ネスペ

【ネスペ直前対策】ネットワークスペシャリスト過去問 要点まとめ【午後】

【直前対策】ネスぺ過去問 要点まとめ

ネットワークスペシャリストの過去問は復習しやすいように、一問一答形式でまとめていきます。

ネスぺの午後問題も過去の問題から流用、または似た問題が出題されることが多いです!

過去問題をしっかりと理解・定着させるためにアウトプットをしていきましょう!

  • 過去の午後問題で問われたことは理解して、覚える!
  • 何度も似た問題は出る傾向にある!
【ネスペ直前対策】ネットワークスペシャリスト過去問 要点まとめ【午前2】ネットワークスペシャリスト午前2の問題をジャンル別にまとめてみます!午前2で出題された内容が、午後の問題によく出題されます。ネットワークスペシャリストの過去問を復習しやすいように、一問一答形式でまとめていきます。...

令和元年度(2019年)

午後1-1 LAG,監視(SNMP)

冗長経路接続のためのルーティングプロトコルで、パスベクトル型ルーティングプロトコル

BGP(BGP-4)

OSPFのエリアの種類であり、OSPFで必ず1つは必要なエリア

バックボーンエリア

VRRPのマスタールータが故障した際に、新しくマスタールータになる機器が隣接機器のMACアドレステーブルを更新するためにブロードキャストする通信の名称

GARP(Gratuitous ARP)

VRRPアドバタイズメントの通信の種類

マルチキャスト通信(224.0.0.18)

ポートVLANとタグVLANの違い

ポートVLANは物理ポートごとにVLANを割り当てる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。

リンクアグリゲーション(LAG)のメリット
  1. リンクの冗長化
  2. 帯域の拡張
  3. 負荷分散

M/Cを介したLAG構成における、LACPを利用するメリット

リンクダウンを伴わない障害発生時に、LAGのメンバから故障回線を自動で除外できること

LAGの2本の回線のうち1本が切れた場合に、懸念される問題点は何か

トラフィックが輻輳し、パケットが廃棄されてしまうこと

LAGの負荷分散は何によって決定されるか

ハッシュ関数

LAGの負荷分散で、送信元MACアドレスと宛先MACアドレスの組み合わせでハッシュ関数を作成した場合、負荷分散がうまくいかないのはなぜか。

通信の送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから

IPアドレスによる死活監視を行うPingで利用されるプロトコル名

ICMP(Internet Control Message Protocol)

SNMPエージェントがSNMPマネージャーに送信する状態変更通知の名称

SNMP trap(SNMPトラップ)

SNMPマネージャーがSNMPエージェントから取得する管理情報ベースの名称

MIB(Management information base)

SNMPの監視方法の1つで、トラフィック量を把握するのに適切な監視方法

SNMP ポーリング

マルチホーム接続とは何か

冗長性確保や負荷分散の目的で、2つ以上の上流接続(トランジット)を持つこと
インターネット用語1分解説|JPNIC

ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問1】

午後1-2 DNS、LB、HTTP

WAF(Web Application Firewall)とは

Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティ対策の一つ
Web Application Firewall 読本|IPA

WAFで防げる代表的な攻撃
  • SQLインジェクション
  • クロスサイトスクリプティング
  • ディレクトリトラバーサル
  • OSコマンドインジェクション

FW、IDSとIPS、WAFで防御できる攻撃の違い
  • FW:IPアドレスやポート番号でネットワーク通信を制御。ポートスキャン対策。
  • IDSとIPS:攻撃パターンを定義したシグネチャと呼ばれるルールをもとにOS、ミドルウェア、ネットワークの通信を監視し、不正な通信を制御。DDoS、OS脆弱性、SYNフラッド対策。
  • WAF:Webアプリケーション層の中身を確認して、通信を制御。SQLインジェクションなどのアプリケーション層の攻撃対策。

防御できる通信レイヤーと防御できる攻撃がそれぞれ異なるので、組み合わせることが重要

XFF(X-Forwarded-For)ヘッダとは

クライアントからのHTTPリクエストの送信元IPアドレスを、HTTPヘッダに追加することで元のクライアントIPアドレスの情報を追加することができる機能

CNAMEレコードとは

既に定義されているドメイン名の別名となるレコード。ドメイン名のあだな。

DNSのリソースレコードの値、リソースの中身となる部分の名称

RDATA

LBの主要な5つの機能
  • HTTPリクエストの振り分け機能
  • 死活監視機能
  • セッション維持機能
  • TLSアクセラレーション機能
  • HTTPヘッダの編集(追加、変更、削除)機能

LBのHTTPリクエスト振り分け機能のラウンドロビンでの負荷分散の方法

順番にHTTPリクエストを振り分ける

LBの死活監視で、HTTPリクエストを監視する際のポート番号

80番

HTTPレスポンス時のステータスコード

200

WebブラウザとWebサーバ間でCookieを利用する。サーバ(本文ではLB)がHTTPレスポンスの○○ヘッダフィールドにセッションIDを追加する。

Set-Cookie

WebブラウザとWebサーバ間でCookieを利用する。HTTPレスポンスを受け取った利用者のWebブラウザは、Set-CookieヘッダフィールドにあるセッションIDを、次に送信する〇〇ヘッダフィールドに追加する。

Cookie

LBのセッション維持機能で、HTTPリクエストの送信元IPアドレスに基づいて行う場合の問題点

送信元IPアドレスの数が少ないと負荷が偏ること

LBのTLSアクセラレーション機能とは

TLSの暗号化・復号処理、HTTPヘッダを編集する処理を専用ハードウェアで高速に処理する機能

WebサーバへのアクセスログとしてLBでアクセス時の送信元IPアドレスを記録したい。どのような設定をする必要があるか。

XFFを有効化し、クライアントからのHTTPリクエストの送信元IPアドレスをXFFヘッダに追加する設定

ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問2】

午後1-3 DHCP、ARPスプーフィング

DHCP(Dynamic Host Configuration Protocol)とは

IPv4ネットワークにおいて通信用の基本的な設定を自動的に行うためのプロトコル

■DHCPで自動設定できる情報

  • IPv4アドレス
  • サブネットマスク
  • デフォルトゲートウェイ
  • DNSサーバの情報(IPアドレス)など

IPv4アドレスはリース期間があり、その期限が切れる前に更新するか、リリースしてIPアドレスを解放する。

DHCPで利用されるトランスポート層のプロトコル

UDP

DHCPで自動的にIPアドレス情報などを取得する場合、4つの手順でやりとりをする。その名称と順番
  1. DHCP Discover
  2. DHCP Offer
  3. DHCP Request
  4. DHCP Ack

DHCP Discoverで、DHCPクライアントがDHCPサーバを探すブロードキャストを送信する。
DHCP Offerで、DHCPサーバがDHCPクライアントにIPアドレスを提案。ユニキャストで送信される。
DHCP Requestで、DHCPクライアントが前述のOfferで提案されたIPアドレスを要求する。
DHCP Ackで、DHCPサーバがDHCPクライアントにIPアドレスを付与する。

DHCPサーバとPCのセグメントが異なっている場合に必要となる、スイッチの機能名

DHCPリレーエージェント

DHCPリレーエージェントを実装したL3SWではブロードキャスト通信を〇〇通信に変換することで、セグメントをまたいだDHCPサーバに通信できる

ユニキャスト

L2SWでDHCPスヌーピングを利用する目的

DHCPクライアントとDHCPサーバのやりとりをスヌーピング(のぞき見)することで、通信を監視するため。DHCPサーバのなりすましや正当なDHCPクライアントの通信のみを許可するために利用される。

L2SWでDHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定。そのポートを経由して、DHCPサーバとの通信を行う。

DHCPスヌーピングの制限を受けない設定。具体的には、正当なDHCPサーバとの通信で利用するポートをtrustedポート(DHCPサーバからの応答を受信できるポート。信頼されたポート)に設定。そのポートを経由したDHCPメッセージのみが信頼できるものになる。

ARP(Address Resolution Protocol)とは

IPアドレスから対応する機器のMACアドレスを取得するプロトコル

ARPスプーフィングとは

クライアントからのARP要求に対して、スプーフィングする機器が正当なARP応答になりすまして、不当なARP応答(スプーフィングする機器のMACアドレス)を返答することにより、通信を傍受できる機能。攻撃手段として利用されるが、監視目的でも利用できる。スプーフィング(spoofing)とはなりすましのこと。

午後2-1

近日、更新予定

午後2-2

近日、更新予定

平成30年度(2018年)

午後1-1 SD-WAN、プロキシ

プロキシサーバの1つで、社内に対して、アクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で利用されるプロキシ

フォワードプロキシ

プロキシサーバの1つで、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、および複数のサーバでの負荷分散を行う目的で利用されるプロキシ

リバースプロキシ

HTTPSでアクセスするためのHTTPプロトコルのメソッド名

CONNECTメソッド

CONNECTメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただし、HTTPS以外の通信)を遮断するためのプロキシサーバでの対策

HTTPS以外のポートのCONNECTを拒否する。

プロキシサーバでHTTPSのアクセスログを確認したところ、アクセス先のホスト名は記録されていたが、URLは記録されていなかった。その理由とアクセス先のURLを把握するために行うべき設定

URLはHTTPSで暗号化されているから。そのため、プロキシサーバで暗号化通信を一旦復号し、URLを確認した上で、再度暗号化を行う設定。

プロキシサーバでHTTPSの復号・暗号化処理を行う場合、PCでエラーメッセージ「証明書が信頼できない」と表示される。この際にPCにインストールすべきもの。

プロキシサーバのルート証明書

SD-WANとは

拠点間やクラウド事業者などと接続するWAN(専用線、IP-VPN、インターネットVPNなど)をソフトウェアで統合・一括管理し、仮想的なネットワークを実現する技術。

本問のように、各拠点の内部LANからクラウドサービス事業者へのアクセスでプロキシサーバやFWを経由するといろいろな問題が起こる。(他の通信のスループットが低下したり、プロキシサーバの処理可能セッション数が超過したり、インターネット接続回線の帯域不足など)

そこで、SD-WANを利用することで、各拠点から直接クラウドサービス事業者へアクセスするようにする(インターネットブレイクアウト、ローカルブレイクアウト)ことで上記の課題を解決できる。また、SD-WANコントローラーで設定の一元管理が可能なため管理が非常に楽になる。

SDNは、利用者の通信トラフィックを転送する〇〇プレーンと、通信装置を集中制御する〇〇プレーンのソフトウェアでデータ転送を制御する方式である。

データ、コントロール

午後1-2 監視(SNMP)

Pingで利用されるプロトコル

ICMP(Internet Control Message Protocol)

Ping監視で、echo requestパケットの宛先として、監視対象機器に設定すべきものは何か。

IPアドレス

Syslogで一般的に利用されるトランスポートプロトコルは何か。

UDP

SNMPエージェントとSNMPマネージャーは機器の管理情報(MIB)を共有する。その際の同じグループを表す名称

コミュニティ

VRRPが冗長化している対象は何か

デフォルトゲートウェイ

VRRPで、バックアップルータはあるメッセージを受信しなくなった時にマスタルータに切り替わる。このVRRPのメッセージ名

VRRPアドバタイズメント

IEEE802.1Dで規定されている、レイヤ2ネットワークのループを防止するプロトコル

STP(Spanning Tree Protocol)

STP(Spanning Tree Protocol)を有効にしているL2SWでやりとりされる制御フレームの名称

BPDU(Bridge Protocol Data Unit)

STPを有効にしたL2SW間で、ルートブリッジは何によって決まるか

ブリッジID。ブリッジIDが最も小さいとそのSWはルートブリッジに選出される。

ブリッジIDを構成する2点の情報の名称
  1. ブリッジプライオリティ(先に値が比較される)
  2. MACアドレス

ブリッジプライオリティの値がさきにL2SW間で比較される。この値が同じだった場合、MACアドレスを比較する。それぞれ値が低いほど優先度が高いブリッジIDとなり、そのL2SWはルートブリッジに選出される。

STPのポート状態の遷移順番
  1. ブロッキング(BPDU受信待ち続ける、最大20秒で次に遷移)
  2. リスニング(転送遅延で15秒後、次に遷移)
  3. ラーニング(転送遅延で15秒後、次に遷移)
  4. フォワーディング

STPで安定した状態に収束する(コンバージェンス)までに、最短30秒、最長50秒かかってしまう。STPのデメリット。

L2SWの正方形のループ構成でSTPを有効していた。その構成でケーブルが断線した。それを検知したL2SWがSyslogメッセージを監視サーバに送信したが、届かなかった。原因は何か。監視サーバへの経路はL2SWのループ構成を経由するものとする。

スパニングツリーが再構築中だったから。SyslogメッセージはUDPで送信されるが到達性は保証されていない。そのため、STPが再構築中にそのメッセージが破棄される。

