【直前対策】ネスぺ過去問 要点まとめ【午後】
ネットワークスペシャリストの過去問を復習しやすいように、一問一答形式でまとめていきます。ネスぺの午後問題は過去の問題から流用、または似た問題が出題されることが多いです!過去問を解いた中で重要なポイントをまとめていきます。
午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
令和4年度(2022年)
午後1-1 認証・認可・ポートミラーリング
ログデータの転送は、イベント通知を転送する標準規格(RFC5424)の〇〇プロトコルを利用する。
Syslog
プロキシサーバのユーザ認証には、Base64でエンコードするBasic認証方式と、MD5やSHA-256でハッシュ化する〇〇認証方式がある。
ダイジェスト
Basic認証ではユーザー名とパスワードが平文で送信されるため、盗聴や改竄の危険が高いが、ダイジェスト認証ではユーザー名とパスワードをハッシュ化したものを送信するため、より安全性が高くなっている。
プロキシサーバはHTTPの〇〇メソッドでトンネリング通信を提供し、トンネリング通信に利用する通信ポートを443に限定する。
CONNECT
外部からアクセスできるサーバをFWによって独立したDMZに設置すると、内部セグメントに設置するのに比べて、どのようなセキュリティリスクが軽減されるか。
社外からサーバに侵入された時に内部セグメントの機器に侵入されるリスク
ユーザーやコンピューターなどの情報をデータベースに保管し、検索や更新などの操作が可能なディレクトリサービスにアクセスするための通信プロトコル
LDAP(Lightweight Directory Access Protocol)
認証とは
利用者の本人確認をすること
認可とは
必要なアクセス権限・実行権限のみを付与すること
MACアドレステーブルに宛先MACアドレスが学習されていなかった場合、フレームを受信したポートを除くすべてのポートからフレームを一斉送信するユニキャスト通信の機能
フラッディング
宛先MACアドレスを「FF-FF-FF-FF-FF-FF」にしたフレームをフレームを受信したポートを除くすべてのポートから同じネットワークセグメント宛に一斉送信する機能
ブロードキャスト
全二重通信とは
データの送信と受信を同時に行うことができる通信方式
半二重通信とは
二者間のいずれの方向へも通信できる双方向通信において、一度に片方しか送信できず、両者が同時に送信することができない通信方式
ネットワークスイッチやルーターの機能の一つで、あるポートが送受信するデータを同時に別のポートに送信することで、トラフィックの監視や解析を行うための機能
ポートミラーリング
サーバでミラーパケットを受信するためにサーバ自身のMACアドレス宛ではないフレームも受信するインタフェース設定
プロミスキャスモード
午後1-2 IPsec
VRF(Virtual Routing and Forwarding)とは
1つの物理ルータ内で複数の仮想ルータを作成し、独立したルーティングテーブルを保持する技術
VRFにより、複数の顧客やサービスを区別して扱うことができ、ルーティングテーブルの相互干渉を防げる
ルーティングの再配布とは
異なるルーティングプロトコルを使用する異なるネットワーク間で経路情報を交換すること
IPsecによる暗号化通信で使用され、通信内容であるペイロードを暗号化するプロトコル
ESP (Encapsulating Security Payload)
IPSecのポリシーや暗号方式のネゴシエーション、鍵交換、相互認証に用いられる鍵交換プロトコル
IKE(Internet Key Exchange)
IKEv2による鍵交換で利用されるSA(セキュリティ アソシエーション)の名称を2つ
IKE SA、Child SA
IKEv1による鍵交換で利用されるSA(セキュリティ アソシエーション)の名称を2つ
ISAKMP SA、IPsec SA
IKEで利用される、共通鍵を生成するためのパラメータ(公開鍵など)を盗聴されても安全を確保できる鍵交換アルゴリズム
Diffie-Hellman鍵交換、Diffie-Hellmanアルゴリズム
IPsecによる暗号化通信のシーケンス
- 共通鍵を生成するためのパラメータをIKEで相互に交換
- お互いの共通鍵でISAKMP SA(IKEv2ではIKE SA)を確立し、お互いのピア認証を行う
- ISAKMP SA(IKEv2ではIKE SA)で、IPsec SA(IKEv2ではChild SA)を確立するためのパラメータを暗号化して通信する
- IPsec SA(IKEv2ではChild SA)で決めたセキュリティプロトコル、通信モード、暗号化方式で通信を行う
Diffie-Hellman鍵交換のDiffie-Hellmanグループ番号は何を定めているものか。
鍵長
番号が大きいグループほど安全性が高くなりますが、鍵の計算に時間がかかります。
IPsecで、元のIPヘッダは変更せずに、データ部のみを暗号化できるモード
トランスポートモード
IPsecで、IPパケット全体を暗号化し、新しいIPヘッダを追加するモード
トンネルモード
午後1-3 DNS・DHCP・ケルベロス認証
プロキシ例外リスト(除外設定)の内容
プロキシサーバーを経由しない特定のホスト名やドメインを指定する設定
DHCPサーバがPC(DHCPクライアント)に付与する情報を具体的に5つ
- IPアドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバのIPアドレス
- IPアドレスのリース時間の設定など
令和4年午後1-3では、DHCPサーバがデフォルトゲートウェイとDNSサーバのIPアドレスを付与する旨が出題された。
プロトコル/ポート番号がUDPまたはTCP/53の通信
DNS
プロトコル/ポート番号がTCP/443の通信
HTTPS
プロトコル/ポート番号がTCP/80
HTTP
FWのステートフルパケットインスペクション(SPI)とは
過去に通過したリクエストパケットに対応付けられる戻りのパケットを動的に許可する機能。戻りの通信を動的に許可する仕組み。
外部DNSサーバは、DMZのゾーン情報の管理及びフルサービスリゾルバの機能を持っている。外部DNSサーバは、〇〇攻撃を防ぐために、社外からの再帰問合せ要求は受け付けない。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、DNSサーバのキャッシュを偽の情報で書き換える攻撃手法です。攻撃者は、コンテンツサーバから正しい応答が返ってくる前に、大量の偽の応答パケットを標的のフルリゾルバサーバ宛てに送信し、キャッシュを書き換えます。
令和年午後1-3の外部DNSサーバでは、DNSキャッシュポイズニング対策として、以下の設定を行なっています。
- 外部DNSサーバは、社外からの再帰問合せ要求は受け付けない。(社内DNSとDMZサーバの再帰問合せに限定)
- 外部DNSサーバは、社内DNSサーバ及びDMZのサーバからの再帰問合せは受けつけ、再帰問合せ時には、送信元ポート番号のランダム化(ソースポートランダマイゼーション)を行う。固定のポートではなく、複数のポート番号をランダムに使うことにより、攻撃者が偽の応答を注入しにくくなります。
DNSの再帰問合せとは
クライアントから問い合わせを受けたキャッシュDNSサーバが、クライアントが必要な情報を他の権威DNSサーバに問い合わせ、最終的な回答を得るまでの一連の問い合わせのこと
DNSの非再帰問合せとは
クライアントから問い合わせを受けたキャッシュDNSサーバが、クライアントが必要な情報を他の権威DNSサーバに問い合わせること自体を指す。非再帰問い合わせを複数の権威DNSサーバに反復問合せする。
ケルベロス認証の認証及びデータの暗号で利用される暗号化方式
共通鍵暗号方式
ケルベロス認証サービスのポート番号
88番(TCPまたはUDP)
ケルベロス認証で利用されるTGTとSTやデジタル証明書などの有効期限を正しく動作させるためにすべきネットワーク設定
NTPによる時刻同期
時刻同期を行うことで、指定時間に特定のサービスを動作・処理する、ログを記録する、証明書認証など正常に行えます。
ケルベロス認証で利用が推奨されているDNSリソースレコードで、サービスが稼働するホスト名などの情報を指定するDNSリソースレコード
SRVレコード
DNSリソースレコードに記載されるTTLとは何か。
キャッシュとして保持する時間
DNSラウンドロビンとは
DNSラウンドロビンとは、ドメイン名をIPアドレスに変換するDNSの仕組みの一つで、複数のIPアドレスを持つサーバーなどに対して、順番にアクセスを分散できる負荷分散方法です。
午後2-1 SSL-VPN・TLS1.3・認証
TLSの機能を3つ
- 暗号化
- 通信相手の認証
- 改ざん検知
SSL-VPNの方式を3つ
- リバースプロキシ方式
- ポートフォワーディング方式
- L2フォワーディング方式
SSL-VPNの方式の1つで、対応するアプリケーションに制限があるものの、簡単にWebブラウザを使用してVPN接続を行える方式
リバースプロキシ方式
SSL-VPNの方式の1つで、クライアントPCにJavaアプレットなどのVPN通信モジュールをインストールし、事前にサーバのIPアドレスとポート番号を静的に定義することで必要なアプリケーションのみVPN接続できる方法
ポートフォワーディング方式
SSL-VPNの方式の1つで、動的なアプリケーションに対応でき、クライアントPCにVPNクライアントソフトを導入して、データをHTTPパケットでカプセル化してVPN接続を行う方法
L2フォワーディング方式
ポートフォワーディング方式のSSL-VPNは、TCPまたはUDPの任意の〇〇へのアクセスを可能する。
ポート
認証局(CA)に発行された電子証明書に含まれているのは、証明対象を識別する情報(Subjectフィールド)、有効期限、〇〇鍵、シリアル番号、CAのデジタル署名などが含まれる。
公開
SSL-VPN装置がRDPのみ利用する場合に最適なSSL-VPN方式
ポートフォワーディング方式
TLS1.3で規定されている鍵交換方式は、DHE、〇〇、PSKの3方式
ECDHE
TLS1.3で利用されるDHE、ECDHEが担保する前方秘匿性とは
サーバーの秘密鍵が漏洩した場合でも、過去に暗号化した通信データの安全性を守る技術
通信内容の暗号化とメッセージが改ざんされていないことを検証するメッセージ認証の処理が同時に行われる、TLS1.3で利用必須の暗号利用モード
AEAD(Authenticated Encryption with Associated Data、認証付き暗号)
電子証明書において識別用情報を示すフィールド
Subject
クライアント証明書とは
Webサーバーに接続する際に、クライアント(ブラウザ)側が自分自身を証明するためのデジタル証明書
クライアント証明書で送信元の身元を一意に特定できる理由
クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないから
クライアント証明書を発行する手順
