HOME»情報処理安全確保支援士掲示板»平成30年  秋  午後2 設問2の(3)
投稿する

平成30年  秋  午後2 設問2の(3) [0305]

 サスケさん(No.1) 
問題:X社内ネットワークとIaaS Cとの接続において、FWのNAT機能を有効にしたのはどのような問題を回避するために行ったのか?

答え:Iaas Cで予約されているプライベートIPアドレスと重複しないように。

ここで、プライベートIPアドレスって192.168.ってやつですよね。このIPアドレスでは外と通信できないという認識です。外と通信するには必ずグローバルIPアドレスに変換が必要。

そのため、当然IaaS C側でもグローバルIPで通信を受け取って、プライベートIPアドレスに変換してから内部の機器に通信を振り分けているものだと考えられます。

プライベートIPアドレスで重複が発生して困る問題など普通に考えたら発生しえないと考えられるのですが、何か見落としているのでしょうか?

そもそもこの問題がNATって何のためにいるのか?っていう簡単な問いに考えすぎでしょうか?
2019.04.04 11:51
通りすがりさん(No.2) 
今更なコメントですが
問題文の中に「あらかじめ予約されているIPアドレスがあり、利用者はそれを利用することができない」とあるので被った場合割り当てを変えないといけない可能性がありそう
2019.04.14 09:28
 サスケさん(No.3) 
通りすがりさん
返答ありがとうございます。
「あらかじめ予約されているIPアドレスがあり、利用者はそれを利用することができない」についてですが、私は、IaaS内で使用するPCにユーザーが好きなIPアドレスを割り当てられるのかな?と理解しました。
X社内ネットワーク内のPCの話なら、しょうがないな。。。って感じです。
前提条件でそう言われたら仕方ないのですが、なんで?どうゆう仕組みで?って疑問が残ってしまいます。

異なるネットワーク間でIPアドレスの重複が問題になるのは、VPNが絡んでくるのかな推測してしまうのですが、問題文にそれらしい記述も見当たらない。

私の中では、「この試験問題の世界では、インタネットがプライベートIPアドレスで通信できる台数しかPCが存在していない(NAT使ってるからもうちょっと多い)」と言うことで無理やり納得する事にしています。
2019.04.15 19:01
okomeさん(No.4) 
この問題を解いたことがなかったですが問題を見てきて
不明な点がたくさんあり確信は持てませんが
たくさん仮説を立てた中でこれだけしかこの問題の状況に一致しなかったため下の処理順序ではないかと思います。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

処理順序(推測)(これが私の最有力候補)

<NAT使用前>------------------------
1.社内WAN内のPCが社内プライベートIPでFWまでパケットを送信
2.FWがプライベートIPの書かれたIPパケットをパケットごと暗号化
3.暗号化したパケットを新しくパケットで包む
4.グローバルIPを付けてインターネット経由で送信
5.IaaS側FWが暗号化を解除し、IaaS内に送信
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
↓1と2の間にNATを使う処理を追加

<NAT使用後>----------------------------
1.社内WAN内のPCが社内プライベートIPでFWまでパケットを送信
2.FWがプライベートIPをNATで別のものに変換
3.FWが変換後プライベートIPの書かれたIPパケットをパケットごと暗号化
4.暗号化したパケットを新しくパケットで包む
5.グローバルIPを付けてインターネット経由で送信
6.IaaS側FWが暗号化を解除し、Iaas内に送信
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

SCは来年をめどに受験を考えていますが、
こんな問題出るって思うと気が引けてきます...
2019.04.17 14:19
okomeさん(No.5) 
No4に追記

NAT使用前の処理手順3において、
VPNでカプセル化した中身のIPパケットの送信元IPアドレスは
社内プライべートIPになります。
IaaS内ネットワークではVPNのカプセルはすぐに外され、中身のIPパケットがそのまま流れることになります。
IaaS内の機器が返信しようとした際に受信したパケットの送信元IPアドレスに送りっ返すことになります。
そのため社内プライベートIPとIaaSプライベートIPは重複が許されません。
送信元IPの社内プライベートIPをこれをどこかで変換する必要があります。
VPNでカプセル化した後ではNATを使えないため、VPNの機能が使われる前だと考えました。

他の考え方があるかどうかもわかりませんし、そもそもAP合格したぐらいの人の意見ですが
参考になれば幸いです。
2019.04.17 14:31
ゆきむしさん(No.6) 
みんなすごく良く考えてるんですね。
単に地方拠点のipと被ったから、NATごり押し解決させただけぐらいの感覚で考えてたわ。
2019.04.17 18:27
okomeさん(No.7) 
まぁ問題から答えを導かなくてはなりませんからね。
答えに納得する程度では合格できないので。
2019.04.18 11:06
 サスケさん(No.8) 
okomeさん
考察ありがとうございます。
VPN自体はそんなに怖がるような技術ではないですが、一言くらい説明が欲しいものですね。
この問ってその他の設問でも、説明不足が目立つんですよね。。。

ゆきむしさん
私も解いてるときは分けわかめ状態でした。NATってきたからIPアドレスの衝突が問題だな!
でもなんで!?ってよくわからないまま解答しました。
2019.04.18 13:59
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop