LinuCレベル3 303試験の例題と解説
328.4仮想プライベートネットワーク(VPN)
今回は303試験の試験範囲から、「328.4 仮想プライベートネットワーク(VPN)」についての例題を解いてみます。
■トピックの概要
このトピックの内容は以下の通りです。
<328.4 仮想プライベートネットワーク(VPN)>
重要度 4
<説明>
OpenVPNの使用方法に精通していること。
<主要な知識範囲>
・OpenVPNの設定及び使用方法
<重要なファイル、用語、ユーティリティ>
・/etc/openvpn/
・openvpn サーバ及びクライアント
■例題
Why is client-side server certificate verification recommended when configuring an OpenVPN client?
A) To prevent Man-in-the-Middle attacks
B) To suppress TLS handshake errors
C) To allow the server to verify that the clients connecting are legitimate
D) Once the server's certificate has been verified and cached, subsequent connections will initialize faster
訳)クライアントサイドでのサーバー証明書検証がOpenVPNクライアントを設定する際に推奨されるのはなぜですか?
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えはA) To prevent Man-in-the-Middle attacks です。
OpenVPNクライアントの設定で、
ns-cert-type server
と設定すると、接続の際に交換するサーバー証明書に"nsCertType=server"と指定されている相手としか接続しないようになります。不正なクライアントがサーバーのふりをしてクライアントの接続を受け付けようとしても、接続できないことになります。
B)は、OpenVPNの設定で tls-auth を設定することで静的鍵を持っていないクライアントの接続を排除することを指していると考えられます。
C)は、クライアント証明書を廃止するCRL(Certificate Revocation List)の利用を指していると考えられます。