- クライアントPCで秘密鍵の作成
- クライアントPCで証明書署名要求(CSR)の生成
- 認証局(CA)に証明書署名要求(CSR)を提出
- 認証局(CA)からクライアント証明書をもらう
- クライアントPCでクライアント証明書をインストール
認証局が自ら署名して作成した自己署名証明書であり、中間CA証明書やサーバー証明書などの下位の証明書を発行するための信頼の起点となり、認証局の中でも最上位に位置する認証局の証明書
認証局(CA)のルート証明書
サーバ証明書とは
通信の暗号化やサーバーの身元を証明する役割を持つ電子証明書
クライアントがサーバから送られたサーバ証明書を検証することにより、低減できるリスク
なりすまされたサーバへ接続してしまうリスク
利用者が認証局(CA)にCSRを提出する時に署名に用いる鍵と、認証局(CA)がCSRの署名の検証に用いる鍵のそれぞれの名称
利用者の秘密鍵、利用者の公開鍵
証明書失効リスト(CRL)とは
有効期限内に失効したディジタル証明書のシリアル番号のリスト
TLS1.3のSSLハンドシェイクの確立手順
- クライアントがサーバーに接続要求を送信(Client-Hello)
- サーバーがクライアントに公開鍵を含めたサーバ証明書などを送信(Server-Hello)
- サーバがクライアントに鍵交換、署名、暗号化アルゴリズムに関する情報を送信(Encrypted Extensions)
- サーバがクライアントにクライアント証明書を要求する(Certificate Request、任意)
- サーバがクライアントにサーバ証明書を送信する(Certificate)
- サーバがクライアントにサーバ証明書の署名データを送信する(Certificate Verify)
- サーバがクライアントにメッセージ送信が終了したことを通知する(Finished)
- クライアントがサーバにクライアント証明書を送信する(Client Certificate、任意)
- クライアントがサーバにクライアント証明書の署名データを送信する(Client Certificate Verify、任意)
- クライアントがサーバにメッセージ送信が終了したことを通知する(Finished)
- 以降、通信は暗号化された状態で行われる
OSPFなどで利用される等コストの経路が複数ある場合、すべての通信経路に負荷を分散させる設定
ECMP(Equal Cost Multi Path)
OSPFコストは、〇〇のコスト値の合計で比較され、値が低い経路を優先します。
出力されるインターフェース
ECMPのフローモードで改善されている、ECMPパケットモードのデメリット
パケットごとにランダムに経路を選択するゆえに、遅延しパケットの到着順序の逆転が起こりやすい
ECMPのフローモードの経路選択方法
送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行う
送信元IPアドレスと宛先IPアドレスの組み合わせが多ければ多いほど、経路の偏りは少なくなる。逆に言えば、送信元IPアドレスと宛先IPアドレスの組み合わせが少ないと、経路の偏りが発生してしまう。
マスタールータのインターフェースで障害を検知した場合、マスタールータのVRRPの〇〇を下げることでバックアップルータがマスタールータに昇格する。
優先度(プライオリティ)
午後2-2 VRRP・HTTP・DNS
サーバを仮想化するソフトウェア
ハイパーバイザー
VRRPの識別子
VRID(Virtual Router ID)
VRRPの規格で構成できる仮想ルーターの数
255
DNSレコードの1つで、ドメイン名をIPアドレスに変換するのに利用されるレコードタイプ
Aレコード
可用性確保の観点から、2台の仮想サーバを同じホストサーバに収容した場合に起きる問題
ホストサーバが停止した場合、仮想サーバが2台とも停止してしまう
VRRPのマスタールータが停止したとバックアップルータが判定する条件
バックアップルータが、VRRPアドバタイズメントを決められた時間内に受信しなくなった場合
HTTP(Hyper Text Transfer Protocol)プロトコルにおけるリクエストヘッダーの1つで、Webサーバーに対して要求されるリソースが存在するホスト名を指定するフィールド
ホストヘッダーフィールド
Ping監視は、監視サーバが監視対象の機器に対してICMPのエコー要求(Echo Request)を送信し、一定時間以内に〇〇受信するかどうかで、IPパケットの到達性があるかどうかを確認する。
エコー応答(Echo Reply)
TCP接続監視では、監視サーバが監視対象の機器に対してSYNパケットを送信し、一定時間以内に〇〇パケット受信するかどうかで、TCPで通信ができるかどうかを確認する。
SYN/ACK
URL監視接続監視では、監視サーバが監視対象の機器に対してHTTP〇〇メソッドでリソースを要求し、一定時間以内にリソースを取得できるかどうかでHTTPサーバが正常稼働しているかどうかを確認する。
GET
DNS(Domain Name System)を使用せずに、ホスト名とIPアドレスの対応関係を手動で指定するためのPCのファイル
hostsファイル
DNSのTTLを短くすることによって何がどのように変化するか
キャッシュDNSサーバのDNSキャッシュを保持する時間が短くなる。
令和3年度(2021年)
午後1-1 DHCP・L2の理解
DHCPサーバがPC(DHCPクライアント)に付与する情報を具体的に5つ
- IPアドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバのIPアドレス
- IPアドレスのリース時間の設定など
令和3年午後1-1では、DHCPサーバがDNSサーバのIPアドレスを付与する旨が出題された。
MACアドレステーブルに宛先MACアドレスが学習されていなかった場合、フレームを受信したポートを除くすべてのポートからフレームを一斉送信するユニキャスト通信の機能
フラッディング
宛先MACアドレスを「FF-FF-FF-FF-FF-FF」にしたフレームをフレームを受信したポートを除くすべてのポートから同じネットワークセグメント宛に一斉送信する機能
ブロードキャスト
A機器にB機器のIPアドレスではなく、B機器のFQDNで設定するメリット
B機器のIPアドレスが変更された場合でもA機器の設定変更が不要になること
HTTPまたはHTTPSプロトコルを使用し、URIにHTTPメソッドでアクセスすることでデータの送受信を行うAPI
REST API
ローカルエリアネットワークでのネットワークデバイスの自己識別、機能、および隣接関係を広告するために使用されるデータリンク層のプロトコル
LLDP (Link Layer Discovery Protocol)
TCP/IP ネットワーク上につながる機器の情報を管理したり、状態を監視したりするために使用されるOSI参照モデルのアプリケーション層のプロトコル
SNMP(Simple Network Management Protocol)
SNMP監視対象の機器が自身の状態や設定についてまとめたデータベース
MIB
午後1-2 OSPF
通信を行う前に通信相手間であらかじめ共有しておく鍵で、ネットワークの暗号化を行うために使用される鍵
事前共有鍵(Pre-Shared Key, PSK)
OSPF(Open Shortest Path First)で、ルータがOSPFの経路情報を近隣のルータに通知する情報
LSA(Link State Advertisement)
OSPF(Open Shortest Path First)のルータがLSAで交換したリンク情報をもとに構築するネットワークトポロジのデータベース
LSDB(Link State Datebase)
すべてのOSPFルータが生成するLSAのタイプ
ルータLSA(Type 1)
OSPF内のDR (Designated Router、代表ルータ) が生成するLSAのタイプ
ネットワークLSA(Type 2)
OSPFでルーティングする際に使用されるメトリックの一つで、ネットワークの帯域幅に基づいて算出される値
コスト
OSPFエリア内の各ルータは、集められたLSAの情報をもとにして、〇〇アルゴリズムを用いた最短経路計算を行なって、ルーティングテーブルを動的に作成します。
ダイクストラ(SPF)
OSPFでエリア分割するメリット
- LSDBサイズを縮小できる(メモリ負荷の減少)
- SPF計算頻度を減らせる(CPU負荷の減少)
- ルーティングテーブルのサイズ縮小できる(メモリ負荷の減少)
OSPFのエリアの種類であり、OSPFで必ず1つは必要なエリア
バックボーンエリア(エリア0)
スタティックルートをOSPFに再配送してもデフォルトルートは再配送の対象外になる。その対象方法。
OSPFでデフォルトルートを生成し、他のOSPFルータに配布する
Ciscoであれば「default-information originate」コマンドで他のOSPFルータに配布できます。
OSPFの複数の経路情報を一つに集約する機能(経路集約機能)を利用する目的
ルーティングテーブルのサイズやエントリ数を減らすことができ、CPUやメモリの負荷を低減できる
OSPFのエリア間で経路集約設定をすべき機器
ABR(エリア境界ルータ)
ルーティングループを防ぐために作成し、意図的にルーティングさせることでパケットを破棄できる架空のインターフェース
Null0
OSPFで、バックボーンエリア(エリア0)に物理的に接続できないエリア同士を論理的に接続するための技術
仮想リンク
午後1-3 QoS
CS-ACELPのビットレートは〇〇kビット/秒
8
音声や動画などのリアルタイムストリームデータを配信するためのデータ通信プロトコル
RTP(Real-time Transport Protocol)
RTP(Real-time Transport Protocol)が利用するトランスポート層のプロトコル
UDP
ToS(Type of Service)フィールドのうち最初の3ビットを使用し、IPパケットにおいて優先度を表すための値
IP Precedence
パケットの優先順位を決定するために使用されるIPヘッダのToSフィールド(6bit)に含まれる値
DSCP(Differentiated Services Code Point)
IP Precedenceは8段階の優先度だが、DSCPは64段階の優先度があり、より細かく柔軟に優先制御できるのが特徴
通信やデータ処理において、データの送信・受信にかかる時間のばらつき
ジッタ(jitter)
一時的にデータを貯蔵するための領域
バッファ
音声パケットをバッファに入れすぎると、〇〇が生じ、音声の途切れや遅れ、品質低下などの問題が発生する。
遅延(レイテンシー)
Ethernetケーブルを通じて電力供給を行う技術
PoE(Power over Ethernet)
最大15.4Wの電力を供給できるPoEの規格
IEEE 802.3af
最大30Wの電力を供給できるPoEの規格
IEEE 802.3at
