
設問5
(1) 複数経路が利用可能なときに同時利用できるようにする
(2) 経路2 コスト120 (L3SW11から業務サーバへのコストは単純に合算して120)。L2SW31と32はVRRPで冗長化されている(P9 下から3行目)ので、同時に利用できるL3SWはマスタ側の1台しかない。従って経路はM社およびN社広域イーサネットを経由するそれぞれの経路で2つ
(3) サーバセグメントとそこに接続されているL3SW間は回線が1本だから(これ微妙。コストが低いので帯域幅があると考えられるので多分違うかも)
(4) PCと業務サーバは複数あり、それぞれIPアドレスは別なので、経路が分散されるから
(5) a又はbで障害が発生した際に、自身の優先度をL3SW32よりも下げる (片方の回線が死んだだけなら通信できるけど、あえて自身の優先度を下げることで、経路が2本生きている待機系に切り替える。)
2022.04.18 11:21
testさん
(No.5)
この投稿は投稿者により削除されました。(2022.04.20 13:51)
2022.04.20 13:51
よしいくぞうさん
(No.6)
設問1の(ア)はメッセージ認証でも正解だと思うのですがいかがでしょう。
2022.04.21 19:17
合格目指してさん
(No.7)
よしいくぞうさん
勿論、メッセージ認証でも正解だと思います。
勿論、メッセージ認証でも正解だと思います。
2022.04.22 14:44
初受験さん
(No.8)
この投稿は投稿者により削除されました。(2022.04.22 16:07)
2022.04.22 16:07
よしいくぞうさん
(No.9)
合格目指してさん
ご返信ありがとうございます。
ご返信ありがとうございます。
2022.04.22 15:50
はるかさん
(No.10)
設問4(1)
仮想PCのIPアドレスとクライアントIPの対応付けはどのように行われるのでしょうか。
ユーザーテーブルには社員番号、仮想PCのIPアドレス、クライアントIPが必要に思うのですが…
仮想PCのIPアドレスとクライアントIPの対応付けはどのように行われるのでしょうか。
ユーザーテーブルには社員番号、仮想PCのIPアドレス、クライアントIPが必要に思うのですが…
2022.04.22 16:16
受験生さん
(No.11)
No10 さん
DNATなので、宛先をVDIに書き換えるだけです。送信元IPアドレスはそのままでVDIサーバに送信されます。すなわち戻りパケットはVDIから直接クライアントへ送信されます。
DNATなので、宛先をVDIに書き換えるだけです。送信元IPアドレスはそのままでVDIサーバに送信されます。すなわち戻りパケットはVDIから直接クライアントへ送信されます。
2022.04.23 21:04
はるかさん
(No.12)
受験生さん
ご返信ありがとうございました。
納得しました!
ご返信ありがとうございました。
納得しました!
2022.04.23 21:23
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。