SNMPマネージャーが、SNMPエージェントに対して、5分ごとといった定期的にMIBの問い合わせを行い、機器の状態を把握する。この機能の名称。

SNMPポーリング

MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーがメッセージを受信することで機器の状態を把握することができる。この機能の名称。

SNMPトラップ

SNMPポーリングの懸念点

SNMPポーリングは5分ごとなど定期的に状態を取得するので多くの場合異常検知が遅れる可能性があること。SNMPポーリングで取得する最適な間隔は監視環境によって異なる。(監視対象の数、回線速度、監視項目の数、監視項目の内容など)

SNMPトラップの懸念点

SNMPトラップはUDP(162番ポート)が使われ、到達確認がないのでメッセージが失われる可能性がある。ちなみにSNMPポーリングはUDPの161番ポートが使われる。TCPだとSNMPエージェントがSNMPマネージャーと確立するコネクションの数が多く、やりとりするデータ量も増えるため負荷が大きい。

SNMPインフォームとは

MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーからの確認応答を待つ。確認応答を受信できない場合、SNMPエージェントは、SNMPマネージャーがメッセージを受信しなかったと判断し、メッセージの再送信を行う機能。

平成30年午後1-2の問題では、SNMPエージェントでスパンニングツリーが再構築するまでにインフォームの再送信を繰り返す設定をすることによって、Syslogメッセージを監視サーバに高い確率で送信できるようになった。

午後1-3 IP-VPN、インターネットVPN

IP-VPNとは

通信事業者が運営する閉域IPネットワーク(事業者閉域IP網)を利用者のトラフィック交換に提供するサービス。通信事業者と契約した事業者のみが閉ざされたネットワークを利用できる。

インターネットVPNとは

インターネットを利用したVPNサービス。事業者閉域網を利用したIP-VPNや専用線と比較すると、インターネットを利用するので安全性は低い。そのため、IP通信の完全性・機密性を確保するために暗号技術であるIPsecを用いて、セキュアな通信を実現する。

事業者閉域IP網内で複数の利用者のトラフィックを中継するのに利用されるIP-VPNのパケット転送技術の名称

MPLS(Multi-Protocol Label Switching)

MPLSで用いられる固定長(4byte)のタグ情報の名称

ラベル

利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するルータの呼称

CE(Customer Edge)ルータ

利用者のネットワークと事業者閉域IP網との接続点において、通信事業者が設置するルータの呼称

PE(Provider Edge)ルータ

事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的

利用者ごとのトラフィックを区別するため

暗号技術を利用してノード間通信を行い、IPパケット通信の完全性・機密性を確保するインターネットVPNで利用されるプロトコルの名称

IPsec(Security Architecture for Internet Protocol)

IPsecはOSI基本参照モデルのどのレイヤで動作するか。

ネットワーク層(第3層)

IP-VPNとインターネットVPNの違い
  • IP-VPN・・通信事業者の閉域網を利用するので、クローズドでセキュア。ただし、通信の暗号化はされない。コストは高い。
  • インターネットVPN・・インターネットを利用するので、オープンでセキュリティ面ではIP-VPNには劣る。IPsecによる暗号化でセキュリティを保証。コストは安い。

OSPFネットワーク内のIPsecトンネル上で、GRE over IPsecを利用する目的

OSPFのマルチキャスト通信を通すため

ルータやL3SWが複数のルーティングプロトコルから得た同一宛先への異なる経路情報から、適切な経路を選択する際に利用される値の名称。

アドミニストレーティブディスタンス(AD)

OSPFと外部BGPで同じ宛先に関するルート情報を得た。アドミニストレーティブディスタンス(AD)値を利用して経路を決める場合、どちらが優先されるか。またそれぞれのADの値

BGP(外部)。BGP(外部)のADは20。OSPFのADは110。ADは低い値の方が優先されるのでBGP(外部)が最適経路として優先される。

フルメッシュ構成のIPsecトンネルのネットワーク構成に、追加拠点向けIPsecトンネルを手動で追加するネットワーク拡張方式は望ましくない。その理由。

新拠点追加のときに全拠点の設定変更が必要になるから

ハブアンドスポーク型のVPNで、スポーク同士の通信時にIPsecトンネルを動的(オンデマンド)に確立する機能の名称

DMVPN (Dynamic Multipoint VPN)

ハブアンドスポーク型のVPNで、スポーク同士の通信を行いたい。IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用されるプロトコル

NHRP(Next Hop Resolution Protocol)

OSPFで代表ルータに選出されないようにする設定

OSPFのプライオリティを0に設定する

平成29年度(2017年)

午後1-1 SSL-VPN

SSL-VPNで利用が推奨されるTLSのバージョン

1.2または1.3

TLSのバージョン1.0、1.1が推奨されない理由

十分な安全性を確保されていないハッシュアルゴリズムであるMD5、SHA-1を利用しているから

SSL/TLSのハンドシェイク手順で、SSL/TLSを開設時にクライアント側、サーバ側からそれぞれ送られるメッセージの名称
  • クライアント側はClient Hello
  • サーバ側はServer Hello

SSL/TLSで2種類の暗号アルゴリズム(公開鍵暗号のRSAなど)と1種類のハッシュアルゴリズム(SHA-256など)が利用される。それぞれの用途。
  • 暗号アルゴリズムは鍵交換、認証
  • ハッシュアルゴリズムはメッセージ認証(またはデータの改ざん検知)

SSL-VPNの基本動作3つ
  • リバースプロキシ
  • ポートフォワーディング
  • L2フォワーディング

SSL-VPNのリバースプロキシのメリット、デメリット
  • メリットはWebブラウザだけ(専用のソフトウェアは不要)で、簡単にリモート接続ができること。すぐ使えて、設定も少ないので楽。
  • デメリットはWebブラウザという特徴から、メールサーバなどWebブラウザに対応していない場合はSSL-VPNで追加の設定が必要になる。さまざなプロトコルを扱う場合には推奨されない

SSL-VPNのポートフォワーディングのメリット、デメリット
  • メリットはリバースプロキシでは対応できなかったWebブラウザのアプリケーションも利用できること
  • デメリットはアプリケーションの制約が依然あること(FTPなどのポート番号が動的に変更するアプリケーションでは使えない)。なぜなら、事前にサーバのIPアドレスとポート番号を定義する必要があるから。また、専用のソフトウェアのダウンロードが必要になること。一言で言うなら、中途半端。

SSL-VPNのL2ポートフォワーディングのメリット、デメリット
  • メリットは、アプリケーションの制約がないこと。さまざまなプロトコルを利用することができる。なぜなら、ポートフォワーディングのようにサーバのIPアドレスとポート番号を事前に定義する必要がないから。メールもFTPもUDP通信でさえも可能。セキュアで万能。
  • デメリットは利用者端末のOSはWindowsが推奨などOSの制約がある。

平成29年1-1の設問で、「利用されるプロトコルは様々である」という文章を根拠に、L2ポートフォワーディング方式を選択することが問われた。

SSL-VPNのL2ポートフォワーディングでクライアント端末でインストールするVPNクライアントソフトのある箇所にIPアドレスを割り当てる。その箇所の名称

vNIC(VPNクライアントソフトの仮想NIC)

午後1-2 帯域制御(QoS)、VDI

一時的に大量の帯域を使用するトラフィックの名称

バーストトラフィック

入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御

ポリシング

メリットは超過分のパケットは破棄するので、遅延が発生しにくいこと。デメリットは超過分のパケットは破棄するので、パケットのロスが起きやすいこと。リアルタイム性の必要な音声通信に最適。

パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御

シェーピング

メリットは超過分のパケットをバッファに溜め込むので、パケットのロスが少ないこと。デメリットは超過分のパケットをバッファに溜め込むので、遅延が発生してしまうこと。データの品質を確保したい場合に最適。

通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の状況に応じて通信を制御すること

アドミッション制御

フレームの種類や宛先に応じて優先度を変えて中継すること

優先制御

通信サービスで最善はつくすが、品質については保証されていないサービス形態

ベストエフォート

午後1-3 BGP、OSPF、IPsec

IPアドレスとポート番号の変換処理の名称

NAPT

IP-in-IP (IP Encapsulation within IP)とは

VPN接続をする際に、IPパケットにIPヘッダを付加してカプセル化するトンネリングプロトコル。暗号化や認証の仕組みはないため、別のトンネリングプロトコルであるIPsecのトランスポートモード(トンネリングを行わないモード)と併用される。

IKE(Internet Key Exchange protocol)とは

IPsecで暗号化をするために、自動的に共通鍵をつくる鍵交換プロトコル。

IPsecで暗号化をする際の2つのフェーズの名称
  • ISAKMP SA(IKE SA、フェーズ1)
  • IPsec SA(フェーズ2)

ISAKMP SA(フェーズ1)では、接続する相手を認証する方式として、両方の機器であらかじめ、〇〇と呼ばれる同じ鍵を共有する方式を利用する。

事前共有鍵(PSK、Pre-Shared Key)

トンネリングとは

元のパケットに新しいIPヘッダを付加して(カプセル化)して、データのやりとりを行うこと

IPsec SA(フェーズ2)のトンネルモードとは

元のIPヘッダとは別に、新たなIPヘッダを付加するトンネリングを行う方式。元のIPヘッダとは別に新しいIPヘッダを付加するため、元のIPヘッダを暗号化対象とする。

IPsec SA(フェーズ2)のトランスポートモードとは

元のIPヘッダをそのまま使い、トンネリングを行わない方式。元のIPヘッダをそのまま利用するため、暗号化対象としない。

L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、IP in IPでトンネリング、IPsecで暗号化している。その際、IPsec SA(フェーズ2)でトンネルモードではなく、トランスポートモードを選択するべき理由。

暗号化対象の通信がグローバルIPアドレス間の通信だから。

IP in IPでトンネリングして元のIPヘッダ(プライベートIPアドレス)に、新たなIPヘッダ(グローバルIPアドレス)を付与している。

トンネルモードで再度トンネリングする場合、さらにIPヘッダを加えるので、グローバルIPアドレスの部分を暗号化してしまう。そのため、トランスポートモードで、グローバルIPアドレスのIPヘッダをそのまま利用するのが今回は最適。

IP in IPでトンネルを構成し、さらにIPsecで暗号化することによって、元のIPパケットと比較してパケットサイズは大きくなる。これに関連して、IP in IPで作成されたトンネルインターフェースのMTUの値を1500とした場合、VPNルータで発生する処理。すべてのインターフェースのMTUの値は1500とする。

フラグメントとリアセンブルの処理が発生する。パケットを分割して、組み合わせる処理が必要になる。

元のIPパケットのMTUが1500であり、IPsecのAH(認証)やESP(認証・暗号化)で新たにヘッダが付与されるのでパケットサイズが1500を超える。

MTUで1500を超えるパケットは送信側のVPNルータ分割(フラグメント)され、受信側のVPNルータでそれを再結合する(リアセンブル)ことになる。

そのため、本文では、IP in IPで作成されたトンネルインターフェースでMTUのサイズを適切な値に設定し、さらにトンネルインターフェースを通過するパケットのTCP MSSを適切な値に書き換えている。

MTU (Maximum Transmission Unit)とは

NW機器が1回の通信で転送可能な最大のデータの値。Ethernetフレームは最大1518バイトなので、Ethernetヘッダ(14バイト)とFCS(4バイト)を除いた1500バイト(IPヘッダ20バイトとTCPヘッダ20バイトを含める)がMTUサイズになる。

MSS(Maximum Segment Size)とは

ノード(PCなどの端末)が1つのTCPセグメントで送信可能なデータの最大値。MSSはMTUからIPヘッダ20バイトとTCPヘッダ20バイトを差し引いた実データ(ペイロード)を指し、最大1460バイトになる。

MTUとMSSの違い

MTUはNW機器が1回の通信で転送可能な最大のデータの値。

MSSはノード(PCなどの端末)が確立したTCPコネクションの中で送信可能なデータの最大値。

ノード間で決められたMSSにTCPヘッダの20バイトとIPヘッダの20バイトが付与され、MTUとしてNW機器で処理される。

フラグメント(フラグメンテーション)とは

MTUの最大値である1500バイトを超えた大きなサイズのパケットを分割すること。

リアセンブルとは

フラグメントで分割されたパケットを再構築・再結合すること。

BGPで、特定のルーティングポリシで管理されたルータの集まりの名称

AS(Autonomous System)

BGP接続で利用されるトランスポートプロトコルとポート番号

TCP ポート179番

K社NWとL社クラウドサービスとのネットワーク接続で、静的経路制御と比較して動的経路制御(BGP)を選択する利点

BGPによって回線断や機器障害を検知し、トラフィックを迂回できる点。

パッシブインターフェースの動作の特徴

Helloパケットを出さない。

OSPFを有効化すると、全てのインターフェースから定期的にHelloパケット(ルーティングのアップデート情報)を隣接ルータに送信する。

しかし、PCやサーバーが接続されたインターフェースにルーティングのアップデート情報を流す必要はないので、パッシブインターフェースに設定する。

ルーティングの再配布とは

あるルーティングプロトコルで学習した経路情報を、別のルーティングプロトコルに経路広告すること。例えば、OSPFで学習した経路をBGPに経路広告することで、BGPだけでなくOSPFのルート情報を学習できる。

経路情報の再配布を行う時には、経路のループを防止する必要がある。ループが起こる理由

隣接ルータから再配布されて学習したルート情報を、同じ隣接ルータに経路広告してしまうから。

双方向で再配布する構成は望ましくないので、片方向の再配布に設定する。そのほかにもシードメトリック(メトリックを付与して、優先経路を設定)やアドミニストレーティブディスタンスの値を調整する方法もあるが、管理する難易度が上がってしまうのがデメリット。

BGPのパスアトリビュートとは

BGPの経路情報に付与される、最適ルートと判断するための値。

MEDはメトリックという値を付与して、低いメトリック値の経路を優先する。

AS_PATHはAS_PATH長が短い方、つまり、各BGPルータで自身のAS番号をAS_PATHのアトリビュートに付加していき、AS番号の数が少ないルートを優先する。受け取ったルート情報のAS_PATHアトリビュートに自身のAS番号が含まれる場合は、そのルート情報を破棄することでループを防止する。

Ping監視では、ICMPの〇〇パケットを監視対象に送り、〇〇パケットが監視対象から帰ってくることで到達性を確認する。それぞれの名称

echo request、echo reply

K社とL社の間で2つあるVPNトンネルを、それぞれPingで監視を行う。その目的

ネットワーク接続の冗長構成が失われたことを検出するため。

平成27年度(2015年)

午後1-1 SSO、HTTP

SSO(シングルサインオン)とは

Webアプリケーションの認証を共通化し、利用者は1度の認証で複数のシステムの利用が可能となる仕組み

SSOの方式であるエージェント方式とは

SSOで利用したい各サーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現する方式。エージェントがWebアプリケーションの認証を行う。クライアント→エージェント→SSOサーバで認証を行い、SSOサーバから認証されたCookieをもらい、以降はクライアントがそのCookieを提示することでログインが可能となる。

SSOの方式であるリバースプロキシ方式とは

SSOサーバで全ての通信の中継を行う方式。

SSOのエージェント方式の認証処理の方法
  1. PCからWebアプリケーションサーバにサービス要求
  2. Webアプリケーションサーバ内のエージェントは、サービス要求中のCookieに認証済資格情報(アクセスチケット)が含まれているかを確認する。含まれていなければ、サービス要求はSSOサーバへリダイレクトされる。
  3. SSOサーバからPCに、認証画面を送る
  4. PCからSSOサーバに、UserIDとPasswordを送る
  5. SSOサーバは、UserIDとPasswordから利用者のアクセスの正当性を確認したら、アクセスチケットを発行して、Cookieに含めて応答を返す。サービス要求は、Webアプリケーションサーバへリダイレクトされる。
  6. Webアプリケーションサーバ内のエージェントは、SSOサーバにアクセスチケット確認要求を送り、SSOサーバは確認して応答を返す。
  7. Webアプリケーションサーバは、↑の応答によって利用者のアクセスの正当性が確認できた場合、Webアプリケーション画面を送る

Cookieを含めるHTTP応答パケットのヘッダフィールドの名称

Set-Cookie

SSOサーバのSet-CookieでDomain属性を付与する理由

ドメイン属性を付与しないと、Cookieを発行したホストのみ有効になってしまうから。ドメイン属性ではCookieが有効な範囲を指定します。Cookieが有効となるドメイン名を指定した場合に、そのドメイン内のWebアプリケーションサーバへのSSOは可能となります。

WebブラウザからCookieが平文で、ネットワーク上に意図せず流れてしまうのを防ぐために、SSOサーバがCookieを発行する時に実施すべき方策

CookieにSecure属性を付ける。Secure属性をつけることによって、HTTPS通信時にのみCookieを送信する。HTTPでの通信時にはCookieは送信しない。

LBのL2DSR(Direct Server Return)方式とは

クライアントからのパケットをLBのVIPで受け取り、LBが負荷分散先のサーバに転送し、サーバが戻りのパケットをLBを経由せずにクライアントに直接応答する非対称の通信方式。

LBのDSR方式でSSOサーバにリクエストパケットが転送されるが、このリクエストパケットの宛先アドレスはVIPアドレスのままである。SSOサーバは、自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。SSOサーバでどのような設定が必要か。

ループバックインターフェースを作成し、それにVIPアドレスを設定する。ループバックインタフェースを設定しない場合、SSOサーバは自身のIPアドレス宛ではないパケットなので、そのパケットは破棄してしまう。そのため、VIPアドレスを付与したループバックインターフェースを設定することで、自身宛てのパケットと認識し、受信できるようにする。ループバックインターフェースに紐づけるループバックアドレスは機器自身を表すIPアドレスであるが、ARPリクエストに応答してしまうのでVIPのIPアドレスと重複することがある。

ループバックインターフェースとは

ループバックアドレスを割りあてるための論理的(仮想的)なインターフェース。ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスのこと。ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。

IPアドレス重複エラーを検知するために用いられるARPの名称

GARP(Gratuitous ARP)

SSOサーバでVIPアドレスをループバックインターフェースに設定した場合、LBのVIPアドレスとIPが重複する。これを回避するためにSSOサーバに必要な設定

VIPアドレスに対するARPリクエストに応答しないように設定する。

午後1-2 FW、L2~L4の理解

動的フィルタリング(ダイナミックパケットフィルタリング)とは

戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる機能。

ダイナミックパケットフィルタリングの1種である、ステートフルインスペクションとは

パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。

ダイナミックパケットフィルタリングに、セキュリティ機能を加えたものがステートフルインスペクション機能

LBの1秒あたりの転送データ量の名称

スループット

LBには1秒あたりの転送〇〇数に上限があるので、実際の最大スループットは転送パケット長によって変化する。

パケット。
スループット=転送パケット数 × 転送パケット長

FWで障害が発生した場合、セッション維持ができない。この影響を軽減するために、故障発生時にはFWを挟んでいる両LBでRSTフラグをONにしたパケットをTCPコネクションの両端のノードに送信する。この動作をおこわない場合と比べて、両端のノードにどのようなメリットがあるか。

リトライアウトをまたずに、コネクションの切断を検知できる。

LBでRSTフラグをONにしたパケットを送信しない場合は、TCPコネクションまでに時間を要してしまう↓

  1. 両端のノードのTCPコネクションの間にあるFWで障害が発生する
  2. ノードは通信相手からのACKが返ってこないため、何度か再送を行う
  3. ACKが返ってこないため、タイムアウトと判断し、RSTフラグをONにしたパケットを送信
  4. TCPコネクションが切断される

午後1-3 IDS、IPS、FW

IDS(Intrusion Detection System)とは

侵入検知システム(IDS)は、ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見する仕組み。FWはサービスを行っていない接続ポートに対してのパケット侵入を遮断する。一方でIDSはサービスを行っているポートへの不正パケットを検出する。

IDSのデメリット

侵入行為を遮断しない点。侵入行為が検知されると管理者にメールなどで知らせ、手動で対応することになるので対応が遅れるのがデメリット。さらに、通知ポリシーのチューニングや手動対応時の体制や人員確保、遮断するときの判断ルールなど運用上考慮する点が多い。

IPS(Intrusion Prevention System)とは

ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見して、かつ、それらを自動的に遮断する仕組み。IDSとの決定的な違いは、不正アクセスを検知した場合に、管理者に通知するだけではなく、自動的にアクセスを遮断する点。

IPSのデメリット

自動的に遮断するゆえの誤検知とネットワークリソースへの負荷が高いこと。

IPSのフォールスポジティブとは

正常な通信を誤って不正と検知してしまうこと

IPSのフォールスネガティブとは

不正な通信を誤って正常と検知して見逃してしまうこと

IDS・IPSの侵入検知の仕組みが2種類ある。それぞれの名称。
  • シグネチャ型
  • アノマリ型(異常検知型)

IDS・IPSの侵入検知の仕組みであるシグネチャ型の特徴

不正なパケットに関する一定のルールやパターンを利用して、既知の攻撃を検知する。あらかじめ様々な種類のシグネチャが登録されているが、未知の攻撃には対応できない点がデメリット

IDS・IPSの侵入検知の仕組みであるアノマリ型の特徴

定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正な攻撃として検知する。未知の攻撃に対しては柔軟に対応できるが、正常と判断する基準によっては、正常なパケットを異常とみなしてしまう点がデメリット

IDS・IPSに監査対象のトラフィックを流すために、IDS・IPSと接続するSWのポートにすべき設定とIDS・IPSのネットワークポートに必要な設定
  • SWの設定:ミラー(ミラーリング)ポートに設定して別のポートのパケットをミラーリングして、ミラーポートに転送する。
  • IDS・IPSの設定:プロミスキャスモードに設定し、IDS・IPS以外を宛先とする通信も受信できるようにする。

IDS・IPSのネットワークポートにIPアドレスを割り当てなければ、IDS・IPS自体がOSI基本参照モデルの第3層レベルの攻撃を受けることを回避できる。この機能の名称

ステルスモード

IDSの機能の1つで、IDSとFWが連携することで、検知した送信元アドレスからの不正な接続を遮断する仕組みとはどのようなものか。

FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。

IDSの機能の1つで、IDSが不正なTCPコネクションを検知した場合に、該当する通信を強制的に切断する仕組みとはどのようなものか。

送信元と宛先の双方のIPアドレスあてに、TCPのRSTフラグをオンにしたパケットを送る。

IDSの機能の1つで、IDSが不正なUDPパケットを受け取った場合に、該当する通信を遮断する仕組みとはどのようなものか。

該当するパケットの送信元に、ICMPヘッダのコードにport unreachableを設定したパケットを送信し、更なる攻撃の抑止する。

前問のICMPを使った攻撃抑止のためのパケットが、実際は攻撃者に届かないことがある。それはなぜか。

不正アクセスの送信元アドレスが偽装されている可能性があるから。それゆえに、このICMPパケットが他のサイトへの攻撃となることも懸念点として考えられる。

IDSの運用時には、サーバのミドルウェアの脆弱性を悪用する攻撃を受けており、対象サーバにセキュリティパッチを適用するまでシステムを数日間停止している経緯がある。再度防御対象のサーバに新たな脆弱性が発見されたが、IPSを導入していた場合、一時的な運用に対応することができる。この一時的な運用の内容。

保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断できる。

IDSが併設されていることを踏まえた上で、IPSの機能の一部が故障した場合、IPSはどのように通信を処理すべきか。

通信をそのまま通過させ、遮断しないようにする。(フェールオープン機能)

IDSとIPSの導入後に、セキュリティレベルの継続的な向上のために、管理用PCを使ってどのようなことを行うべきか。

不正アクセスへの対応を最適化するために、ログを取得して解析する。

平成26年度(2014年)

午後1-2 FW、L2~L4の理解

ネットワークアドレス及びポート番号の変換を行う機能

NAPT(Network Address and Port Translation)

FWの機能で、主系から副系にフェールオーバした後も通信を継続させるために、FWが通信の中継のために管理している情報を自動的に引き継ぐ機能

ステートフルフェールオーバ

FWがフェールオーバした後に、多くのアプリケーションでデータの保全性が保たれるのはトランスポート層のプロトコルの機能によるところが大きい。その機能。

TCPの再送機能

FW1とFW2の間にフェールオーバリンクという専用接続を使用する。具体的にはどのような通信が行われるか。
  • 設定情報の同期
  • 管理情報の複製
  • 対向FWの動作状態の識別

FWのフェールオーバリンクには、ケーブル直結にする構成とSWを挟む構成がある。障害切り分けのためにSWを挟む構成にした場合のメリット

一方のポート故障による対向ポートのリンク断を防ぎ、どちらのFWの障害か特定が容易になる。

FWの冗長化で、新たにActiveになったFWは、切り替わったことを通知するフレーム(GARP)をFWの各ポートから送信することで、隣接機器のレイヤ2機能で用いるテーブルを適切に更新できる。そのテーブルの名称

MACアドレステーブル

接続機器のARPテーブルを更新するために、自ポートに設定されたIPアドレスの解決を要求するARPメッセージの名称

GARP(Gratuitous ARP)

1本のリンクに複数のVLANを収容できる技術の名称

タグVLAN。タグVLANを使用した接続がトランク接続

ポートVLANとタグVLANの違い

ポートVLANは物理ポートごとにVLANを割り当てる。複数のポートとその設定が必要になる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。

午後1-3 DNS、インシデント管理

DoS(Denial Of Service)攻撃とは

標的システムへの通信量を増大させて、ネットワークやサーバの処理能力を占有することによって、正常な取引の処理を妨害し、サーバをダウンさせる攻撃

多数のコンピュータが標的サーバを集中的に攻撃する〇〇型DoS攻撃は、発信元のコンピュータの特定が難しいので被害が大きくなる

分散、DDoS(Distributed Denial Of Service)攻撃とも呼ばれる。

PCなどから問い合わせを受けたDNSキャッシュサーバ(フルサービスリゾルバー)は、DNSコンテンツサーバ(権威サーバ)に問い合わせを行い、最終的な結果をPCに返信する。この問い合わせの名称

再帰的問い合わせ

再帰的問い合わせにおいて、クライアントの発信元のIPアドレスを詐称して、その問い合わせの結果を標的サーバ宛てに送信させる攻撃の名称

DNSリフレクション攻撃(DNSアンプ攻撃)参考資料|JPRS

オープンリゾルバとは

インターネット上の不特定多数のクライアントからのDNS問い合わせを受けつけ、名前解決を行い、再帰的問い合わせの応答を行うDNSキャッシュサーバ(フルサービスリゾルバー)。攻撃者の踏み台としてDNSキャッシュサーバが利用される恐れがあるので、問い合わせを許可するIPアドレスを自組織のネットワークなどに制限する対策が必要。参考資料|JPNIC

DoS攻撃の1種で、TCPのパケットを大量に送信し、応答待ちにして新たな接続を妨害するSYN〇〇攻撃や、コネクションレスのUDPパケットを使ったUDP〇〇攻撃などがある。〇〇は両方同じ他単語。

フラッド(Flood)

大量のパケットを送信する攻撃として、大きなサイズのICMPエコー応答を使ったものがある。この攻撃の名称

smurf攻撃(スマーフ攻撃)

ICMPフラッド攻撃を防御するために、FWが持つべき機能

断片化(フラグメント)されたエコーパケットを許可しない機能。MTU(最大転送単位)のサイズは1500バイトに制限されるので、それ以上のデータは分割・断片化される。

DMZに設置したDNSサーバのキャッシュ機能を有効にしたままだと、どのようなセキュリティ上の脆弱性があるか。

DNSキャッシュが改ざんされる。DNSキャッシュポイズニング攻撃を防ぐために、そもそもDNSサーバのキャッシュ機能を無効にしておく。キャッシュ機能を有効にした場合でも、対策としてDNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更するのが有効。参考資料|IPA

内部から外部への不正な通信を防止するために必要なFWでの対策

内部から外部への通信に対する遮断ルールを設定する

内部から外部への不正な通信を早期発見するために必要なFWでの対策

FWで遮断した通信の結果ログを監視する

セキュリティの重大なインシデントが発生した場合のセキュリティ担当者の対応手順
  1. 状況把握と記録
  2. 対象方法の確認
  3. ネットワークの切断
  4. 原因の特定と対処
  5. システムの復旧
  6. 対処結果の報告
  7. 対処結果の評価
  8. インシデントの対処方法の見直し

DNS問い合わせの流れ
  1. クライアントからDNSキャッシュサーバ(フルサービスリゾルバー)へ再帰的問い合わせ
  2. DNSキャッシュサーバ(フルサービスリゾルバー)はキャッシュを確認。なければDNSコンテンツサーバ (権威サーバ)に非再帰的問い合わせ
  3. DNSコンテンツサーバ (権威サーバ)からDNSキャッシュサーバ(フルサービスリゾルバー)へ応答
  4. DNSキャッシュサーバ(フルサービスリゾルバー)からクライアントへ応答(代理)。DNSキャッシュサーバ(フルサービスリゾルバー)は問い合わせをキャッシュする。

DNSゾーン転送とは

コンテンツサーバ (権威サーバ)のゾーン情報をほかのコンテンツサーバに同期すること。ゾーン情報の冗長化

平成25年度(2013年)

午後1-1 SSL-VPN

SSL-VPNのSSLセッション確立までの順番
  1. 暗号アルゴリズムを決定するために、クライアントとSSL-VPN機器間でHelloメッセージをやりとり(Client Hello,Server Hello)
  2. 公開鍵暗号による電子証明書の確認(鍵交換と認証)
  3. 共通鍵暗号での暗号化
  4. メッセージ認証コードのチェック(改ざん検知)
  5. SSLセッションの確立

SSL-VPNのポートフォワーディング方式のSSLトンネルを確立するまでの流れ
  1. PCとSSL-VPN機器でSSLセッション確立(前問の内容と同じ)
  2. PCからSSL-VPN機器へ接続要求、認証が行われる
  3. SSL-VPN機器からPCにJavaアプレットがダウンロードされ、SSLトンネルが確立される。また、Javaアプレットによって、PCのhostsファイルにループバックアドレス(PCのローカルホストのIP)と宛先サーバを紐づけた定義が登録される

ポートフォワーディング方式のJavaアプレットでPCのhostsファイルにループバックアドレス(PCのローカルホストのIP)が登録される。この際の、宛先のIPアドレスをプライベートIPではなく、ループバックアドレスが推奨されるセキュリティ上の理由

外部からの不正利用が発生しないから。

ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスです。ループバックアドレスを宛先として通信した場合、自分自身を表すIPなので、その機器自身から外部に出ることはありません。(ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。)外部のPCからポートフォワーディングされるループバックアドレス宛に通信を試みても、外部の機器自身のループバックアドレスにかえってくるので不正に利用される可能性がなくなります。

ループバックアドレスのアドレス範囲

127.0.0.0/8(127.0.0.1~127.255.255.254)

ポートフォワーディング方式では使用できないアプリケーションの特徴

サーバ側のポート番号が動的に変化するようなアプリケーションは使用することができない

システムの利用頻度が増大することを考慮し、SSL-VPN機器でSSLセッションのキャッシュ時間を延ばす設定を行なった目的

SSLセッション確立による負荷を軽減させるため。

サーバ証明書の正当性は、証明書が信頼できる認証機関である○○から発行されていることをPC側で検証することで確認される。

第三者認証局

SSL-VPN機器のログアウト時にJavaアプレットが戻すべき設定内容

hostsファイルを編集前の設定に戻すこと。Javaアプレットによって、事前定義されたループバックアドレス、宛先サーバのFQDN、ポート番号が設定されているため、それを設定前に戻す。

ウイルス感染を防止する目的で、SSL-VPN機器へのログイン時に、Javaアプレットがもつべき機能

ウイルス対策ソフトの定義ファイルの適用状態を確認する機能

情報漏洩を防止する目的で、SSL-VPN機器のログアウト時に、Javaアプレットがもつべき機能

PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能

午後1-2 DHCP、L2の理解

DHCPサーバとPCのセグメントが異なっている場合に必要となる、スイッチの機能名

DHCPリレーエージェント

ウイルスに感染し、不正なパケットを送信しているPCを特定する場合に確認する、ルータまたはWebサーバなどがもつ、IPアドレスとMACアドレスの対応表

ARPテーブル

IEEE802.11a規格の周波数帯

5GHz

MACアドレスを構成するビット数

48ビット

MACアドレスを構成する48ビットのうち、上位24ビットの名称

OUI(Organizationally Unique Identifier)。OUIは製造者(ベンダー)に固有の値。下位24ビットはベンダーが決めた識別子。

SWでフレームをキャプチャーするためには、〇〇ポートに設定する必要がある。

ミラー

DHCPサーバをみつけるためのDHCPメッセージ

DHCP Discover

Z社では全機器のIPアドレスを固定で割り当てている。管理部門の許可を得ずにPCのIPアドレスを勝手に割り当てたことで、他のPCの通信に障害が発生した。起きた原因

IPアドレスの重複割り当て

無線LANアクセスポイント機能付きブロードバンドルータ(BBルータ)の誤ったポートをSWに接続したことによって、BBルータ内蔵のDHCPサーバ(意図しないDHCPサーバ)からPCに意図しないIPアドレスが付与されてしまった。BBルータのポートのうち、SWに接続したポートは本来、何を接続すべきポートだったか。

PCを接続するべきポート。

BBルータをSWに接続してしまったことにより、本来のDHCPサーバとは別に、BBルータが意図しないDHCPサーバとなってしまった。本来のDHCPサーバよりも、BBルータのDHCP Offerの応答が早かったので、PCは、BBルータからのIPアドレスを割り当ててしまった。

L2SWがもつDHCPスヌーピング機能
  • 正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する
  • 正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する

LANセグメントを仮想的に分割し、かつ、ブロードキャストドメインの分割を行うL2技術

VLAN

VLANによるセキュリティ面のメリットは、PCからのブロードキャストパケットの到達範囲を制限できるので,アドレス情報の不要な流出のリスクを低減できること。

ブロードキャストドメインとは

ブロードキャストされたフレーム(宛先MACアドレスがFF:FF:FF:FF:FF:FF)が到達できるネットワークの範囲。ブロードキャストで送信されたフレームは同セグメントのすべての機器に届いてしまうので、ネットワークの混雑の緩和のためにブロードキャストドメインは制限するのが望ましい。

平成24年度(2012年)

午後1-1 DNS、LBの負荷分散

プライマリDNSサーバからセカンダリDNSサーバへリソースレコードの同期を行うこと

ゾーン転送

BCP(Business Continuity Plan,事業継続計画)とは

長期間または復旧不能なサービス停止による利益損失を防ぐための事業計画

ホスト名からIPアドレスへの対応を示すDNSのリソースレコード

Aレコード

ゾーン内の登録データの開始マークを示すDNSのリソースレコード

SOA(Start Of Authority)レコード

ドメイン名とメールサーバの対応を示すDNSのリソースレコード

MX(Mail eXchange)レコード

ホスト名に別名を付けるためのDNSのリソースレコード

CNAMEレコード

ゾーン分割を行ってサブドメインに権限委譲する場合に登録するDNSのリソースレコード

NSレコード。NSレコードは,そのゾーン自身や下位ドメインに関するDNSサーバのホスト名を指定するレコード。

IPアドレスに対応するホスト名を指定するDNSのリソースレコード

PTRレコード

最適なIPアドレスを応答するためにLBが利用するWebサーバの負荷情報の具体例を2つ
  • Webサーバの応答時間
  • Webサーバのデータ通信量

クライアントからのリクエストを常に同じサーバに転送するLBのセッション維持機能

パーシステンス

平成22年度(2010年)

午後1-3 FW、IDS

IDSの種類を2つ
  • 監視対象のネットワークに設置するネットワーク型IDS
  • 監視対象のWebサーバなどにインストールするホスト型IDS

IDS・IPSの侵入検知の仕組みで、不正なパケットに関する一定のルールやパターンを使う〇〇型

シグネチャ型

IDS・IPSの侵入検知の仕組みで、平常時のしきい値を超えるアクセスがあった場合に不正とみなす〇〇型

アノマリ型(異常検知型)

アノマリ型(異常検知型)でしきい値を低く設定しすぎた場合の懸念点

不正な通信だけでなく適正な通信も異常として検知されてしまうこと

IDSで防御できる攻撃の1つで、Webサーバへのアクセスを通じて不正なSQLが実行される攻撃の名称

SQLインジェクション

IDSで防御できる攻撃の1つで、Webフォームに不正なスクリプトを埋め込んで送る攻撃の名称

クロスサイトスクリプティング

パケットフィルタリング型のFWで防げない攻撃の例
  • Dos攻撃
  • サーバのセキュリティホールをつく正常なパケット
  • メールに添付されたウイルス
  • 悪意あるサイトへのアクセス
  • なりすまし

通過パケットのTCPヘッダのシーケンス番号をセッションログとして保管しておき、パケットの到着順序に矛盾がないかを確認する。行きと戻りのパケットが矛盾した場合、パケットを遮断し、不正アクセスを防止する。上記のFWの機能

ステートフルパケットインスペクション(ステートフルインスペクション)

FWを冗長化しており、1台のFWが故障したときでも処理を中断させることなく、もう1台のFWで処理を継続させるFWの機能

ステートフルフェールオーバ

IDSではSQLインジェクションやクロスサイトスクリプティングなどのTCPヘッダのチェックやしきい値の設定では識別できないような攻撃にも対応できるのは、侵入検知の際にパケットのある部分を解析できるからである。そのパケットの部分の名称

パケットのペイロード(データ部)

インターネットから内部ネットワークへの不正なアクセスが急増しており、FWのログを確認すると宛先であるリバースプロキシサーバの80番ポートへのアクセスが集中していた。どんな攻撃が考えられるか。

80番ポートに対するDoS攻撃

FWの切替えが発生した場合に、FW1からFW2に引き継がれる情報をOSI基本参照モデルの第3層以下から2つ
  • 仮想MACアドレス
  • 仮想IPアドレス

FWが切り替わったことを意識せずに継続利用するために必要なFWの管理情報

切り替える前のFW1で保持していた、シーケンス番号を含んだセッションログ情報

前提としてFWの手動切り戻し時に利用者はシステムを継続利用できない。FWの故障による切替えが発生した時、修理完了後にFW2からFW1に手動で切り戻す際に必要な運用用の留意点。

システムの利用を一時制限して、切り戻し作業を行う

おすすめの関連記事