PoEの給電機能をもつL2SWに、PoE未対応の機器を誤って接続した場合の状態
L2SWからの給電は行われない。
IEEE 802.1QのVLANタグに含まれており、Ethernetフレームのヘッダに付加されるネットワーク通信においてデータの優先度を指定する値
CoS(Class of Service value)
CoS値を基にした優先制御でタグVLANが必要になる理由
VLANタグの中にCoS値のフィールドがあるから、または、フレーム中のタグ情報内の優先ビットを使用するから(IPA公式解答)
トラフィックを優先度ごとに分類し、各優先度に対してウェイト(重み)を設定できるQoS(Quality of Service)アルゴリズム
WRR(Weighted Round Robin)
QoSのトラフィック制御の手法で、指定された帯域幅内に制限されたトラフィックを認め、帯域外のトラフィックを廃棄することでトラフィックの流量を制御する手法
ポリシング
QoSのトラフィック制御の手法で、指定された帯域幅内でトラフィックを制御し、トラフィックを緩やかに遅延させ、一定の帯域幅で送信することで、トラフィックのバーストを抑制する手法
シェーピング
午後2-1 STP・RSTP・LAG・スタック・DHCP
PC及びサーバから送信されたドメインに関する名前解決要求を、フルサービスリゾルバに転送するサーバ
DNSフォワーダ
VRRPでマスタルータにするには、〇〇を大きく設定する。
プライオリティ値(優先度)
SW同士に同じブリッジプライオリティ値を設定した場合に、SWはブリッジIDの何を比較してルートブリッジを決定するか。
MACアドレス
ブリッジIDは、プライオリティ値とスイッチのMACアドレスを組み合わせた値
ルートブリッジであるSWでは、すべてのポートが〇〇ポートとなる。
指定
STPのネットワークでトポロジの変更が必要になると、SWはポートの状態遷移を開始し、〇〇テーブルをクリアする
MACアドレス
STPをRSTPに変更することで、SWに障害が発生した時の、トポロジの再構成にかかる時間を短縮できる理由を2つ
- ポート故障時の代替ポートを事前に決定しているから
- 転送遅延がなく、ポートの状態遷移を行うから
スイッチのスタック機能を用いることで運用負荷を軽減できる理由
2台のスイッチを1台のスイッチとして管理できるから
STP及びRSTPを不要にしている技術を2つ。
スタック、リンクアグリゲーション
ループがない構成であれば、有効。
DHCP DISCOVERメッセージのgiaddrフィールド値を何のために使用するか。
PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
午後2-2 BGP
利用状況の調査を目的として、単位時間あたりの通信量(ビット/秒)を求める際に時間平均することによる問題点
取得間隔の間で発生したバースト通信がわからなくなる
BGPパスアトリビュートのAS_PATHで、隣接するASから経路情報を受信する際に、自身のAS番号が含まれている場合はその経路情報を破棄する目的
経路のループを回避するため
BGPパスアトリビュートのひとつで、経路情報がどのASを経由してきたのかAS番号を示す属性
AS_PATH
BGPパスアトリビュートのひとつで、次のホップとなるルーターの IP アドレスを示す属性
NEXT_HOP
BGPパスアトリビュートのひとつで、eBGPピアに対して通知し、自身のAS内に存在する宛先ネットワークアドレスの優先度を示す属性
MED (Multi-Exit Discriminator)
BGPパスアトリビュートのひとつで、iBGPピアに対して通知し、外部のASに存在する宛先ネットワークアドレスの優先度を示す属性
LOCAL_PREF
LOCAL_PREFの値が最も〇〇経路情報を選択する。
大きい
AS_PATHの長さが最も〇〇経路情報を選択する。
短い
MEDの値が最も〇〇経路情報を選択する。
小さい
BGPでは、接続が有効であることを確認するために、一定間隔で〇〇を交換し、一定時間応答がない場合は接続が切断され、AS内の各機器の経路情報が更新されます。
キープアライブメッセージ
BGPでトラフィックを分散する経路制御はできない理由、標準仕様
BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映するから。
静的経路の削除が行われた時点で、動的経路(BGPやOSPFなど)による制御に切り替えが行われる理由
BGPやOSPFなどの経路情報よりも静的経路設定の経路情報の方が優先されるから。
eBGPピアをはった機器同士の片方を機器交換する際に、インターネット利用に対する影響が最小限になるよう、交換機器で設定すべき変更内容
eBGPピアを無効にする設定
物理的に存在しないためルーターに問題が生じてもアドレスを再設定する必要がなくなる、BGPルータに一般的に設定されるアドレス
ループバックアドレス
令和元年度(2019年)
午後1-1 LAG・監視(SNMP)
冗長経路接続のためのルーティングプロトコルで、パスベクトル型ルーティングプロトコル
BGP(BGP-4)
OSPFのエリアの種類であり、OSPFで必ず1つは必要なエリア
バックボーンエリア
VRRPのマスタールータが故障した際に、新しくマスタールータになる機器が隣接機器のMACアドレステーブルを更新するためにブロードキャストする通信の名称
GARP(Gratuitous ARP)
VRRPアドバタイズメントの通信の種類
マルチキャスト通信(224.0.0.18)
ポートVLANとタグVLANの違い
ポートVLANは物理ポートごとにVLANを割り当てる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
リンクアグリゲーション(LAG)のメリットを3つ
リンクの冗長化
帯域の拡張
負荷分散
M/C(メディアコンバータ)を介したLAG構成における、LACPを利用するメリット
リンクダウンを伴わない障害発生時に、LAGのメンバから故障回線を自動で除外できること
LAGの2本の回線のうち1本が切れた場合に、懸念される問題点は何か
トラフィックが輻輳し、パケットが廃棄されてしまうこと
LAGの負荷分散は何によって決定されるか
ハッシュ関数
LAGの負荷分散で、送信元MACアドレスと宛先MACアドレスの組み合わせでハッシュ関数を作成した場合、負荷分散がうまくいかないのはなぜか。
通信の送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから
IPアドレスによる死活監視を行うPingで利用されるプロトコル名
ICMP(Internet Control Message Protocol)
SNMPエージェントがSNMPマネージャーに送信する状態変更通知の名称
SNMP trap(SNMPトラップ)
SNMPマネージャーがSNMPエージェントから取得する管理情報ベースの名称
MIB(Management information base)
SNMPの監視方法の1つで、トラフィック量を把握するのに適切な監視方法
SNMP ポーリング
マルチホーム接続とは何か
冗長性確保や負荷分散の目的で、2つ以上の上流接続(トランジット)を持つこと
午後1-2 DNS・LB・HTTP
WAF(Web Application Firewall)とは
Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティ機能
WAFで防げる代表的な攻撃
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
OSコマンドインジェクション など
FW、IDSとIPS、WAFで防御できる攻撃の違い
- FW:IPアドレスやポート番号でネットワーク通信を制御。ポートスキャン対策。
- IDSとIPS:攻撃パターンを定義したシグネチャと呼ばれるルールをもとにOS、ミドルウェア、ネットワークの通信を監視し、不正な通信を制御。DDoS、OS脆弱性、SYNフラッド対策。
- WAF:Webアプリケーション層の中身を確認して、通信を制御。SQLインジェクションなどのアプリケーション層の攻撃対策。
- 防御できる通信レイヤーと防御できる攻撃がそれぞれ異なるので、組み合わせることが重要
XFF(X-Forwarded-For)ヘッダとは
クライアントからのHTTPリクエストの送信元IPアドレスをHTTPヘッダに追加することで元のクライアントIPアドレスの情報を追加することができる機能
CNAMEレコードとは
既に定義されているドメイン名の別名となるレコード。ドメイン名のあだな。
DNSのリソースレコードの値、リソースの中身となる部分の名称
RDATA
LBの主要な5つの機能
- HTTPリクエストの振り分け機能
- 死活監視機能
- セッション維持機能
- TLSアクセラレーション機能
- HTTPヘッダの編集(追加、変更、削除)機能
LBのHTTPリクエスト振り分け機能のラウンドロビンでの負荷分散の方法
順番にHTTPリクエストを振り分ける
LBの死活監視で、HTTPリクエストを監視する際のポート番号
80番
HTTPレスポンス時のステータスコード
200
WebブラウザとWebサーバ間でCookieを利用する。サーバ(本文ではLB)がHTTPレスポンスの○○ヘッダフィールドにセッションIDを追加する。
Set-Cookie
WebブラウザとWebサーバ間でCookieを利用する。HTTPレスポンスを受け取った利用者のWebブラウザは、Set-CookieヘッダフィールドにあるセッションIDを、次に送信する〇〇ヘッダフィールドに追加する。
Cookie
LBのセッション維持機能で、HTTPリクエストの送信元IPアドレスに基づいて行う場合の問題点
送信元IPアドレスの数が少ないと負荷が偏ること
LBのTLSアクセラレーション機能とは
TLSの暗号化・復号処理、HTTPヘッダを編集する処理を専用ハードウェアで高速に処理する機能
WebサーバへのアクセスログとしてLBでアクセス時の送信元IPアドレスを記録したい。どのような設定をする必要があるか。
XFFを有効化し、クライアントからのHTTPリクエストの送信元IPアドレスをXFFヘッダに追加する設定
午後1-3 DHCP・ARPスプーフィング
DHCP(Dynamic Host Configuration Protocol)とは
IPv4ネットワークにおいて通信用の基本的な設定を自動的に行うためのプロトコル。IPv4アドレスはリース期間があり、その期限が切れる前に更新するか、リリースしてIPアドレスを解放する。
DHCPサーバがDHCPクライアントに提供する情報
- IPアドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバのIPアドレス
- IPアドレスのリース時間の設定など
DHCPで利用されるトランスポート層のプロトコル
UDP
DHCPで自動的にIPアドレス情報などを取得する場合、4つの手順でやりとりをする。その名称と順番
- DHCP Discover
- DHCP Offer
- DHCP Request
- DHCP Ack
DHCP Discoverで、DHCPクライアントがDHCPサーバを探すブロードキャストを送信する。
DHCP Offerで、DHCPサーバがDHCPクライアントにIPアドレスを提案。ユニキャストで送信される。
DHCP Requestで、DHCPクライアントが前述のOfferで提案されたIPアドレスを要求する。
DHCP Ackで、DHCPサーバがDHCPクライアントにIPアドレスを付与する。
DHCPサーバとPCのセグメントが異なっている場合に必要となる、スイッチの機能名
DHCPリレーエージェント
DHCPリレーエージェントを実装したL3SWではブロードキャスト通信を〇〇通信に変換することで、セグメントをまたいだDHCPサーバに通信できる
ユニキャスト
L2SWでDHCPスヌーピングを利用する目的
DHCPクライアントとDHCPサーバのやりとりをスヌーピング(のぞき見)することで、通信を監視するため。DHCPサーバのなりすましや正当なDHCPクライアントの通信のみを許可するために利用される。
L2SWでDHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定。そのポートを経由して、DHCPサーバとの通信を行う。
DHCPスヌーピングの制限を受けない設定。具体的には、正当なDHCPサーバとの通信で利用するポートをtrustedポート(DHCPサーバからの応答を受信できるポート。信頼されたポート)に設定。そのポートを経由したDHCPメッセージのみが信頼できるものになる。
ARP(Address Resolution Protocol)とは
IPアドレスから対応する機器のMACアドレスを取得するプロトコル
ARPスプーフィングとは
クライアントからのARP要求に対して、スプーフィングする機器が正当なARP応答になりすまして、不当なARP応答(スプーフィングする機器のMACアドレス)を返答することにより、通信を傍受できる機能。攻撃手段として利用されるが、監視目的でも利用できる。スプーフィング(spoofing)とはなりすましのこと。
午後2-1 SIP
TCP(UDP)/IPパケットに含まれるIPアドレスとポート番号を、別のIPアドレスとポート番号に変換する技術
NAPT(Network Address Port Translation)
デジタル音声データをIPパケットに変換して、IPネットワークを通じて送受信できるPBX(アナログ電話交換機)
IP-PBX
音声やビデオ、メッセージングなどのセッションの確立、維持、終了のための信号を交換するために使用されるプロトコル
SIP(Session Initiation Protocol)
SIPユーザーエージェントがSIPサーバーに対して自分自身のIPアドレスや位置情報を登録するためのSIPメソッド
SIP REGISTER
SIPセッションを開始するために使用され、通話の開始、転送、通話の終了などのシグナリングを実現するSIPメソッド
SIP INVITE
ハッシュ関数で暗号化された値を使用してクライアントの認証を行うHTTP認証
ダイジェスト認証
HTTPリクエストが成功し、レスポンスとして要求されたリソースが正常に取得されたことを示すステータスコード
200 OK
リアルタイムに音声や動画などのデータストリームを配送するための通信プロトコル
RTP(Real-time Transport Protocol)
IP-VPNに代表されるキャリアの閉域網で利用され、ラベルというヘッダ情報を付加して、高速なスイッチング処理ができる技術
MPLS(Multiprotocol Label Switching)
ネットワーク構成の一種で、すべてのノードが互いに直接接続されている構成
フルメッシュ構成
通話中の電話を別の電話機に転送する操作
保留転送
相手の電話機を保留状態にするなど既に確立されたSIPセッションを再調整するために使用されるSIPメソッドの1つ
re-INVITE
セッション開始前に交換され、音声やビデオなどのメディア形式、送信元/受信先のIPアドレス、ポート番号、ネットワークプロトコルなど通信セッションの情報を記述するプロトコル
SDP(Session Description Protocol)
午後2-2 セキュリティ
ネットワーク上のデバイスのIPアドレスを探索する目的で利用されるスキャン名
アドレススキャン(ホストスキャン)
ネットワーク上のコンピュータやサーバーに対して、利用できるポートを探索する目的で利用されるスキャン名
ポートスキャン
攻撃者が攻撃対象のIPアドレスになりすまし、大量のPing(ICMP request)をネットワーク機器に送りつけ、大量のPing応答が攻撃対象のIPアドレスに返ってくることを利用したDoS攻撃
スマーフ攻撃(Smurf Attack)
UDPの特徴であるコネクションレスを悪用して、Ping(ICMP request)で非常に大きなサイズのUDPパケットを大量に攻撃対象に送りつけたり、特定のアプリケーションポートをダウンさせるDoS攻撃の一種
UDP flood攻撃
ポート番号TCP/25を使用するプロトコル
SMTP(Simple Mail Transfer Protocol)
フルリゾルバとは
クライアントからのDNSクエリに対して、ドメイン名からIPアドレスへの名前解決を行う機能を備えたDNSサーバ
ポート番号UDP/53とTCP/53を使用するプロトコル
DNS
コンテンツサーバ(権威サーバ)が管理するゾーンの情報を冗長化する目的で、他のDNSサーバにコピーすること
ゾーン転送
ゾーン転送する転送元のDNSサーバと転送先のDNSサーバの名称
転送元のDNSサーバをマスターサーバ、転送先のDNSサーバはスレーブサーバ(セカンダリーサーバ)
uRPFとは
ルータが受信したパケットのIPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを廃棄するフィルタリング技術
uRPFで、ルーティングテーブルのみを参照して、送信元IPアドレスが確認できなかったら破棄するモード
looseモード
uRPFで、ルーティングテーブルとパケットの流入インタフェースが完全に一致していなかったら破棄するモード
strictモード
α.β.γ.0/28のセグメントのブロードキャストアドレス
α.β.γ.15
プレフィックスが/28なので、サブネットマスクは255.255.255.240。サブネットマスクからIPアドレスの総数は15で、セグメントの最後の数がブロードキャストアドレスになるため、α.β.γ.15がブロードキャストアドレス
3ウェイハンドシェイク(3-way handshake)による接続確立が行われるトランスポート層のプロトコル
TCP
3ウェイハンドシェイク(3-way handshake)でおこなわれる3つの手順
- SYN
- SYN/ACK
- ACK
SYNでは、送信者が〇〇番号をランダムに決めて、受信者に送信する(例:100)
シーケンス
SYN/ACKでは、受信者がシーケンス番号をランダムに決めて、送信者に返信する(例:200)
SYN/ACKでは、受信者がSYNで受け取ったシーケンス番号(100)に1を加えた〇〇番号(101)を送信者に返信する
確認応答
ACKでは、送信者がSYN/ACKで受け取ったシーケンス番号(200)に〇〇を加えた確認応答番号(〇〇)を受信者に返信し、受信側でチェックして確認応答番号の値が一致すればコネクションが確立される。
1、201
DNSキャッシュポイズニング対策として、利用されるソースポートランダマイゼーション(ソースポートランダム化)の内容
DNSサーバの送信元ポート番号をランダム化する
C&CサーバのIPアドレスを隠蔽するために利用される手法
Fast Flux
C&Cサーバのドメイン名を隠蔽するために利用される手法
Domain Flux
平成30年度(2018年)
午後1-1 SD-WAN・プロキシ
プロキシサーバの1つで、社内に対して、アクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で利用されるプロキシ
フォワードプロキシ
プロキシサーバの1つで、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、および複数のサーバでの負荷分散を行う目的で利用されるプロキシ
リバースプロキシ
HTTPSでアクセスするためのHTTPプロトコルのメソッド名
CONNECTメソッド
CONNECTメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただし、HTTPS以外の通信)を遮断するためのプロキシサーバでの対策
HTTPS以外のポートのCONNECTを拒否する。
プロキシサーバでHTTPSのアクセスログを確認したところ、アクセス先のホスト名は記録されていたが、URLは記録されていなかった。その理由とアクセス先のURLを把握するために行うべき設定
URLはHTTPSで暗号化されているから。そのため、プロキシサーバで暗号化通信を一旦復号し、URLを確認した上で、再度暗号化を行う設定。
プロキシサーバでHTTPSの復号・暗号化処理を行う場合、PCでエラーメッセージ「証明書が信頼できない」と表示される。この際にPCにインストールすべきもの。
プロキシサーバのルート証明書
SD-WANとは
拠点間やクラウド事業者などと接続するWAN(専用線、IP-VPN、インターネットVPNなど)をソフトウェアで統合・一括管理し、仮想的なネットワークを実現する技術。
本問のように、各拠点の内部LANからクラウドサービス事業者へのアクセスでプロキシサーバやFWを経由するといろいろな問題が起こる。(他の通信のスループットが低下したり、プロキシサーバの処理可能セッション数が超過したり、インターネット接続回線の帯域不足など)
そこで、SD-WANを利用することで、各拠点から直接クラウドサービス事業者へアクセスするようにする(インターネットブレイクアウト、ローカルブレイクアウト)ことで上記の課題を解決できる。また、SD-WANコントローラーで設定の一元管理が可能なため管理が非常に楽になる。
SDNは、利用者の通信トラフィックを転送する〇〇プレーンと、通信装置を集中制御する〇〇プレーンのソフトウェアでデータ転送を制御する方式である。
データ、コントロール
午後1-2 監視(SNMP)
Pingで利用されるプロトコル
ICMP(Internet Control Message Protocol)
Ping監視で、echo requestパケットの宛先として、監視対象機器に設定すべきものは何か。
IPアドレス
Syslogで一般的に利用されるトランスポートプロトコルは何か。
UDP
SNMPエージェントとSNMPマネージャーは機器の管理情報(MIB)を共有する。その際の同じグループを表す名称
コミュニティ
VRRPが冗長化している対象は何か
デフォルトゲートウェイ
VRRPで、バックアップルータはあるメッセージを受信しなくなった時にマスタルータに切り替わる。このVRRPのメッセージ名
VRRPアドバタイズメント
IEEE802.1Dで規定されている、レイヤ2ネットワークのループを防止するプロトコル
STP(Spanning Tree Protocol)
STP(Spanning Tree Protocol)を有効にしているL2SWでやりとりされる制御フレームの名称
BPDU(Bridge Protocol Data Unit)
STPを有効にしたL2SW間で、ルートブリッジは何によって決まるか
ブリッジID。ブリッジIDが最も小さいとそのSWはルートブリッジに選出される。
ブリッジIDを構成する2点の情報の名称
ブリッジプライオリティ(先に値が比較される)とMACアドレス
ブリッジプライオリティの値がさきにL2SW間で比較される。この値が同じだった場合、MACアドレスを比較する。それぞれ値が低いほど優先度が高いブリッジIDとなり、そのL2SWはルートブリッジに選出される。
STPのポート状態の遷移順番
- ブロッキング(BPDU受信待ち続ける、最大20秒で次に遷移)
- リスニング(転送遅延で15秒後、次に遷移)
- ラーニング(転送遅延で15秒後、次に遷移)
- フォワーディング
STPで安定した状態に収束する(コンバージェンス)までに、最短30秒、最長50秒かかってしまう。STPのデメリット。
L2SWの正方形のループ構成でSTPを有効していた。その構成でケーブルが断線した。それを検知したL2SWがSyslogメッセージを監視サーバに送信したが、届かなかった。原因は何か。監視サーバへの経路はL2SWのループ構成を経由するものとする。
スパニングツリーが再構築中だったから。SyslogメッセージはUDPで送信されるが到達性は保証されていない。そのため、STPが再構築中にそのメッセージが破棄される。
SNMPマネージャーが、SNMPエージェントに対して、5分ごとといった定期的にMIBの問い合わせを行い、機器の状態を把握する。この機能の名称。
SNMPポーリング
MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーがメッセージを受信することで機器の状態を把握することができる。この機能の名称。
SNMPトラップ
SNMPポーリングの懸念点
SNMPポーリングは5分ごとなど定期的に状態を取得するので多くの場合異常検知が遅れる可能性があること。SNMPポーリングで取得する最適な間隔は監視環境によって異なる。(監視対象の数、回線速度、監視項目の数、監視項目の内容など)
SNMPトラップの懸念点
SNMPトラップはUDP(162番ポート)が使われ、到達確認がないのでメッセージが失われる可能性がある。ちなみにSNMPポーリングはUDPの161番ポートが使われる。TCPだとSNMPエージェントがSNMPマネージャーと確立するコネクションの数が多く、やりとりするデータ量も増えるため負荷が大きい。
SNMPインフォームとは
MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーからの確認応答を待つ。確認応答を受信できない場合、SNMPエージェントは、SNMPマネージャーがメッセージを受信しなかったと判断し、メッセージの再送信を行う機能。
平成30年午後1-2の問題では、SNMPエージェントでスパンニングツリーが再構築するまでにインフォームの再送信を繰り返す設定をすることによって、Syslogメッセージを監視サーバに高い確率で送信できるようになった。
午後1-3 IP-VPN・インターネットVPN
IP-VPNとは
通信事業者が運営する閉域IPネットワーク(事業者閉域IP網)を利用者のトラフィック交換に提供するサービス。通信事業者と契約した事業者のみが閉ざされたネットワークを利用できる。
インターネットVPNとは
インターネットを利用したVPNサービス。事業者閉域網を利用したIP-VPNや専用線と比較すると、インターネットを利用するので安全性は低い。そのため、IP通信の完全性・機密性を確保するために暗号技術であるIPsecを用いて、セキュアな通信を実現する。
事業者閉域IP網内で複数の利用者のトラフィックを中継するのに利用されるIP-VPNのパケット転送技術の名称
MPLS(Multi-Protocol Label Switching)
MPLSで用いられる固定長(4byte)のタグ情報の名称
ラベル
利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するルータの呼称
CE(Customer Edge)ルータ
利用者のネットワークと事業者閉域IP網との接続点において、通信事業者が設置するルータの呼称
PE(Provider Edge)ルータ
事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的
利用者ごとのトラフィックを区別するため
暗号技術を利用してノード間通信を行い、IPパケット通信の完全性・機密性を確保するインターネットVPNで利用されるプロトコルの名称
IPsec(Security Architecture for Internet Protocol)
IPsecはOSI基本参照モデルのどのレイヤで動作するか。
ネットワーク層(第3層)
IP-VPNとインターネットVPNの違い
IP-VPN:通信事業者の閉域網を利用するので、クローズドでセキュア。ただし、通信の暗号化はされない。コストは高い。
インターネットVPN:インターネットを利用するので、オープンでセキュリティ面ではIP-VPNには劣る。IPsecによる暗号化でセキュリティを保証。コストは安い。
OSPFネットワーク内のIPsecトンネル上で、GRE over IPsecを利用する目的
OSPFのマルチキャスト通信を通すため
ルータやL3SWが複数のルーティングプロトコルから得た同一宛先への異なる経路情報から、適切な経路を選択する際に利用される値の名称。
アドミニストレーティブディスタンス(AD)
OSPFと外部BGPで同じ宛先に関するルート情報を得た。アドミニストレーティブディスタンス(AD)値を利用して経路を決める場合、どちらが優先されるか。またそれぞれのADの値。
BGP(外部)が優先される。
BGP(外部)のADは20。OSPFのADは110。ADは低い値の方が優先されるのでBGP(外部)が最適経路として優先される。
フルメッシュ構成のIPsecトンネルのネットワーク構成に、追加拠点向けIPsecトンネルを手動で追加するネットワーク拡張方式は望ましくない。その理由。
新拠点追加のときに全拠点の設定変更が必要になるから
ハブアンドスポーク型のVPNで、スポーク同士の通信時にIPsecトンネルを動的(オンデマンド)に確立する機能の名称
DMVPN (Dynamic Multipoint VPN)
ハブアンドスポーク型のVPNで、スポーク同士の通信を行いたい。IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用されるプロトコル
NHRP(Next Hop Resolution Protocol)
OSPFで代表ルータに選出されないようにする設定
OSPFのプライオリティを0に設定する
平成29年度(2017年)
午後1-1 SSL-VPN
SSL-VPNで利用が推奨されるTLSのバージョン
1.2または1.3
TLSのバージョン1.0、1.1が推奨されない理由
十分な安全性を確保されていないハッシュアルゴリズムであるMD5、SHA-1を利用しているから
SSL/TLSのハンドシェイク手順で、SSL/TLSを開設時にクライアント側、サーバ側からそれぞれ送られるメッセージの名称
クライアント側はClient Hello、サーバ側はServer Hello
SSL/TLSで2種類の暗号アルゴリズム(公開鍵暗号のRSAなど)と1種類のハッシュアルゴリズム(SHA-256など)が利用される。それぞれの用途。
暗号アルゴリズムは鍵交換、認証
ハッシュアルゴリズムはメッセージ認証(またはデータの改ざん検知)
SSL-VPNの基本動作3つ
- リバースプロキシ
- ポートフォワーディング
- L2フォワーディング
SSL-VPNのリバースプロキシのメリット、デメリット
メリットはWebブラウザだけ(専用のソフトウェアは不要)で、簡単にリモート接続ができること。すぐ使えて、設定も少ないので楽。
デメリットはWebブラウザという特徴から、メールサーバなどWebブラウザに対応していない場合はSSL-VPNで追加の設定が必要になる。さまざなプロトコルを扱う場合には推奨されない
SSL-VPNのポートフォワーディングのメリット、デメリット
メリットはリバースプロキシでは対応できなかったWebブラウザのアプリケーションも利用できること
デメリットはアプリケーションの制約が依然あること(FTPなどのポート番号が動的に変更するアプリケーションでは使えない)。なぜなら、事前にサーバのIPアドレスとポート番号を定義する必要があるから。また、専用のソフトウェアのダウンロードが必要になること。一言で言うなら、中途半端。
SSL-VPNのL2ポートフォワーディングのメリット、デメリット
メリットは、アプリケーションの制約がないこと。さまざまなプロトコルを利用することができる。なぜなら、ポートフォワーディングのようにサーバのIPアドレスとポート番号を事前に定義する必要がないから。メールもFTPもUDP通信でさえも可能。セキュアで万能。
デメリットは利用者端末のOSはWindowsが推奨などOSの制約がある。
平成29年1-1の設問で、「利用されるプロトコルは様々である」という文章を根拠に、L2ポートフォワーディング方式を選択することが問われた。
SSL-VPNのL2ポートフォワーディングでクライアント端末でインストールするVPNクライアントソフトのある箇所にIPアドレスを割り当てる。その箇所の名称
vNIC(VPNクライアントソフトの仮想NIC)
午後1-2 帯域制御(QoS)・VDI
一時的に大量の帯域を使用するトラフィックの名称
バーストトラフィック
入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御
ポリシング
メリットは超過分のパケットは破棄するので、遅延が発生しにくいこと。デメリットは超過分のパケットは破棄するので、パケットのロスが起きやすいこと。リアルタイム性の必要な音声通信に最適。
パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御
シェーピング
メリットは超過分のパケットをバッファに溜め込むので、パケットのロスが少ないこと。デメリットは超過分のパケットをバッファに溜め込むので、遅延が発生してしまうこと。データの品質を確保したい場合に最適。
通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の状況に応じて通信を制御すること
アドミッション制御
フレームの種類や宛先に応じて優先度を変えて中継すること
優先制御
通信サービスで最善はつくすが、品質については保証されていないサービス形態
ベストエフォート
午後1-3 BGP・OSPF・IPsec
IPアドレスとポート番号の変換処理の名称
NAPT
IP-in-IP (IP Encapsulation within IP)とは
VPN接続をする際に、IPパケットにIPヘッダを付加してカプセル化するトンネリングプロトコル。暗号化や認証の仕組みはないため、別のトンネリングプロトコルであるIPsecのトランスポートモード(トンネリングを行わないモード)と併用される。
IKE(Internet Key Exchange protocol)とは
IPsecで暗号化をするために、自動的に共通鍵をつくる鍵交換プロトコル。
IPsecで暗号化をする際の2つのフェーズの名称
ISAKMP SA(IKE SA、フェーズ1)
IPsec SA(フェーズ2)
ISAKMP SA(フェーズ1)では、接続する相手を認証する方式として、両方の機器であらかじめ、〇〇と呼ばれる同じ鍵を共有する方式を利用する。
事前共有鍵(PSK、Pre-Shared Key)
トンネリングとは
元のパケットに新しいIPヘッダを付加して(カプセル化)して、データのやりとりを行うこと
IPsec SA(フェーズ2)のトンネルモードとは
元のIPヘッダとは別に、新たなIPヘッダを付加するトンネリングを行う方式。元のIPヘッダとは別に新しいIPヘッダを付加するため、元のIPヘッダを暗号化対象とする。
IPsec SA(フェーズ2)のトランスポートモードとは
元のIPヘッダをそのまま使い、トンネリングを行わない方式。元のIPヘッダをそのまま利用するため、暗号化対象としない。
L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、IP in IPでトンネリング、IPsecで暗号化している。その際、IPsec SA(フェーズ2)でトンネルモードではなく、トランスポートモードを選択するべき理由。
暗号化対象の通信がグローバルIPアドレス間の通信だから。
IP in IPでトンネリングして元のIPヘッダ(プライベートIPアドレス)に、新たなIPヘッダ(グローバルIPアドレス)を付与している。トンネルモードで再度トンネリングする場合、さらにIPヘッダを加えるので、グローバルIPアドレスの部分を暗号化してしまう。そのため、トランスポートモードで、グローバルIPアドレスのIPヘッダをそのまま利用するのが今回は最適。
IP in IPでトンネルを構成し、さらにIPsecで暗号化することによって、元のIPパケットと比較してパケットサイズは大きくなる。これに関連して、IP in IPで作成されたトンネルインターフェースのMTUの値を1500とした場合、VPNルータで発生する処理。すべてのインターフェースのMTUの値は1500とする。
フラグメントとリアセンブルの処理が発生する。パケットを分割して、組み合わせる処理が必要になる。
元のIPパケットのMTUが1500であり、IPsecのAH(認証)やESP(認証・暗号化)で新たにヘッダが付与されるのでパケットサイズが1500を超える。MTUで1500を超えるパケットは送信側のVPNルータ分割(フラグメント)され、受信側のVPNルータでそれを再結合する(リアセンブル)ことになる。
そのため、本文では、IP in IPで作成されたトンネルインターフェースでMTUのサイズを適切な値に設定し、さらにトンネルインターフェースを通過するパケットのTCP MSSを適切な値に書き換えている。
MTU (Maximum Transmission Unit)とは
NW機器が1回の通信で転送可能な最大のデータの値。Ethernetフレームは最大1518バイトなので、Ethernetヘッダ(14バイト)とFCS(4バイト)を除いた1500バイト(IPヘッダ20バイトとTCPヘッダ20バイトを含める)がMTUサイズになる。
MSS(Maximum Segment Size)とは
ノード(PCなどの端末)が1つのTCPセグメントで送信可能なデータの最大値。MSSはMTUからIPヘッダ20バイトとTCPヘッダ20バイトを差し引いた実データ(ペイロード)を指し、最大1460バイトになる。
MTUとMSSの違い
MTUはNW機器が1回の通信で転送可能な最大のデータの値。MSSはノード(PCなどの端末)が確立したTCPコネクションの中で送信可能なデータの最大値。
ノード間で決められたMSSにTCPヘッダの20バイトとIPヘッダの20バイトが付与され、MTUとしてNW機器で処理される。
フラグメント(フラグメンテーション)とは
MTUの最大値である1500バイトを超えた大きなサイズのパケットを分割すること。
リアセンブルとは
フラグメントで分割されたパケットを再構築・再結合すること。
BGPで、特定のルーティングポリシで管理されたルータの集まりの名称
AS(Autonomous System)
BGP接続で利用されるトランスポートプロトコルとポート番号
TCP ポート179番
K社NWとL社クラウドサービスとのネットワーク接続で、静的経路制御と比較して動的経路制御(BGP)を選択する利点
BGPによって回線断や機器障害を検知し、トラフィックを迂回できる点。
パッシブインターフェースの動作の特徴
Helloパケットを出さない。OSPFを有効化すると、全てのインターフェースから定期的にHelloパケット(ルーティングのアップデート情報)を隣接ルータに送信する。
しかし、PCやサーバーが接続されたインターフェースにルーティングのアップデート情報を流す必要はないので、パッシブインターフェースに設定する。
ルーティングの再配布とは
あるルーティングプロトコルで学習した経路情報を、別のルーティングプロトコルに経路広告すること。例えば、OSPFで学習した経路をBGPに経路広告することで、BGPだけでなくOSPFのルート情報を学習できる。
経路情報の再配布を行う時には、経路のループを防止する必要がある。ループが起こる理由
隣接ルータから再配布されて学習したルート情報を、同じ隣接ルータに経路広告してしまうから。
双方向で再配布する構成は望ましくないので、片方向の再配布に設定する。そのほかにもシードメトリック(メトリックを付与して、優先経路を設定)やアドミニストレーティブディスタンスの値を調整する方法もあるが、管理する難易度が上がってしまうのがデメリット。
BGPのパスアトリビュートとはBGPの経路情報に付与される、最適ルートと判断するための値。
MEDはメトリックという値を付与して、低いメトリック値の経路を優先する。
AS_PATHはAS_PATH長が短い方、つまり、各BGPルータで自身のAS番号をAS_PATHのアトリビュートに付加していき、AS番号の数が少ないルートを優先する。受け取ったルート情報のAS_PATHアトリビュートに自身のAS番号が含まれる場合は、そのルート情報を破棄することでループを防止する。
Ping監視では、ICMPの〇〇パケットを監視対象に送り、〇〇パケットが監視対象から帰ってくることで到達性を確認する。それぞれの名称
echo request、echo reply
K社とL社の間で2つあるVPNトンネルを、それぞれPingで監視を行う。その目的
ネットワーク接続の冗長構成が失われたことを検出するため。
平成27年度(2015年)
午後1-1 SSO・HTTP
SSO(シングルサインオン)とは
Webアプリケーションの認証を共通化し、利用者は1度の認証で複数のシステムの利用が可能となる仕組み
SSOの方式であるエージェント方式とは
SSOで利用したい各サーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現する方式。エージェントがWebアプリケーションの認証を行う。クライアント→エージェント→SSOサーバで認証を行い、SSOサーバから認証されたCookieをもらい、以降はクライアントがそのCookieを提示することでログインが可能となる。
SSOの方式であるリバースプロキシ方式とは
SSOサーバで全ての通信の中継を行う方式。
Cookieを含めるHTTP応答パケットのヘッダフィールドの名称
Set-Cookie
SSOサーバのSet-CookieでDomain属性を付与する理由
ドメイン属性を付与しないと、Cookieを発行したホストのみ有効になってしまうから。ドメイン属性ではCookieが有効な範囲を指定します。Cookieが有効となるドメイン名を指定した場合に、そのドメイン内のWebアプリケーションサーバへのSSOは可能となります。
WebブラウザからCookieが平文で、ネットワーク上に意図せず流れてしまうのを防ぐために、SSOサーバがCookieを発行する時に実施すべき方策
CookieにSecure属性を付ける。Secure属性をつけることによって、HTTPS通信時にのみCookieを送信する。HTTPでの通信時にはCookieは送信しない。
LBのL2DSR(Direct Server Return)方式とは
クライアントからのパケットをLBのVIPで受け取り、LBが負荷分散先のサーバに転送し、サーバが戻りのパケットをLBを経由せずにクライアントに直接応答する非対称の通信方式。
LBのDSR方式でSSOサーバにリクエストパケットが転送されるが、このリクエストパケットの宛先アドレスはVIPアドレスのままである。SSOサーバは、自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。SSOサーバでどのような設定が必要か。
ループバックインターフェースを作成し、それにVIPアドレスを設定する。
ループバックインタフェースを設定しない場合、SSOサーバは自身のIPアドレス宛ではないパケットなので、そのパケットは破棄してしまう。そのため、VIPアドレスを付与したループバックインターフェースを設定することで、自身宛てのパケットと認識し、受信できるようにする。ループバックインターフェースに紐づけるループバックアドレスは機器自身を表すIPアドレスであるが、ARPリクエストに応答してしまうのでVIPのIPアドレスと重複することがある。
ループバックインターフェースとは
ループバックアドレスを割りあてるための論理的(仮想的)なインターフェース。ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスのこと。ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。
IPアドレス重複エラーを検知するために用いられるARPの名称
GARP(Gratuitous ARP)
SSOサーバでVIPアドレスをループバックインターフェースに設定した場合、LBのVIPアドレスとIPが重複する。これを回避するためにSSOサーバに必要な設定
VIPアドレスに対するARPリクエストに応答しないように設定する。
午後1-2 FW・L2~L4の理解
動的フィルタリング(ダイナミックパケットフィルタリング)とは
戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる機能。
ダイナミックパケットフィルタリングの1種である、ステートフルインスペクションとは
パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断するFW機能。
ダイナミックパケットフィルタリングに、セキュリティ機能を加えたものがステートフルインスペクション機能
LBの1秒あたりの転送データ量の名称
スループット
LBには1秒あたりの転送〇〇数に上限があるので、実際の最大スループットは転送パケット長によって変化する。
パケット。スループット=転送パケット数 × 転送パケット長
FWで障害が発生した場合、セッション維持ができない。この影響を軽減するために、故障発生時にはFWを挟んでいる両LBでRSTフラグをONにしたパケットをTCPコネクションの両端のノードに送信する。この動作をおこわない場合と比べて、両端のノードにどのようなメリットがあるか。
リトライアウトをまたずに、コネクションの切断を検知できる。LBでRSTフラグをONにしたパケットを送信しない場合は、TCPコネクションまでに時間を要してしまう↓
- 両端のノードのTCPコネクションの間にあるFWで障害が発生する
- ノードは通信相手からのACKが返ってこないため、何度か再送を行う
- ACKが返ってこないため、タイムアウトと判断し、RSTフラグをONにしたパケットを送信
- TCPコネクションが切断される
午後1-3 IDS・IPS・FW
IDS(Intrusion Detection System)とは
侵入検知システム(IDS)は、ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見する仕組み。FWはサービスを行っていない接続ポートに対してのパケット侵入を遮断する。一方でIDSはサービスを行っているポートへの不正パケットを検出する。
IDSのデメリット
侵入行為を遮断しない点。侵入行為が検知されると管理者にメールなどで知らせ、手動で対応することになるので対応が遅れるのがデメリット。さらに、通知ポリシーのチューニングや手動対応時の体制や人員確保、遮断するときの判断ルールなど運用上考慮する点が多い。
IPS(Intrusion Prevention System)とは
ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見して、かつ、それらを自動的に遮断する仕組み。IDSとの決定的な違いは、不正アクセスを検知した場合に、管理者に通知するだけではなく、自動的にアクセスを遮断する点。
IPSのデメリット
自動的に遮断するゆえの誤検知とネットワークリソースへの負荷が高いこと。
IPSのフォールスポジティブとは
正常な通信を誤って不正と検知してしまうこと
IPSのフォールスネガティブとは
不正な通信を誤って正常と検知して見逃してしまうこと
IDS・IPSの侵入検知の仕組みが2種類ある。それぞれの名称。
- シグネチャ型
- アノマリ型(異常検知型)
IDS・IPSの侵入検知の仕組みであるシグネチャ型の特徴
不正なパケットに関する一定のルールやパターンを利用して、既知の攻撃を検知する。あらかじめ様々な種類のシグネチャが登録されているが、未知の攻撃には対応できない点がデメリット
IDS・IPSの侵入検知の仕組みであるアノマリ型の特徴
定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正な攻撃として検知する。未知の攻撃に対しては柔軟に対応できるが、正常と判断する基準によっては、正常なパケットを異常とみなしてしまう点がデメリット
IDS・IPSに監査対象のトラフィックを流すために、IDS・IPSと接続するSWのポートにすべき設定とIDS・IPSのネットワークポートに必要な設定
SWの設定:ミラー(ミラーリング)ポートに設定して別のポートのパケットをミラーリングして、ミラーポートに転送する。
IDS・IPSの設定:プロミスキャスモードに設定し、IDS・IPS以外を宛先とする通信も受信できるようにする。
IDS・IPSのネットワークポートにIPアドレスを割り当てなければ、IDS・IPS自体がOSI基本参照モデルの第3層レベルの攻撃を受けることを回避できる。この機能の名称
ステルスモード
IDSの機能の1つで、IDSとFWが連携することで、検知した送信元アドレスからの不正な接続を遮断する仕組みとはどのようなものか。
FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。
IDSの機能の1つで、IDSが不正なTCPコネクションを検知した場合に、該当する通信を強制的に切断する仕組みとはどのようなものか。
送信元と宛先の双方のIPアドレスあてに、TCPのRSTフラグをオンにしたパケットを送る。
IDSの機能の1つで、IDSが不正なUDPパケットを受け取った場合に、該当する通信を遮断する仕組みとはどのようなものか。
該当するパケットの送信元に、ICMPヘッダのコードにport unreachableを設定したパケットを送信し、更なる攻撃の抑止する。
前問のICMPを使った攻撃抑止のためのパケットが、実際は攻撃者に届かないことがある。それはなぜか。
不正アクセスの送信元アドレスが偽装されている可能性があるから。それゆえに、このICMPパケットが他のサイトへの攻撃となることも懸念点として考えられる。
IDSの運用時には、サーバのミドルウェアの脆弱性を悪用する攻撃を受けており、対象サーバにセキュリティパッチを適用するまでシステムを数日間停止している経緯がある。再度防御対象のサーバに新たな脆弱性が発見されたが、IPSを導入していた場合、一時的な運用に対応することができる。この一時的な運用の内容。
保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断できる。
IDSが併設されていることを踏まえた上で、IPSの機能の一部が故障した場合、IPSはどのように通信を処理すべきか。
通信をそのまま通過させ、遮断しないようにする。(フェールオープン機能)
IDSとIPSの導入後に、セキュリティレベルの継続的な向上のために、管理用PCを使ってどのようなことを行うべきか。
不正アクセスへの対応を最適化するために、ログを取得して解析する。
平成26年度(2014年)
午後1-2 FW・L2~L4の理解
ネットワークアドレス及びポート番号の変換を行う機能
NAPT(Network Address and Port Translation)
FWの機能で、主系から副系にフェールオーバした後も通信を継続させるために、FWが通信の中継のために管理している情報を自動的に引き継ぐ機能
ステートフルフェールオーバ
FWがフェールオーバした後に、多くのアプリケーションでデータの保全性が保たれるのはトランスポート層のプロトコルの機能によるところが大きい。その機能。
TCPの再送機能
FW1とFW2の間にフェールオーバリンクという専用接続を使用する。具体的にはどのような通信が行われるか。
- 設定情報の同期
- 管理情報の複製
- 対向FWの動作状態の識別
FWのフェールオーバリンクには、ケーブル直結にする構成とSWを挟む構成がある。障害切り分けのためにSWを挟む構成にした場合のメリット
一方のポート故障による対向ポートのリンク断を防ぎ、どちらのFWの障害か特定が容易になる。
FWの冗長化で、新たにActiveになったFWは、切り替わったことを通知するフレーム(GARP)をFWの各ポートから送信することで、隣接機器のレイヤ2機能で用いるテーブルを適切に更新できる。そのテーブルの名称
MACアドレステーブル
接続機器のARPテーブルを更新するために、自ポートに設定されたIPアドレスの解決を要求するARPメッセージの名称
GARP(Gratuitous ARP)
1本のリンクに複数のVLANを収容できる技術の名称
タグVLAN。タグVLANを使用した接続がトランク接続
ポートVLANとタグVLANの違い
ポートVLANは物理ポートごとにVLANを割り当てる。複数のポートとその設定が必要になる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
午後1-3 DNS・インシデント管理
DoS(Denial Of Service)攻撃とは
標的システムへの通信量を増大させて、ネットワークやサーバの処理能力を占有することによって、正常な取引の処理を妨害し、サーバをダウンさせる攻撃
多数のコンピュータが標的サーバを集中的に攻撃する〇〇型DoS攻撃は、発信元のコンピュータの特定が難しいので被害が大きくなる
分散。DDoS(Distributed Denial Of Service)攻撃とも呼ばれる。
PCなどから問い合わせを受けたDNSキャッシュサーバ(フルサービスリゾルバー)は、DNSコンテンツサーバ(権威サーバ)に問い合わせを行い、最終的な結果をPCに返信する。この問い合わせの名称
再帰的問い合わせ
再帰的問い合わせにおいて、クライアントの発信元のIPアドレスを詐称して、その問い合わせの結果を標的サーバ宛てに送信させる攻撃の名称
DNSリフレクション攻撃(DNSアンプ攻撃)参考資料|JPRS
オープンリゾルバとは
インターネット上の不特定多数のクライアントからのDNS問い合わせを受けつけ、名前解決を行い、再帰的問い合わせの応答を行うDNSキャッシュサーバ(フルサービスリゾルバー)。攻撃者の踏み台としてDNSキャッシュサーバが利用される恐れがあるので、問い合わせを許可するIPアドレスを自組織のネットワークなどに制限する対策が必要。参考資料|JPNIC
DoS攻撃の1種で、TCPのパケットを大量に送信し、応答待ちにして新たな接続を妨害するSYN〇〇攻撃や、コネクションレスのUDPパケットを使ったUDP〇〇攻撃などがある。〇〇は両方同じ他単語。
フラッド(Flood)
大量のパケットを送信する攻撃として、大きなサイズのICMPエコー応答を使ったものがある。この攻撃の名称
smurf攻撃(スマーフ攻撃)
ICMPフラッド攻撃を防御するために、FWが持つべき機能断片化(フラグメント)されたエコーパケットを許可しない機能。
MTU(最大転送単位)のサイズは1500バイトに制限されるので、それ以上のデータは分割・断片化される。
DMZに設置したDNSサーバのキャッシュ機能を有効にしたままだと、どのようなセキュリティ上の脆弱性があるか。
DNSキャッシュが改ざんされる。DNSキャッシュポイズニング攻撃を防ぐために、そもそもDNSサーバのキャッシュ機能を無効にしておく。キャッシュ機能を有効にした場合でも、対策としてDNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更するのが有効。
内部から外部への不正な通信を防止するために必要なFWでの対策
内部から外部への通信に対する遮断ルールを設定する
内部から外部への不正な通信を早期発見するために必要なFWでの対策
FWで遮断した通信の結果ログを監視する
セキュリティの重大なインシデントが発生した場合のセキュリティ担当者の対応手順
- 状況把握と記録
- 対象方法の確認
- ネットワークの切断
- 原因の特定と対処
- システムの復旧
- 対処結果の報告
- 対処結果の評価
- インシデントの対処方法の見直し
DNS問い合わせの流れ
- クライアントからDNSキャッシュサーバ(フルサービスリゾルバー)へ再帰的問い合わせ
- DNSキャッシュサーバ(フルサービスリゾルバー)はキャッシュを確認。なければDNSコンテンツサーバ (権威サーバ)に非再帰的問い合わせ
- DNSコンテンツサーバ (権威サーバ)からDNSキャッシュサーバ(フルサービスリゾルバー)へ応答
- DNSキャッシュサーバ(フルサービスリゾルバー)からクライアントへ応答(代理)。DNSキャッシュサーバ(フルサービスリゾルバー)は問い合わせをキャッシュする。
DNSゾーン転送とは
コンテンツサーバ (権威サーバ)のゾーン情報をほかのコンテンツサーバに同期すること。ゾーン情報の冗長化
平成25年度(2013年)
午後1-1 SSL-VPN
SSL-VPNのSSLセッション確立までの順番
- 暗号アルゴリズムを決定するために、クライアントとSSL-VPN機器間でHelloメッセージをやりとり(Client Hello,Server Hello)
- 公開鍵暗号による電子証明書の確認(鍵交換と認証)
- 共通鍵暗号での暗号化
- メッセージ認証コードのチェック(改ざん検知)
- SSLセッションの確立
SSL-VPNのポートフォワーディング方式のSSLトンネルを確立するまでの流れ
- PCとSSL-VPN機器でSSLセッション確立(前問の内容と同じ)
- PCからSSL-VPN機器へ接続要求、認証が行われる
- SSL-VPN機器からPCにJavaアプレットがダウンロードされ、SSLトンネルが確立される。また、Javaアプレットによって、PCのhostsファイルにループバックアドレス(PCのローカルホストのIP)と宛先サーバを紐づけた定義が登録される
ポートフォワーディング方式のJavaアプレットでPCのhostsファイルにループバックアドレス(PCのローカルホストのIP)が登録される。この際の、宛先のIPアドレスをプライベートIPではなく、ループバックアドレスが推奨されるセキュリティ上の理由
外部からの不正利用が発生しないから。
ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスです。ループバックアドレスを宛先として通信した場合、自分自身を表すIPなので、その機器自身から外部に出ることはありません。(ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。)外部のPCからポートフォワーディングされるループバックアドレス宛に通信を試みても、外部の機器自身のループバックアドレスにかえってくるので不正に利用される可能性がなくなります。
ループバックアドレスのアドレス範囲
127.0.0.0/8(127.0.0.1~127.255.255.254)
ポートフォワーディング方式では使用できないアプリケーションの特徴
サーバ側のポート番号が動的に変化するようなアプリケーションは使用することができない
システムの利用頻度が増大することを考慮し、SSL-VPN機器でSSLセッションのキャッシュ時間を延ばす設定を行なった目的
SSLセッション確立による負荷を軽減させるため。
サーバ証明書の正当性は、証明書が信頼できる認証機関である○○から発行されていることをPC側で検証することで確認される。
第三者認証局
SSL-VPN機器のログアウト時にJavaアプレットが戻すべき設定内容
hostsファイルを編集前の設定に戻すこと。Javaアプレットによって、事前定義されたループバックアドレス、宛先サーバのFQDN、ポート番号が設定されているため、それを設定前に戻す。
ウイルス感染を防止する目的で、SSL-VPN機器へのログイン時に、Javaアプレットがもつべき機能
ウイルス対策ソフトの定義ファイルの適用状態を確認する機能
情報漏洩を防止する目的で、SSL-VPN機器のログアウト時に、Javaアプレットがもつべき機能
PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能
午後1-2 DHCP・L2の理解
DHCPサーバとPCのセグメントが異なっている場合に必要となる、スイッチの機能名
DHCPリレーエージェント
ウイルスに感染し、不正なパケットを送信しているPCを特定する場合に確認する、ルータまたはWebサーバなどがもつ、IPアドレスとMACアドレスの対応表
ARPテーブル
IEEE802.11a規格の周波数帯
5GHz
MACアドレスを構成するビット数
48ビット
MACアドレスを構成する48ビットのうち、上位24ビットの名称
OUI(Organizationally Unique Identifier)。OUIは製造者(ベンダー)に固有の値。下位24ビットはベンダーが決めた識別子。
SWでフレームをキャプチャーするためには、〇〇ポートに設定する必要がある。
ミラー
DHCPサーバをみつけるためのDHCPメッセージ
DHCP Discover
Z社では全機器のIPアドレスを固定で割り当てている。管理部門の許可を得ずにPCのIPアドレスを勝手に割り当てたことで、他のPCの通信に障害が発生した。起きた原因。
IPアドレスの重複割り当て
無線LANアクセスポイント機能付きブロードバンドルータ(BBルータ)の誤ったポートをSWに接続したことによって、BBルータ内蔵のDHCPサーバ(意図しないDHCPサーバ)からPCに意図しないIPアドレスが付与されてしまった。BBルータのポートのうち、SWに接続したポートは本来、何を接続すべきポートだったか。
PCを接続するべきポート。BBルータをSWに接続してしまったことにより、本来のDHCPサーバとは別に、BBルータが意図しないDHCPサーバとなってしまった。本来のDHCPサーバよりも、BBルータのDHCP Offerの応答が早かったので、PCは、BBルータからのIPアドレスを割り当ててしまった。
L2SWがもつDHCPスヌーピング機能
正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する
正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する
LANセグメントを仮想的に分割し、かつ、ブロードキャストドメインの分割を行うL2技術
VLAN
VLANによるセキュリティ面のメリットは、PCからのブロードキャストパケットの到達範囲を制限できるので,アドレス情報の不要な流出のリスクを低減できること。
ブロードキャストドメインとは
ブロードキャストされたフレーム(宛先MACアドレスがFF:FF:FF:FF:FF:FF)が到達できるネットワークの範囲。ブロードキャストで送信されたフレームは同セグメントのすべての機器に届いてしまうので、ネットワークの混雑の緩和のためにブロードキャストドメインは制限するのが望ましい。
平成24年度(2012年)
午後1-1 DNS・LBの負荷分散
プライマリDNSサーバからセカンダリDNSサーバへリソースレコードの同期を行うこと
ゾーン転送
BCP(Business Continuity Plan,事業継続計画)とは
長期間または復旧不能なサービス停止による利益損失を防ぐための事業計画
ホスト名からIPアドレスへの対応を示すDNSのリソースレコード
Aレコード
ゾーン内の登録データの開始マークを示すDNSのリソースレコード
SOA(Start Of Authority)レコード
ドメイン名とメールサーバの対応を示すDNSのリソースレコード
MX(Mail eXchange)レコード
ホスト名に別名を付けるためのDNSのリソースレコード
CNAMEレコード
ゾーン分割を行ってサブドメインに権限委譲する場合に登録するDNSのリソースレコード
NSレコード。NSレコードは,そのゾーン自身や下位ドメインに関するDNSサーバのホスト名を指定するレコード。
IPアドレスに対応するホスト名を指定するDNSのリソースレコード
PTRレコード
最適なIPアドレスを応答するためにLBが利用するWebサーバの負荷情報の具体例を2つ
- Webサーバの応答時間
- Webサーバのデータ通信量
クライアントからのリクエストを常に同じサーバに転送するLBのセッション維持機能
パーシステンス
平成22年度(2010年)
午後1-3 FW・IDS
IDSの種類を2つ
- 監視対象のネットワークに設置するネットワーク型IDS
- 監視対象のWebサーバなどにインストールするホスト型IDS
IDS・IPSの侵入検知の仕組みで、不正なパケットに関する一定のルールやパターンを使う〇〇型
シグネチャ型
IDS・IPSの侵入検知の仕組みで、平常時のしきい値を超えるアクセスがあった場合に不正とみなす〇〇型
アノマリ型(異常検知型)
アノマリ型(異常検知型)でしきい値を低く設定しすぎた場合の懸念点
不正な通信だけでなく適正な通信も異常として検知されてしまうこと
IDSで防御できる攻撃の1つで、Webサーバへのアクセスを通じて不正なSQLが実行される攻撃の名称
SQLインジェクション
IDSで防御できる攻撃の1つで、Webフォームに不正なスクリプトを埋め込んで送る攻撃の名称
クロスサイトスクリプティング
パケットフィルタリング型のFWで防げない攻撃の例
- Dos攻撃
- サーバのセキュリティホールをつく正常なパケット
- メールに添付されたウイルス
- 悪意あるサイトへのアクセス
- なりすまし
通過パケットのTCPヘッダのシーケンス番号をセッションログとして保管しておき、パケットの到着順序に矛盾がないかを確認する。行きと戻りのパケットが矛盾した場合、パケットを遮断し、不正アクセスを防止する。上記のFWの機能
ステートフルパケットインスペクション(ステートフルインスペクション)
FWを冗長化しており、1台のFWが故障したときでも処理を中断させることなく、もう1台のFWで処理を継続させるFWの機能
ステートフルフェールオーバ
IDSではSQLインジェクションやクロスサイトスクリプティングなどのTCPヘッダのチェックやしきい値の設定では識別できないような攻撃にも対応できるのは、侵入検知の際にパケットのある部分を解析できるからである。そのパケットの部分の名称
パケットのペイロード(データ部)
インターネットから内部ネットワークへの不正なアクセスが急増しており、FWのログを確認すると宛先であるリバースプロキシサーバの80番ポートへのアクセスが集中していた。どんな攻撃が考えられるか。
80番ポートに対するDoS攻撃
FWの切替えが発生した場合に、FW1からFW2に引き継がれる情報をOSI基本参照モデルの第3層以下から2つ
仮想MACアドレス、仮想IPアドレス
FWが切り替わったことを意識せずに継続利用するために必要なFWの管理情報
切り替える前のFW1で保持していた、シーケンス番号を含んだセッションログ情報
前提としてFWの手動切り戻し時に利用者はシステムを継続利用できない。FWの故障による切替えが発生した時、修理完了後にFW2からFW1に手動で切り戻す際に必要な運用用の留意点。
システムの利用を一時制限して、切り戻し作業を行う