HOME»情報処理安全確保支援士掲示板»2018秋 午後2 問1 設問2(3)

情報処理安全確保支援士掲示板

掲示板検索:

2018秋 午後2 問1 設問2(3)[0483]

あっぷるさん(No.1)

2018秋 午後2 問1 設問2(3)
X社内ネットワークとIaaS Cとの接続においてFWのNAT機能を用いる理由なのですが

X社が使用するプライベートIPアドレスがIaaS Cの予約されているプライベートアドレスと被らないようにNAT変換するということなのですがわかりません

X社からインターネットを経由してクラウドにアクセスする際にプライベートIPアドレスのまま
アクセスするのでしょうか
グローバルIPアドレスに変換すると思うのでこの理由がわかりません
分かる方教えて下さいm(_ _)m

2020.05.01 11:17
あっぷるさん(No.2)

この投稿は投稿者により削除されました。(2020.05.02 07:55)

2020.05.02 07:55
こりんさん(No.3)

私はこのこと【グローバルIPアドレス】あまり疑問に思わず、以下の感じで読み進めました。(かなりアバウトだな)

・図2にあるように、東日本データセンタ、X社工場、X拠点はプライベートIPアドレスが振られ、X社社内WANで接続されている。
Iaas Cも同様にX社のプライベートIPアドレスが振られ、インターネットVPNで接続されている。そして多分インターネットVPNはIPSecトンネルだろうと。
・一般にNAT機能はプライベートIPアドレスをグローバルIPアドレスに変換と思ってしまうが、今回はプライベートIPアドレスを別プライベートIPアドレスに変換している。


Iaas Cに器機を移す際に、予約されたプライベートIPアドレスは避けて構築したはずだ。

X拠点の社内PCがIaas Cの業務サーバと通信する際、
ある社内PCのIPアドレスがもし予約されたIPアドレスと重なった場合は、FW1にあるNAT機能で送信元IPアドレスを別IPアドレスに変換し、(FW1とFW2にあるだろう)VPNのIP-SEC機能を使って接続する。


ア)問題文のFWの説明に、インターネットVPN機能を持つなどと、どこにも書いてない点。
イ)社内PCからインターネットのWEBアクセスはしないのか。するとすれば、FW1でプライベートIPアドレスをグローバルIPアドレスに変換するのか。同じFW1でアと区別できるのか。

等々、疑問が生じます。
しかしどの設問もこの辺は触れていないので、深堀しないほうが良いかと思いました。ネットワーク試験なら別でしょうが。

私も他の方の解説が欲しいなぁ。

2020.05.01 15:41
助け人さん(No.4)

横から失礼します。

この問題は、全体的に情報があまり与えられていないため、とてもいやらしく感じます。

さて、過去のスレッドでこの問題のNAT絡みの投稿を見た記憶があり、探り当てましたので、それを紹介します。(私自身は、きちんと理解していません)
平成30年  秋  午後2 設問2の(3)[0305]
https://www.sc-siken.com/bbs/0305.html
上記でokomeさんが、こりんさんと同様の考え方をしています。

設問2(3)は、〔クラウド環境への移行に関する検討〕についてであるにもかかわらず、問題文のこのタイトルブロックまでに、IaaS Cとの間がVPNとは書いてなく、次のタイトルブロックにある図2の直前にVPNとあるのが気持ち悪いです。ただし、たまに、設問にあるタイトルブロックの次まで読まないと解けないときもあります。次のタイトルブロックまで読んでVPNとわかれば、インターネットを使った拠点間接続のVPNは、IPsec-VPNのトンネルモードが一般的ですから、少し先に進めます。それと、NATは、プライベートとグローバルの変換とは限らないということも知っておかないと、解答にたどりつけません。

それから、こりんさんの「社内PCからインターネットのWEBアクセスはしないのか」ですが、おそらくこのシステムは閉じた業務だろうという印象を受けました。

あっぷるさんの設問5に言及しなくてすみません。

評論家のような無責任な感想になってしまいましたが、悪しからず。

2020.05.01 21:32
あっぷるさん(No.5)

こりんさん 助け人さんありがとうございましたm(_ _)m

まず私の知識不足でした
@NATはプライベートIPからプライベートIPへの変換をすること
Aインターネットを使った拠点間接続のVPNは、IPsec-VPNのトンネルモードが一般的で
  VPNとIPsecの知識が不足してました

もうちょっと突っ込んで
トンネルモードでは新しくIPヘッダがつけられる
そしてVPN通信ではIaaS内ネットワークではVPNのカプセルはすぐに外され、
中身のIPパケットがそのまま流れる
そのためプライベートIPアドレスがIaaS内のものと重複してはいけない
NATで変換するのは中身のIPパケットのアドレスですよね??
新しいIPヘッダではなくて

2020.05.02 08:49
あっぷるさん(No.6)

自分で回答してしまいます

トンネルモードは
プライベートIPアドレスのパケットにグローバルIPアドレスのヘッダを付与し、パケットのカプセル化を行う。
なので元のプライベートIPアドレスをNAT変換してIaaSでかぶらないアドレスにして
グローバルIPアドレスで拠点間は通信している?
という感じでしょうか

問題文には明確に記載はないですが
拠点間通信について前提知識があればなんとかなるかもな問題ですかね
ネットワークも勉強しておきます

2020.05.02 09:04

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop