【直前対策】ネスぺ過去問 要点まとめ
ネットワークスペシャリストの過去問は復習しやすいように、一問一答形式でまとめていきます。
ネスぺの午後問題も過去の問題から流用、または似た問題が出題されることが多いです!
過去問題をしっかりと理解・定着させるためにアウトプットをしていきましょう!
- 過去の午後問題で問われたことは理解して、覚える!
- 何度も似た問題は出る傾向にある!

令和元年度(2019年)
午後1-1 LAG,監視(SNMP)
BGP(BGP-4)
バックボーンエリア
GARP(Gratuitous ARP)
マルチキャスト通信(224.0.0.18)
ポートVLANは物理ポートごとにVLANを割り当てる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
- リンクの冗長化
- 帯域の拡張
- 負荷分散
リンクダウンを伴わない障害発生時に、LAGのメンバから故障回線を自動で除外できること
トラフィックが輻輳し、パケットが廃棄されてしまうこと
ハッシュ関数
通信の送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから
ICMP(Internet Control Message Protocol)
SNMP trap(SNMPトラップ)
MIB(Management information base)
SNMP ポーリング
冗長性確保や負荷分散の目的で、2つ以上の上流接続(トランジット)を持つこと
インターネット用語1分解説|JPNIC
ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問1】
午後1-2 DNS、LB、HTTP
Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティ対策の一つ
Web Application Firewall 読本|IPA
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- OSコマンドインジェクション
- FW:IPアドレスやポート番号でネットワーク通信を制御。ポートスキャン対策。
- IDSとIPS:攻撃パターンを定義したシグネチャと呼ばれるルールをもとにOS、ミドルウェア、ネットワークの通信を監視し、不正な通信を制御。DDoS、OS脆弱性、SYNフラッド対策。
- WAF:Webアプリケーション層の中身を確認して、通信を制御。SQLインジェクションなどのアプリケーション層の攻撃対策。
防御できる通信レイヤーと防御できる攻撃がそれぞれ異なるので、組み合わせることが重要
クライアントからのHTTPリクエストの送信元IPアドレスを、HTTPヘッダに追加することで元のクライアントIPアドレスの情報を追加することができる機能
既に定義されているドメイン名の別名となるレコード。ドメイン名のあだな。
RDATA
- HTTPリクエストの振り分け機能
- 死活監視機能
- セッション維持機能
- TLSアクセラレーション機能
- HTTPヘッダの編集(追加、変更、削除)機能
順番にHTTPリクエストを振り分ける
80番
200
Set-Cookie
Cookie
送信元IPアドレスの数が少ないと負荷が偏ること
TLSの暗号化・復号処理、HTTPヘッダを編集する処理を専用ハードウェアで高速に処理する機能
XFFを有効化し、クライアントからのHTTPリクエストの送信元IPアドレスをXFFヘッダに追加する設定
ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問2】
午後1-3 DHCP、ARPスプーフィング
IPv4ネットワークにおいて通信用の基本的な設定を自動的に行うためのプロトコル
■DHCPで自動設定できる情報
- IPv4アドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバの情報(IPアドレス)など
IPv4アドレスはリース期間があり、その期限が切れる前に更新するか、リリースしてIPアドレスを解放する。
UDP
- DHCP Discover
- DHCP Offer
- DHCP Request
- DHCP Ack
DHCP Discoverで、DHCPクライアントがDHCPサーバを探すブロードキャストを送信する。
DHCP Offerで、DHCPサーバがDHCPクライアントにIPアドレスを提案。ユニキャストで送信される。
DHCP Requestで、DHCPクライアントが前述のOfferで提案されたIPアドレスを要求する。
DHCP Ackで、DHCPサーバがDHCPクライアントにIPアドレスを付与する。
DHCPリレーエージェント
ユニキャスト
DHCPクライアントとDHCPサーバのやりとりをスヌーピング(のぞき見)することで、通信を監視するため。DHCPサーバのなりすましや正当なDHCPクライアントの通信のみを許可するために利用される。
DHCPスヌーピングの制限を受けない設定。具体的には、正当なDHCPサーバとの通信で利用するポートをtrustedポート(DHCPサーバからの応答を受信できるポート。信頼されたポート)に設定。そのポートを経由したDHCPメッセージのみが信頼できるものになる。
IPアドレスから対応する機器のMACアドレスを取得するプロトコル
クライアントからのARP要求に対して、スプーフィングする機器が正当なARP応答になりすまして、不当なARP応答(スプーフィングする機器のMACアドレス)を返答することにより、通信を傍受できる機能。攻撃手段として利用されるが、監視目的でも利用できる。スプーフィング(spoofing)とはなりすましのこと。
午後2-1
近日、更新予定
午後2-2
近日、更新予定
平成30年度(2018年)
午後1-1 SD-WAN、プロキシ
フォワードプロキシ
リバースプロキシ
CONNECTメソッド
HTTPS以外のポートのCONNECTを拒否する。
URLはHTTPSで暗号化されているから。そのため、プロキシサーバで暗号化通信を一旦復号し、URLを確認した上で、再度暗号化を行う設定。
プロキシサーバのルート証明書
拠点間やクラウド事業者などと接続するWAN(専用線、IP-VPN、インターネットVPNなど)をソフトウェアで統合・一括管理し、仮想的なネットワークを実現する技術。
本問のように、各拠点の内部LANからクラウドサービス事業者へのアクセスでプロキシサーバやFWを経由するといろいろな問題が起こる。(他の通信のスループットが低下したり、プロキシサーバの処理可能セッション数が超過したり、インターネット接続回線の帯域不足など)
そこで、SD-WANを利用することで、各拠点から直接クラウドサービス事業者へアクセスするようにする(インターネットブレイクアウト、ローカルブレイクアウト)ことで上記の課題を解決できる。また、SD-WANコントローラーで設定の一元管理が可能なため管理が非常に楽になる。
データ、コントロール
午後1-2 監視(SNMP)
ICMP(Internet Control Message Protocol)
IPアドレス
UDP
コミュニティ
デフォルトゲートウェイ
VRRPアドバタイズメント
STP(Spanning Tree Protocol)
BPDU(Bridge Protocol Data Unit)
ブリッジID。ブリッジIDが最も小さいとそのSWはルートブリッジに選出される。
- ブリッジプライオリティ(先に値が比較される)
- MACアドレス
ブリッジプライオリティの値がさきにL2SW間で比較される。この値が同じだった場合、MACアドレスを比較する。それぞれ値が低いほど優先度が高いブリッジIDとなり、そのL2SWはルートブリッジに選出される。
- ブロッキング(BPDU受信待ち続ける、最大20秒で次に遷移)
- リスニング(転送遅延で15秒後、次に遷移)
- ラーニング(転送遅延で15秒後、次に遷移)
- フォワーディング
STPで安定した状態に収束する(コンバージェンス)までに、最短30秒、最長50秒かかってしまう。STPのデメリット。
スパニングツリーが再構築中だったから。SyslogメッセージはUDPで送信されるが到達性は保証されていない。そのため、STPが再構築中にそのメッセージが破棄される。
SNMPポーリング
SNMPトラップ
SNMPポーリングは5分ごとなど定期的に状態を取得するので多くの場合異常検知が遅れる可能性があること。SNMPポーリングで取得する最適な間隔は監視環境によって異なる。(監視対象の数、回線速度、監視項目の数、監視項目の内容など)
SNMPトラップはUDP(162番ポート)が使われ、到達確認がないのでメッセージが失われる可能性がある。ちなみにSNMPポーリングはUDPの161番ポートが使われる。TCPだとSNMPエージェントがSNMPマネージャーと確立するコネクションの数が多く、やりとりするデータ量も増えるため負荷が大きい。
MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーからの確認応答を待つ。確認応答を受信できない場合、SNMPエージェントは、SNMPマネージャーがメッセージを受信しなかったと判断し、メッセージの再送信を行う機能。
平成30年午後1-2の問題では、SNMPエージェントでスパンニングツリーが再構築するまでにインフォームの再送信を繰り返す設定をすることによって、Syslogメッセージを監視サーバに高い確率で送信できるようになった。
午後1-3 IP-VPN、インターネットVPN
通信事業者が運営する閉域IPネットワーク(事業者閉域IP網)を利用者のトラフィック交換に提供するサービス。通信事業者と契約した事業者のみが閉ざされたネットワークを利用できる。
インターネットを利用したVPNサービス。事業者閉域網を利用したIP-VPNや専用線と比較すると、インターネットを利用するので安全性は低い。そのため、IP通信の完全性・機密性を確保するために暗号技術であるIPsecを用いて、セキュアな通信を実現する。
MPLS(Multi-Protocol Label Switching)
ラベル
CE(Customer Edge)ルータ
PE(Provider Edge)ルータ
利用者ごとのトラフィックを区別するため
IPsec(Security Architecture for Internet Protocol)
ネットワーク層(第3層)
- IP-VPN・・通信事業者の閉域網を利用するので、クローズドでセキュア。ただし、通信の暗号化はされない。コストは高い。
- インターネットVPN・・インターネットを利用するので、オープンでセキュリティ面ではIP-VPNには劣る。IPsecによる暗号化でセキュリティを保証。コストは安い。
OSPFのマルチキャスト通信を通すため
アドミニストレーティブディスタンス(AD)
BGP(外部)。BGP(外部)のADは20。OSPFのADは110。ADは低い値の方が優先されるのでBGP(外部)が最適経路として優先される。
新拠点追加のときに全拠点の設定変更が必要になるから
DMVPN (Dynamic Multipoint VPN)
NHRP(Next Hop Resolution Protocol)
OSPFのプライオリティを0に設定する
平成29年度(2017年)
午後1-1 SSL-VPN
1.2または1.3
十分な安全性を確保されていないハッシュアルゴリズムであるMD5、SHA-1を利用しているから
- クライアント側はClient Hello
- サーバ側はServer Hello
- 暗号アルゴリズムは鍵交換、認証
- ハッシュアルゴリズムはメッセージ認証(またはデータの改ざん検知)
- リバースプロキシ
- ポートフォワーディング
- L2フォワーディング
- メリットはWebブラウザだけ(専用のソフトウェアは不要)で、簡単にリモート接続ができること。すぐ使えて、設定も少ないので楽。
- デメリットはWebブラウザという特徴から、メールサーバなどWebブラウザに対応していない場合はSSL-VPNで追加の設定が必要になる。さまざなプロトコルを扱う場合には推奨されない
- メリットはリバースプロキシでは対応できなかったWebブラウザのアプリケーションも利用できること
- デメリットはアプリケーションの制約が依然あること(FTPなどのポート番号が動的に変更するアプリケーションでは使えない)。なぜなら、事前にサーバのIPアドレスとポート番号を定義する必要があるから。また、専用のソフトウェアのダウンロードが必要になること。一言で言うなら、中途半端。
- メリットは、アプリケーションの制約がないこと。さまざまなプロトコルを利用することができる。なぜなら、ポートフォワーディングのようにサーバのIPアドレスとポート番号を事前に定義する必要がないから。メールもFTPもUDP通信でさえも可能。セキュアで万能。
- デメリットは利用者端末のOSはWindowsが推奨などOSの制約がある。
平成29年1-1の設問で、「利用されるプロトコルは様々である」という文章を根拠に、L2ポートフォワーディング方式を選択することが問われた。
vNIC(VPNクライアントソフトの仮想NIC)
午後1-2 帯域制御(QoS)、VDI
バーストトラフィック
ポリシング
メリットは超過分のパケットは破棄するので、遅延が発生しにくいこと。デメリットは超過分のパケットは破棄するので、パケットのロスが起きやすいこと。リアルタイム性の必要な音声通信に最適。
シェーピング
メリットは超過分のパケットをバッファに溜め込むので、パケットのロスが少ないこと。デメリットは超過分のパケットをバッファに溜め込むので、遅延が発生してしまうこと。データの品質を確保したい場合に最適。
アドミッション制御
優先制御
ベストエフォート
午後1-3 BGP、OSPF、IPsec
NAPT
VPN接続をする際に、IPパケットにIPヘッダを付加してカプセル化するトンネリングプロトコル。暗号化や認証の仕組みはないため、別のトンネリングプロトコルであるIPsecのトランスポートモード(トンネリングを行わないモード)と併用される。
IPsecで暗号化をするために、自動的に共通鍵をつくる鍵交換プロトコル。
- ISAKMP SA(IKE SA、フェーズ1)
- IPsec SA(フェーズ2)
事前共有鍵(PSK、Pre-Shared Key)
元のパケットに新しいIPヘッダを付加して(カプセル化)して、データのやりとりを行うこと
元のIPヘッダとは別に、新たなIPヘッダを付加するトンネリングを行う方式。元のIPヘッダとは別に新しいIPヘッダを付加するため、元のIPヘッダを暗号化対象とする。
元のIPヘッダをそのまま使い、トンネリングを行わない方式。元のIPヘッダをそのまま利用するため、暗号化対象としない。
暗号化対象の通信がグローバルIPアドレス間の通信だから。
IP in IPでトンネリングして元のIPヘッダ(プライベートIPアドレス)に、新たなIPヘッダ(グローバルIPアドレス)を付与している。
トンネルモードで再度トンネリングする場合、さらにIPヘッダを加えるので、グローバルIPアドレスの部分を暗号化してしまう。そのため、トランスポートモードで、グローバルIPアドレスのIPヘッダをそのまま利用するのが今回は最適。
フラグメントとリアセンブルの処理が発生する。パケットを分割して、組み合わせる処理が必要になる。
元のIPパケットのMTUが1500であり、IPsecのAH(認証)やESP(認証・暗号化)で新たにヘッダが付与されるのでパケットサイズが1500を超える。
MTUで1500を超えるパケットは送信側のVPNルータ分割(フラグメント)され、受信側のVPNルータでそれを再結合する(リアセンブル)ことになる。
そのため、本文では、IP in IPで作成されたトンネルインターフェースでMTUのサイズを適切な値に設定し、さらにトンネルインターフェースを通過するパケットのTCP MSSを適切な値に書き換えている。
NW機器が1回の通信で転送可能な最大のデータの値。Ethernetフレームは最大1518バイトなので、Ethernetヘッダ(14バイト)とFCS(4バイト)を除いた1500バイト(IPヘッダ20バイトとTCPヘッダ20バイトを含める)がMTUサイズになる。
ノード(PCなどの端末)が1つのTCPセグメントで送信可能なデータの最大値。MSSはMTUからIPヘッダ20バイトとTCPヘッダ20バイトを差し引いた実データ(ペイロード)を指し、最大1460バイトになる。
MTUはNW機器が1回の通信で転送可能な最大のデータの値。
MSSはノード(PCなどの端末)が確立したTCPコネクションの中で送信可能なデータの最大値。
ノード間で決められたMSSにTCPヘッダの20バイトとIPヘッダの20バイトが付与され、MTUとしてNW機器で処理される。
MTUの最大値である1500バイトを超えた大きなサイズのパケットを分割すること。
フラグメントで分割されたパケットを再構築・再結合すること。
AS(Autonomous System)
TCP ポート179番
BGPによって回線断や機器障害を検知し、トラフィックを迂回できる点。
Helloパケットを出さない。
OSPFを有効化すると、全てのインターフェースから定期的にHelloパケット(ルーティングのアップデート情報)を隣接ルータに送信する。
しかし、PCやサーバーが接続されたインターフェースにルーティングのアップデート情報を流す必要はないので、パッシブインターフェースに設定する。
あるルーティングプロトコルで学習した経路情報を、別のルーティングプロトコルに経路広告すること。例えば、OSPFで学習した経路をBGPに経路広告することで、BGPだけでなくOSPFのルート情報を学習できる。
隣接ルータから再配布されて学習したルート情報を、同じ隣接ルータに経路広告してしまうから。
双方向で再配布する構成は望ましくないので、片方向の再配布に設定する。そのほかにもシードメトリック(メトリックを付与して、優先経路を設定)やアドミニストレーティブディスタンスの値を調整する方法もあるが、管理する難易度が上がってしまうのがデメリット。
BGPの経路情報に付与される、最適ルートと判断するための値。
MEDはメトリックという値を付与して、低いメトリック値の経路を優先する。
AS_PATHはAS_PATH長が短い方、つまり、各BGPルータで自身のAS番号をAS_PATHのアトリビュートに付加していき、AS番号の数が少ないルートを優先する。受け取ったルート情報のAS_PATHアトリビュートに自身のAS番号が含まれる場合は、そのルート情報を破棄することでループを防止する。
echo request、echo reply
ネットワーク接続の冗長構成が失われたことを検出するため。
平成27年度(2015年)
午後1-1 SSO、HTTP
Webアプリケーションの認証を共通化し、利用者は1度の認証で複数のシステムの利用が可能となる仕組み
SSOで利用したい各サーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現する方式。エージェントがWebアプリケーションの認証を行う。クライアント→エージェント→SSOサーバで認証を行い、SSOサーバから認証されたCookieをもらい、以降はクライアントがそのCookieを提示することでログインが可能となる。
SSOサーバで全ての通信の中継を行う方式。


- PCからWebアプリケーションサーバにサービス要求
- Webアプリケーションサーバ内のエージェントは、サービス要求中のCookieに認証済資格情報(アクセスチケット)が含まれているかを確認する。含まれていなければ、サービス要求はSSOサーバへリダイレクトされる。
- SSOサーバからPCに、認証画面を送る
- PCからSSOサーバに、UserIDとPasswordを送る
- SSOサーバは、UserIDとPasswordから利用者のアクセスの正当性を確認したら、アクセスチケットを発行して、Cookieに含めて応答を返す。サービス要求は、Webアプリケーションサーバへリダイレクトされる。
- Webアプリケーションサーバ内のエージェントは、SSOサーバにアクセスチケット確認要求を送り、SSOサーバは確認して応答を返す。
- Webアプリケーションサーバは、↑の応答によって利用者のアクセスの正当性が確認できた場合、Webアプリケーション画面を送る
Set-Cookie
ドメイン属性を付与しないと、Cookieを発行したホストのみ有効になってしまうから。ドメイン属性ではCookieが有効な範囲を指定します。Cookieが有効となるドメイン名を指定した場合に、そのドメイン内のWebアプリケーションサーバへのSSOは可能となります。
CookieにSecure属性を付ける。Secure属性をつけることによって、HTTPS通信時にのみCookieを送信する。HTTPでの通信時にはCookieは送信しない。
クライアントからのパケットをLBのVIPで受け取り、LBが負荷分散先のサーバに転送し、サーバが戻りのパケットをLBを経由せずにクライアントに直接応答する非対称の通信方式。
ループバックインターフェースを作成し、それにVIPアドレスを設定する。ループバックインタフェースを設定しない場合、SSOサーバは自身のIPアドレス宛ではないパケットなので、そのパケットは破棄してしまう。そのため、VIPアドレスを付与したループバックインターフェースを設定することで、自身宛てのパケットと認識し、受信できるようにする。ループバックインターフェースに紐づけるループバックアドレスは機器自身を表すIPアドレスであるが、ARPリクエストに応答してしまうのでVIPのIPアドレスと重複することがある。
ループバックアドレスを割りあてるための論理的(仮想的)なインターフェース。ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスのこと。ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。
GARP(Gratuitous ARP)
VIPアドレスに対するARPリクエストに応答しないように設定する。
午後1-2 FW、L2~L4の理解
戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる機能。
パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。
ダイナミックパケットフィルタリングに、セキュリティ機能を加えたものがステートフルインスペクション機能
スループット
パケット。
スループット=転送パケット数 × 転送パケット長
リトライアウトをまたずに、コネクションの切断を検知できる。
LBでRSTフラグをONにしたパケットを送信しない場合は、TCPコネクションまでに時間を要してしまう↓
- 両端のノードのTCPコネクションの間にあるFWで障害が発生する
- ノードは通信相手からのACKが返ってこないため、何度か再送を行う
- ACKが返ってこないため、タイムアウトと判断し、RSTフラグをONにしたパケットを送信
- TCPコネクションが切断される
午後1-3 IDS、IPS、FW
侵入検知システム(IDS)は、ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見する仕組み。FWはサービスを行っていない接続ポートに対してのパケット侵入を遮断する。一方でIDSはサービスを行っているポートへの不正パケットを検出する。
侵入行為を遮断しない点。侵入行為が検知されると管理者にメールなどで知らせ、手動で対応することになるので対応が遅れるのがデメリット。さらに、通知ポリシーのチューニングや手動対応時の体制や人員確保、遮断するときの判断ルールなど運用上考慮する点が多い。
ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見して、かつ、それらを自動的に遮断する仕組み。IDSとの決定的な違いは、不正アクセスを検知した場合に、管理者に通知するだけではなく、自動的にアクセスを遮断する点。
自動的に遮断するゆえの誤検知とネットワークリソースへの負荷が高いこと。
正常な通信を誤って不正と検知してしまうこと
不正な通信を誤って正常と検知して見逃してしまうこと
- シグネチャ型
- アノマリ型(異常検知型)
不正なパケットに関する一定のルールやパターンを利用して、既知の攻撃を検知する。あらかじめ様々な種類のシグネチャが登録されているが、未知の攻撃には対応できない点がデメリット
定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正な攻撃として検知する。未知の攻撃に対しては柔軟に対応できるが、正常と判断する基準によっては、正常なパケットを異常とみなしてしまう点がデメリット
- SWの設定:ミラー(ミラーリング)ポートに設定して別のポートのパケットをミラーリングして、ミラーポートに転送する。
- IDS・IPSの設定:プロミスキャスモードに設定し、IDS・IPS以外を宛先とする通信も受信できるようにする。
ステルスモード
FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。
送信元と宛先の双方のIPアドレスあてに、TCPのRSTフラグをオンにしたパケットを送る。
該当するパケットの送信元に、ICMPヘッダのコードにport unreachableを設定したパケットを送信し、更なる攻撃の抑止する。
不正アクセスの送信元アドレスが偽装されている可能性があるから。それゆえに、このICMPパケットが他のサイトへの攻撃となることも懸念点として考えられる。
保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断できる。
通信をそのまま通過させ、遮断しないようにする。(フェールオープン機能)
不正アクセスへの対応を最適化するために、ログを取得して解析する。
平成26年度(2014年)
午後1-2 FW、L2~L4の理解
NAPT(Network Address and Port Translation)
ステートフルフェールオーバ
TCPの再送機能
- 設定情報の同期
- 管理情報の複製
- 対向FWの動作状態の識別
一方のポート故障による対向ポートのリンク断を防ぎ、どちらのFWの障害か特定が容易になる。
MACアドレステーブル
GARP(Gratuitous ARP)
タグVLAN。タグVLANを使用した接続がトランク接続
ポートVLANは物理ポートごとにVLANを割り当てる。複数のポートとその設定が必要になる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
午後1-3 DNS、インシデント管理
標的システムへの通信量を増大させて、ネットワークやサーバの処理能力を占有することによって、正常な取引の処理を妨害し、サーバをダウンさせる攻撃
分散、DDoS(Distributed Denial Of Service)攻撃とも呼ばれる。
再帰的問い合わせ
DNSリフレクション攻撃(DNSアンプ攻撃)参考資料|JPRS
インターネット上の不特定多数のクライアントからのDNS問い合わせを受けつけ、名前解決を行い、再帰的問い合わせの応答を行うDNSキャッシュサーバ(フルサービスリゾルバー)。攻撃者の踏み台としてDNSキャッシュサーバが利用される恐れがあるので、問い合わせを許可するIPアドレスを自組織のネットワークなどに制限する対策が必要。参考資料|JPNIC
フラッド(Flood)
smurf攻撃(スマーフ攻撃)
断片化(フラグメント)されたエコーパケットを許可しない機能。MTU(最大転送単位)のサイズは1500バイトに制限されるので、それ以上のデータは分割・断片化される。
DNSキャッシュが改ざんされる。DNSキャッシュポイズニング攻撃を防ぐために、そもそもDNSサーバのキャッシュ機能を無効にしておく。キャッシュ機能を有効にした場合でも、対策としてDNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更するのが有効。参考資料|IPA
内部から外部への通信に対する遮断ルールを設定する
FWで遮断した通信の結果ログを監視する
- 状況把握と記録
- 対象方法の確認
- ネットワークの切断
- 原因の特定と対処
- システムの復旧
- 対処結果の報告
- 対処結果の評価
- インシデントの対処方法の見直し
- クライアントからDNSキャッシュサーバ(フルサービスリゾルバー)へ再帰的問い合わせ
- DNSキャッシュサーバ(フルサービスリゾルバー)はキャッシュを確認。なければDNSコンテンツサーバ (権威サーバ)に非再帰的問い合わせ
- DNSコンテンツサーバ (権威サーバ)からDNSキャッシュサーバ(フルサービスリゾルバー)へ応答
- DNSキャッシュサーバ(フルサービスリゾルバー)からクライアントへ応答(代理)。DNSキャッシュサーバ(フルサービスリゾルバー)は問い合わせをキャッシュする。
コンテンツサーバ (権威サーバ)のゾーン情報をほかのコンテンツサーバに同期すること。ゾーン情報の冗長化
平成25年度(2013年)
午後1-1 SSL-VPN
- 暗号アルゴリズムを決定するために、クライアントとSSL-VPN機器間でHelloメッセージをやりとり(Client Hello,Server Hello)
- 公開鍵暗号による電子証明書の確認(鍵交換と認証)
- 共通鍵暗号での暗号化
- メッセージ認証コードのチェック(改ざん検知)
- SSLセッションの確立
- PCとSSL-VPN機器でSSLセッション確立(前問の内容と同じ)
- PCからSSL-VPN機器へ接続要求、認証が行われる
- SSL-VPN機器からPCにJavaアプレットがダウンロードされ、SSLトンネルが確立される。また、Javaアプレットによって、PCのhostsファイルにループバックアドレス(PCのローカルホストのIP)と宛先サーバを紐づけた定義が登録される
外部からの不正利用が発生しないから。
ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスです。ループバックアドレスを宛先として通信した場合、自分自身を表すIPなので、その機器自身から外部に出ることはありません。(ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。)外部のPCからポートフォワーディングされるループバックアドレス宛に通信を試みても、外部の機器自身のループバックアドレスにかえってくるので不正に利用される可能性がなくなります。
127.0.0.0/8(127.0.0.1~127.255.255.254)
サーバ側のポート番号が動的に変化するようなアプリケーションは使用することができない
SSLセッション確立による負荷を軽減させるため。
第三者認証局
hostsファイルを編集前の設定に戻すこと。Javaアプレットによって、事前定義されたループバックアドレス、宛先サーバのFQDN、ポート番号が設定されているため、それを設定前に戻す。
ウイルス対策ソフトの定義ファイルの適用状態を確認する機能
PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能
午後1-2 DHCP、L2の理解
DHCPリレーエージェント
ARPテーブル
5GHz
48ビット
OUI(Organizationally Unique Identifier)。OUIは製造者(ベンダー)に固有の値。下位24ビットはベンダーが決めた識別子。
ミラー
DHCP Discover
IPアドレスの重複割り当て
PCを接続するべきポート。
BBルータをSWに接続してしまったことにより、本来のDHCPサーバとは別に、BBルータが意図しないDHCPサーバとなってしまった。本来のDHCPサーバよりも、BBルータのDHCP Offerの応答が早かったので、PCは、BBルータからのIPアドレスを割り当ててしまった。
- 正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する
- 正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する
VLAN
VLANによるセキュリティ面のメリットは、PCからのブロードキャストパケットの到達範囲を制限できるので,アドレス情報の不要な流出のリスクを低減できること。
ブロードキャストされたフレーム(宛先MACアドレスがFF:FF:FF:FF:FF:FF)が到達できるネットワークの範囲。ブロードキャストで送信されたフレームは同セグメントのすべての機器に届いてしまうので、ネットワークの混雑の緩和のためにブロードキャストドメインは制限するのが望ましい。
平成24年度(2012年)
午後1-1 DNS、LBの負荷分散
ゾーン転送
長期間または復旧不能なサービス停止による利益損失を防ぐための事業計画
Aレコード
SOA(Start Of Authority)レコード
MX(Mail eXchange)レコード
CNAMEレコード
NSレコード。NSレコードは,そのゾーン自身や下位ドメインに関するDNSサーバのホスト名を指定するレコード。
PTRレコード
- Webサーバの応答時間
- Webサーバのデータ通信量
パーシステンス
平成22年度(2010年)
午後1-3 FW、IDS
- 監視対象のネットワークに設置するネットワーク型IDS
- 監視対象のWebサーバなどにインストールするホスト型IDS
シグネチャ型
アノマリ型(異常検知型)
不正な通信だけでなく適正な通信も異常として検知されてしまうこと
SQLインジェクション
クロスサイトスクリプティング
- Dos攻撃
- サーバのセキュリティホールをつく正常なパケット
- メールに添付されたウイルス
- 悪意あるサイトへのアクセス
- なりすまし
ステートフルパケットインスペクション(ステートフルインスペクション)
ステートフルフェールオーバ
パケットのペイロード(データ部)
80番ポートに対するDoS攻撃
- 仮想MACアドレス
- 仮想IPアドレス
切り替える前のFW1で保持していた、シーケンス番号を含んだセッションログ情報
システムの利用を一時制限して、切り戻し作業を行う