やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅰ問1設問2】

設問2 キーワード

証明書

暗号化通信やディジタル署名などで使われるディジタル証明書、認証局自身の正当性を証明するルート証明書がある。

セッション数

Webサイトにアクセスした際の一連の操作をセッションという。プロキシサーバなど処理可能な最大セッション数を定義している。

問題文

f:id:aolaniengineer:20190822043708p:plain

 設問2(1)

f:id:aolaniengineer:20190822043723p:plain

該当箇所は「アクセス先のホスト名は記録されていたが、URLは記録されていなかった」です。

HTTPとHTTPSの通信でプロキシを利用する場合についての動作の違いを簡単に説明すると次のようになります。

HTTP通信では、プロキシサーバでクライアントからのパケットのペイロード(データ部分)からURLを読み取り、サーバに要求する。この時のリクエストはGETメソッドである。
HTTPS通信では、ペイロードが暗号化されるためプロキシサーバではURLを読み取ることができない。クライアントはGETメソッドの代わりにCONNECTメソッドとホスト名を送信することで、プロキシサーバではサーバへパケットを透過する

セキュリティ上の留意点として、プロキシサーバでCONNECTメソッドにより全てのパケットが転送されてしまうと、マルウェアなどで外部にFTPでファイル転送されるなどの可能性があります。

対策として、もちろんファイアウォールで不要な通信は拒否するよう設定しますが、プロキシサーバにおいても、宛先ポート番号をHTTPS(443)に限定する必要があります。

したがって正解は以下の通りです。

CONNECTメソッド

HTTPS以外のポートのCONNECTを拒否する。

設問2(2)

f:id:aolaniengineer:20190824055754p:plain

該当箇所は、「そこで、アクセス先のURLを把握するために、プロキシサーバで暗号化通信を一旦復号し、必要な処理を行った上で再度暗号化した。しかし、社内PCでエラーメッセージ”証明書が信頼できない”が表示されたので、社内PCに(ウ)をインストールして解決した。」です。

HTTPS通信ではクライアントとWebサーバ間で暗号化していて、そのままではプロキシサーバで復号することはできません。

このような場合に、プロキシサーバがWebサーバの代わりに証明書を発行して、クライアントとプロキシサーバ間で暗号化通信させることが可能です。

ただし、その際には問題文のように、クライアントで指定したWebサーバ名とプロキシサーバの証明書が関連付けできていないため、エラーメッセージが表示されます。

これに対応するために、クライアントでプロキシサーバのサーバ証明書を信頼させます。

サーバ証明書はプロキシサーバ自身が作成して認証して署名するので、クライアントでプロキシサーバのルート証明書をインストールします。

したがって正解は以下の通りです。

プロキシサーバのルート証明書

「プロキシサーバでHTTPS通信のアクセス先URLを把握する方法」を参考にしましょう

プロキシサーバで暗号化通信を一旦復号し、URLを把握するなど必要な処理を行なった上で再度暗号化する。
クライアントには、プロキシサーバのルート証明書をインストールしておく。

「SaaSを利用する際の課題」を参考にしましょう。

プロキシサーバの処理可能セッション数の超過

スケジューラにアクセスする1人当たりのセッション数が大幅に増加

インターネット接続回線の帯域不足

複数人が同時に大容量のファイルをSaaSに転送した場合のスループット低下

www.aolaniengineer.com

www.aolaniengineer.com