ネスぺ午後過去問の要点まとめ
ネットワークスペシャリスト(ネスペ)の過去問を復習しやすいよう、要点ポイントを一問一答形式でまとめます。の午後問題は過去の問題から流用されることも多いので重要なポイントを押さえていきましょう。
古い年代から解いていくと、正答率が低かったトピックは翌年以降も出題されている傾向が読み取れます。
- メインは過去問で出題された内容を復習できるようにまとめています。
- 応用として本文のキーワードや関連トピックも追加で掘り下げています。
- 細かい問題もありますが、過去問で何度も問われている内容を押さえるのが重要です。
令和6年春(2024年)
公的な資料から出題予想。
- SSL-VPN
- テレワークで使われるL2フォワーディング
- SSL-VPNに変わるゼロトラストソリューション(ZTNA)
- IPsecとの違い
- IPAでは2023年からネットワーク貫通型攻撃(VPN機器の脆弱性)の注意喚起をしている
- 無線
- 警視庁が2023年に注意喚起してる
- WPA3とか
- メール
- 2023年にNISCでDMARCの利用が明文化
- 送信ドメイン認証を絡めてきそう
- セキスペ寄りではある
- TLS1.3
- CRYPTREC暗号リストが10年ぶりに更新
- TLS1.3と絡めて出るかも
- HTTP/2が出てるのでQUICも合わせて出てきそう
令和5年秋(2023年)
午後1-1 HTTP/2
WebサーバではHTTPサーバが稼働しており、静的コンテンツはWebサーバから直接配信される。一方、APサーバの動的コンテンツは、Webサーバで中継して配信される。この中継処理の仕組みを〇〇プロキシと呼ぶ。
リバース
DMZのDNSサーバは、G社のサービス公開用ドメインに対する〇〇DNSサーバであると同時に、サーバセグメントのサーバがインターネットにアクセスするときの名前解決要求に応答する〇〇DNSサーバである。
権威、 キャッシュ
HTTP/2では、TCPコネクション内で複数のリクエストとレスポンスのやり取りを〇〇と呼ばれる仮想的な通信路で多重化している。
ストリーム
HTTP/2の特徴は、単一のTCPコネクション上で複数のリクエストとレスポンスを同時に送受信できる点です。ストリームという仮想的な通信路で多重化することでネットワークの利用効率を大幅に向上させ、ウェブページの読み込み時間を短縮可能です。
HTTP/2のリクエストのヘッダーフィールドには、〇〇、:scheme、:pathといった必須の擬似ヘッダーフィールドがある。
:method
重要な擬似ヘッダーフィールドは以下の通り
- :method リクエストメソッド(GET, POSTなど)を指定する。
- :scheme リクエストされたURIのスキーム(http, https)を指定する。
- :path リクエストされたリソースのパスを指定する。
- :authority リクエストされたホスト名とポート番号を指定する。HTTP/1.xのHostヘッダーに相当。
ALPN(Application-Layer Protocol Negotiation)は、〇〇ハンドシェイクの過程で、クライアントとサーバーがそれぞれがサポートしているアプリケーション層プロトコル(HTTP/1.1、HTTP/2、SMTPなど)のリストを交換し、両者がサポートしている最適なプロトコルに合意するための仕組み
TLS
HTTP/1.1のHTTPパイプラインは、複数のリクエストが送られた場合にサーバが返すべきレスポンスの順序に制約がある。どのような制約か。
サーバーがレスポンスをクライアントに返す際に、リクエストを受けた順序通りにレスポンスを返す必要がある。
ALPNを必要とする目的
通信開始時にTCPの上位のプロトコルを決定するため
ALPNはTLSハンドシェイク時に、クライアント・サーバー両者がサポートするプロトコルのリストを交換し、最適なプロトコルを選択して合意するために使用されます。
ALPNは、TLSハンドシェイクの際に、〇〇と〇〇のメッセージ交換を利用してプロトコルのネゴシエーションを行います。
ClientHello、ServerHello
TCPプロトコルの特性上、一つのパケットの遅延や損失が発生すると、そのTCP接続上のすべてのストリームが影響を受けてしまうHTTP/1.1とHTTP/2で起こりうる問題
ヘッドオブラインブロッキング(HOL Blocking)
HTTP/3は、ヘッドオブラインブロッキング(HOL Blocking)を解消するために、従来のTCPではなく、UDPをベースにした〇〇プロトコルを使用しています。
QUIC
TCPの〇〇制御と〇〇制御の特性がボトルネックになるので、QUICではUDPが採用されています。
順序、再送
HTTP/2では〇〇のTCP接続上で複数のストリームを管理しますが、TCPの順序制御と再送制御の性質上、一つのストリームでの問題が他のストリームにも影響を与えることがあります。
単一
HTTP/2では、単一のTCP接続上で複数のストリームを管理することで、複数のリクエストを並行して処理できます。しかし、TCPの順序制御と再送制御の特性上、一つのストリームでパケットロスやエラーが発生すると、それ以降のパケットが待たされるヘッドオブラインブロッキング(HOL Blocking)が発生します。これにより、他のストリームも影響を受けて遅延が増大する可能性があります。
一方、HTTP/3ではUDPベースのQUICプロトコルを使用し、各ストリームを〇〇して管理できるため、HOL Blockingが解消されています。
独立
HTTP/3ではUDPベースのQUICプロトコルを採用しています。QUICでは、各ストリームが独立して管理されるため、一つのストリームでパケットロスやエラーが発生しても、他のストリームには影響を与えません。これによって、HOL Blockingが解消され、より効率的な通信が可能になります。
QUICプロトコルが利用する通信の暗号化方式
TLS 1.3
午後1-2 マルチキャスト
一つの送信源から複数の特定受信先へデータを同時に配信することで、帯域幅を節約し、ネットワークリソースの効率的な利用を可能にする通信技術
IPマルチキャスト通信
マルチキャスト通信に割り当てられる専用のIPアドレス範囲
224.0.0.0 〜 239.255.255.255
〇〇とは、アナログ情報をデジタル処理・伝送・記録できるようにデジタルデータに変換する方式のこと
符号化
本問では、H.264(動画データの圧縮符号化方式)で映像を符号化し、IPマルチキャストを用いて映像配信がされていた。
〇〇通信は一対一で行われる通信手段であり、受信者の数が増加すると、ネットワークの帯域幅の消費が大きくなり、遅延が生じる可能性が高まる。
ユニキャスト
IPマルチキャストを用いず、ユニキャストで配信を行う場合の欠点
配信先のレシーバの数に応じてソースの通信量が増加する
ユニキャスト通信の場合、配信先のレシーバ(受信者)の数に応じてソース(送信元)の通信量が増加します。ユニキャストが一対一の通信モデルであるため、送信元から各受信者に対して個別のデータストリームが送信されてしまいます。
IPマルチキャスト通信では、送信元からのデータが〇〇され、マルチキャストグループのメンバーである複数の受信者へ効率的に配信されます。
複製
〇〇を用いてマルチキャストグループのメンバーを管理し、参加するホストのリストを維持します。これにより、マルチキャストデータが必要なネットワークセグメントにのみ送信されるようにします。
IGMP(Internet Group Management Protocol)
IGMPを使用すると、ホスト(デバイス)はルーターに対して、自身が特定のマルチキャストグループのメンバーであること、またはそのグループから脱退することを通知します。これにより、ルーターはどのホストが特定のマルチキャストストリームを受信したいかを把握し、マルチキャストデータを必要とするネットワークセグメントへ効率的にデータ転送を行えます。
PIM-SM(Protocol Independent Multicast – Sparse Mode)とSSM(Source-Specific Multicast)は、IPネットワークにおけるマルチキャスト通信を効率化するための〇〇プロトコルです。
ルーティング
IGMPv2では全てのIPカメラに個別のIPアドレス、〇〇のグループアドレスを使用する
IGMPv3では全てのIPカメラに個別のIPアドレス、〇〇のグループアドレスを使用する
個別、同一
IGMPv2の場合:
IPカメラ1: IPアドレス = 192.168.1.1, マルチキャストグループアドレス = 224.0.0.1
IPカメラ2: IPアドレス = 192.168.1.2, マルチキャストグループアドレス = 224.0.0.2
視聴者は、カメラ1のコンテンツを受信するために224.0.0.1に、カメラ2のコンテンツを受信するために224.0.0.2に参加することになる。
IGMPv3の場合(SSMを使用):
すべてのIPカメラが同一のマルチキャストグループアドレス(例: 224.0.0.1)を使用するが、ソースアドレス(カメラのIPアドレス)に基づいて視聴者は受信するビデオストリームを指定できる。
視聴者は、特定のカメラ(例: IPアドレス = 192.168.1.1)からのビデオストリームのみを受信するようにルータに指示します。
IGMPv3の〇〇機能を利用することで、視聴者は特定のソース(特定のIPカメラ)からのビデオストリームのみを受信するよう指定できます。
SSM
IGMPv2では目的のコンテンツを受信するためにそれぞれのマルチキャストグループアドレスに参加する必要があります。一方で、IGMPv3ではSSMの機能によって、単一のマルチキャストグループアドレスに参加し、受信したい特定の送信元(ソース)のIPアドレスを指定することで、そのソースから配信されるコンテンツのみを受信することが可能です。
IGMPv2と比較して、IGMPv3では〇〇の設計が容易になる。
(マルチキャスト)グループアドレス
マルチキャストグループアドレスの数が減るので設計がシンプルになります。
IGMPv2の場合、送信元(ソース)ごとにマルチキャストグループアドレスが必要です。
IGMPv3ではSSMの機能によって、単一のマルチキャストグループアドレスに参加し、受信したい特定の送信元(ソース)のIPアドレスを指定することで、特定コンテンツのみを受信可能です。
L2SWでは、マルチキャストフレームを受信した際、同一セグメント上の受信インターフェース以外の全てのインターフェースへ〇〇するので、通信帯域を無駄に使用し、接続先のインターフェースへ不必要な負荷を掛けてしまう。
フラッディング
L2SWでIGMPパケットを監視し、どのホストがどのマルチキャストグループに参加しているかを把握・監視する機能
IGMPスヌーピング
IGMPスヌーピングを無効化している場合、L2SWはどのポートが特定のマルチキャストグループのメンバーであるかを把握できないため、受信したマルチキャストトラフィックを受信ポートを除く全てのポートにフラッディングするのでネットワーク効率が低下します。
一方でIGMPスヌーピングを有効化した場合、SWはマルチキャストグループのメンバーであるポートを識別し、そのポートのみに転送できるのでネットワーク効率を改善できます。
IGMPスヌーピングを有効にしているSWは、ネットワーク上のデバイスから送信されるIGMP 〇〇やLeaveパケットを監視します。
Join
IGMP Joinパケットは、デバイスが特定のマルチキャストグループの通信を受信したいときにルーターまたはスイッチに送信するメッセージです。デバイスがマルチキャストグループに「参加」する旨を示します。
IGMP Leaveパケットは、デバイスが特定のマルチキャストグループの通信を受信する必要がないとき、またはそのグループから「脱退」したいときにルーターまたはスイッチに送信するメッセージです。
IGMPスヌーピングを有効にしているSWは、ネットワーク上のデバイスから送信されるIGMP JoinやLeaveパケットを監視します。これにより、SWはどの〇〇が特定の〇〇に参加したいのか、またはそのグループから脱退したいのか)を識別します。
ポート、マルチキャストグループアドレス
IGMPスヌーピングを有効にしているSWは、IGMPパケットを受信し、どのポートから特定のマルチキャストグループに参加または離脱するかを把握します。その後、マルチキャストトラフィックを必要とするポートにのみトラフィックを転送し、不要なポートには転送しないようにします。
ネットワーク上でマルチキャストトラフィックを効率的に配信するための論理的なパス構造
ディストリビューションツリー
ディストリビューションツリーで、マルチキャストソース(送信元)からマルチキャストグループのメンバー(受信者)までの最適な経路を定義し、マルチキャストデータを重複させず、効率的にかつ最短経路で転送されるように設計されています。
ディストリビューションツリーは、IPマルチキャストの中で重要な用途である。IPマルチキャストは、映像配信に限らず様々な情報の配信などと、最新データを多数の宛先へ配信する用途において有用なプロトコルなので、ネットワークの基礎知識の一つとして学習しておいてほしい。(採点講評より)
デスクトップアプリケーション方式とWebブラウザ方式とを比較して、IPカメラの追加や更新における利点からWebブラウザ方式を採用することにした。Webブラウザ方式の利点。
【前提条件】
デスクトップアプリケーション方式では、PC上でソフトウェア製品を起動し、ソフトウェア製品にIPカメラを登録すること及び登録済みのIPカメラを選択して映像を表示することができる。
Webブラウザ方式では、PCのWebブラウザからカメラ管理サーバのWebページを開き、カメラ管理サーバに登録されたIPカメラを選択することによってソフトウェア製品が起動され、映像を表示することができる。
カメラ管理サーバは、IPカメラの死活監視、遠隔制御を行い、Webサーバ機能をもつ。PCとはHTTPSで、IPカメラとは独自プロトコルでそれぞれ通信を行う。
Webページを改修するだけで対応完了できるから。
カメラ管理サーバにはIPカメラの死活監視、遠隔制御、Webサーバの機能がありました。Webブラウザ方式ではカメラ管理サーバのWebページを更新するだけで対応が完了することに加えて、新規IPカメラの死活監視、遠隔制御など一元的に運用管理可能なので本問では最適です。
午後1-3 無線
Wi-Fi 6では、最大通信速度の理論値が9.6Gbpsに引き上げられている。また、Wi-Fi 6では2.4GHz帯と5GHz帯の二つの周波数帯によるデュアルバンドに加え、5GHz帯を二つに区別し、2.4GHz帯と合わせて計三つの周波数帯を同時に利用できる〇〇に対応したAPが多く登場している。
トライバンド
デュアルバンドは2.4GHz帯と5GHz帯の周波数を使用して通信を行いますが、トライバンドは5GHz帯を2つ使用することができるため、合計3つの独立した周波数帯域で動作します。そのため、トライバンドでは高速で遅延の少ない安定した通信が可能です。
5GHz帯の一部は気象観測レーダーや船舶用レーダーと干渉する可能性があるので、APはこの干渉を回避するための〇〇機能を実装している。
DFS(Dynamic Frequency Selection)
Wi-Fi6では、送受信側それぞれ複数の〇〇を用いて複数のストリームを生成し、複数のWLAN端末で同時に通信するMU-MIMOが拡張されている。
アンテナ
高速無線通信で使われている多重化方式で、データ信号を複数のサブキャリアに分割し、各サブキャリアが互いに干渉しないように配置する方式
OFDM
Wi-Fi6では、送受信側それぞれ複数のアンテナを用いて複数のストリームを生成し、複数のWLAN端末で同時に通信するMU-MIMOが拡張されている。また、〇〇によってサブキャリアを複数のWLAN端末で共有することができる。これらの技術によって、APにWLAN端末が密集した場合の通信効率を向上させている。
OFDMA
OFDMが一つの通信セッションでサブキャリアを使用するのに対し、OFDMAは〇〇のユーザーがサブキャリアを分割して使用することを可能にします。
複数
OFDMでは、単一の通信セッションで使用可能な全てのサブキャリアが割り当てられます。
一方、OFDMAでは複数のユーザーや端末がサブキャリアの一部を割り当てられ、その中で並列に通信を行うことができます。つまり、単一の周波数チャネル内でサブキャリアを複数の通信セッションで共有して利用することが可能になります。
Wi-Fi 5では、MU-MIMOは〇〇リンク(アクセスポイントからデバイスへの通信)にのみ対応していましたが、Wi-Fi 6では〇〇リンク(デバイスからアクセスポイントへの通信)でもMU-MIMOを利用できるようになりました。
ダウン、アップ
Wi-Fi 5ではMU-MIMOがダウンリンク方向にのみ対応していましたが、Wi-Fi 6ではアップリンク方向でもMU-MIMOが利用できるようになり、双方向でデータ通信の効率化が図られています。
複数のユーザーに対して同時に複数のデータストリームを送信し、送受信側がそれぞれ複数のアンテナを使用して通信効率を向上させる無線通信技術
MU-MIMO (Multi-User Multiple-Input Multiple-Output)
MU-MIMOはアクセスポイントが複数の端末と同時に複数の空間ストリームを送受信することを可能にする無線通信技術で、単一の周波数チャネルを使用しながら通信効率が大幅に向上させることができます。
1つの周波数帯が複数の〇〇に分割されており、各〇〇が個別の通信路として利用される(〇〇は同一)
チャネル
周波数帯は、電波が使用できる広い周波数範囲のことを指します。例えばWi-Fiでは2.4GHz帯や5GHz帯などが周波数帯になります。
一方、チャネルとは、その周波数帯の中で区切られた狭い周波数範囲のことを指し、独立した通信経路になります。
つまり、1つの周波数帯が複数のチャネルに分割されており、各チャネルが個別の通信路として利用されるということです。
複数の無線チャネルを合わせて一つの広帯域チャネルとして使用し、データ転送速度を向上させる無線通信技術
チャネルボンディング
チャネルボンディングによりAPが使用する周波数範囲が広がることで、他のAPとの周波数の重複、〇〇が起きやすくなり、結果として利用可能なチャネル数が減少するというデメリットが生じる。
干渉
通常、APは1つの狭いチャネル(例えば20MHz幅)を使用しています。同一エリアに複数のAPがある場合、それぞれが異なる狭いチャネルを割り当てられることで、お互いに干渉することなく通信できます。
しかし、チャネルボンディングを行うと、APが複数の狭いチャネルを束ねて1つの広い帯域幅(例えば80MHz幅)のチャネルを使用します。この広い周波数範囲が他のAPの使用する狭いチャネルと重複する可能性が高くなるため、APの間で電波干渉が発生しやすくなります。
WPA2プロトコルにおいて、セキュリティの脆弱性を悪用し、4ウェイハンドシェイク中に暗号鍵の再インストールを強制することで、暗号化された通信を侵害する攻撃手法
KRACKS (Key Reinstallation Attacks)
KRACKSの発見以降、Wi-Fiのセキュリティに新たな懸念が持たれるようになり、WPA3の導入と普及が加速されました。
Wi-Fi 6では、セキュリティ規格である〇〇が必須となっている。
WPA3
個人向けのWPA3-Personalでは、PSKに代わって〇〇を採用することでWPA2の脆弱性を改善し、更に利用者が指定した〇〇の解読を試みる辞書攻撃に対する耐性を強化している。また、企業向けのWPA3-Enterpriseでは、192ビットセキュリティモードがオプションで追加され、WPA2-Enterpriseよりも高いセキュリティを実現している。
SAE(Simultaneous Authentication of Equals)、パスワード
WPA2で使用されるPSK (Pre-Shared Key) 方式では、Wi-Fi クライアントとアクセスポイントの間で、あらかじめ共有された〇〇の暗号化キー(パスフレーズ)を使って相互認証を行っていました。
固定
PSK(Pre-Shared Key)では、一度設定された静的な鍵(パスフレーズ)が変更されることが少ないため、辞書攻撃などでパスフレーズを推測することが容易になります。この固定性が、PSKがセキュリティの弱点とされる一因でした。
SAEでは、パスワードから直接〇〇を導出するのではなく、乱数と楕円曲線暗号を用いた鍵交換プロセスを通じて〇〇を生成します。この方法により、辞書攻撃を用いた鍵の推測が原理的に不可能になっています。なぜなら、パスワード自体が直接的にキー生成プロセスに使用されるのではなく、パスワードに基づいた楕円曲線計算を経て安全な鍵交換が行われるためです。
PMK(Pairwise Master Key)
PMKとは、WPA2/WPA3の個人用モードにおいて、クライアントとアクセスポイント間で共有される主要な鍵のことです。
WPA2ではオプション機能だったがWPA3では必須となった、Wi-Fiネットワークにおいて管理フレームを保護するためのセキュリティ機能
PMF(Protected Management Frames)
代表的なフレームは管理フレーム、制御フレーム、データフレームの3種類です。
- 管理フレーム
- 管理フレームとは、無線においてデバイス間の接続や切断、認証などの管理操作を行うフレームです。Beaconフレーム、Authenticationフレーム、Deauthenticationフレームなどが該当します。
- 制御フレーム
- 制御フレームとは、データの送受信を制御するためのフレームです。ACKフレームなどがあります。
- データフレーム
- データフレームとは、実際に送受信されるデータを含むフレームです。
WEP、WPA、WPA2で暗号化されていたのはデータフレームのみで、残り2つのフレーム(管理フレーム、制御フレーム)は平文でやり取りされていたため脆弱でした。そのため、WPA3では管理フレームを認証や改竄検知などで保護するPMFが採用されています。
Wi-Fi Allianceが定義したセキュリティ規格で、対応した無線端末がSSIDを選択するだけでパスフレーズなどで認証することなく対応したAPの無線LANに接続し、暗号化された通信を行うことができる技術
Enhanced Open(エンハンスドオープン)
Enhanced OpenはOWE (Opportunistic Wireless Encryption)による暗号化が自動的に行われ、データのプライバシーとセキュリティが保つことが可能な技術です。ただ条件として、無線端末とAPがそれぞれEnhanced Openに対応している必要があります。
Enhanced Openは、〇〇という技術を基にしています。この技術は、クライアントとアクセスポイントが接続する際に、一時的な暗号化キーを自動的に生成して通信を暗号化する仕組みです。
OWE (Opportunistic Wireless Encryption)
OWEでも利用されている公開鍵暗号の一種であり、通信の主体同士が共通の秘密鍵を安全に生成するためのキー交換アルゴリズム
Diffie-Hellman鍵共有(Diffie-Hellman鍵交換)
C課長:ノートPC1台当たりの実効スループットは確保できていますか。
B主任:はい、20MHz 帯域幅チャネルを〇〇によって二つ束ねた40MHz帯域幅チャネルによって、要件を満たす目途がついています。
チャネルボンディング
利用者認証後のWLAN(Wireless Local Area Network)端末がWireless LAN Controller(WLC)を経由せずに通信するモード
ローカルスイッチングモード
CiscoではFlexConnectという機能が実装されています。
FlexConnectは、ローカルサイトにおけるWLAN端末のデータトラフィックを、必要に応じてWLCを経由させるか、WLCを経由させないか(ローカルネットワークで直接処理するか)を選択できる機能を持っています。
WLCを経由させるのをセントラルスイッチングモード、WLCを経由させないのをローカルスイッチングモードと言います。
ローカルスイッチングモードであれば、WLCを経由しないので低遅延の通信、帯域幅を節約可能です。一方で、WLCを経由しないので、セキュリティポリシーの適用、アプリケーショントラフィックの識別・制御などの管理機能が制限されます。
平成29年 午後2-2ではWLCを経由しない場合の利点が出題済み。
PoEの方式はPoE+と呼ばれるIEEE802.3atの最大30Wでは電力不足のリスクがありますので、〇〇と呼ばれるIEEE802.3btを採用します。
PoE++
平成29年 午後2-2ではPoE+が問われていたが、令和5年では上位規格のPoE++が問われた。
PoE (802.3af) は1ポートあたり最大〇〇W、PoE+ (802.3at) は1ポートあたり最大〇〇W、PoE++ (802.3bt) は1ポートあたり最大〇〇Wの電力を供給することができます。
15.4、30、60または90
まとめると以下の通りです。
PoE (IEEE 802.3af):
スイッチ1ポートあたり最大15.4Wの電力を供給することができますが、ケーブルの損失を考慮すると実際にデバイスに到達する電力は約12.95Wです。
PoE+ (IEEE 802.3at):
スイッチ1ポートあたり最大30Wの電力を供給することができますが、ケーブル損失を考慮すると実際にデバイスに到達する電力は約25.5Wです。
PoE++ (IEEE 802.3bt):
規格には二つのタイプがあります。
Type 3: スイッチ1ポートあたり最大60Wの電力を供給することができますが、実際にデバイスに到達する電力は約51Wです。
Type 4: スイッチ1ポートあたり最大90Wの電力を供給することができますが、実際にデバイスに到達する電力は約71.3Wです。
PoEに関する内容は令和3年 午後2-1で出題済み。
DFSによって5GHz帯で気象観測レーダーや船舶用レーダーの信号を検知した場合のAPの動作
検知したチャネルの電波を停止し、他のチャネルに遷移して再開する。
DFSは、レーダーのシグナルを検知すると無線装置が自動的に使用するチャネルを切り替える機能です。これにより、レーダーシステムへの干渉を避けつつ、5GHz帯の効率的な利用を可能にしています。
他のチャネルに切り替えるため、APとの接続断や通信断が不定期に発生しやすくなります。
ノートPCの台数(50台)と動画コンテンツ(1時間当たり7.2Gバイト)の要件に従ってフロアL2SWとAPとの間のトラフィック量を試算してみたところ、1Gbps以下に収まると判断しました。
フロアL2SWとAPとの間の最大トラフィック量をMbpsで答えよ。
800Mbps
7.2 x 1000=7200(GbpsからMbpsへの変換)
7200 x 8=57600(バイトからビットへの変換)
57600 ÷ 3600=16(1時間から秒への変換、1台あたりの動画コンテンツのトラフィック量)
16 x 50 = 800Mbps(50人が同時再生する場合)
よって、最大トラフィック量は800Mbps
B主任: 確かにその可能性はあります。それではフロアL2SWとAPとの間には〇〇と呼ばれる2.5GBASE-Tから5GBASE-Tを検討してみます。
C課長: 将来のWi-Fi 6Eの認定製品への対応を考えると、10GBASE-Tも検討した方が良いですね。
マルチギガビットイーサネット
マルチギガビットイーサネットは、既存のカテゴリー5eやカテゴリー6ツイストペアケーブルを使用して、2.5Gbps、5Gbps、10Gbpsでデータを伝送するイーサネット技術です。
Wi-Fi 6Eは、Wi-Fi 6(802.11ax)の拡張版で、新たに〇〇GHz帯の周波数帯域を利用することを特徴とします。
6
従来のWi-Fi 6は2.4GHzと5GHzの帯域を使用していましたが、Wi-Fi 6Eでは6GHz帯を利用可能です。Wi-Fi6Eでは、従来の2.4GHz帯の4チャネルと5GHz帯の20チャネルの24チャネルに加えて、さらに24チャネル(日本の場合)が使用できるため計48チャネルが利用可能です。
チャネル数が大幅に増えたことによりチャネルボンディング機能を活用することで、最大160MHzの帯域幅のチャネルを使用することが可能です。
複数のネットワークスイッチを物理的に結合し、単一の論理的単位として管理するために使用される技術
スタック接続
令和3年 午後2-1で出題済み。
リンクアグリゲーションの利点を3つ
負荷分散、帯域幅の拡張、接続の冗長性向上
本問では、平常時にリンク本数分の帯域を同時に利用できること(帯域幅の拡張、有効活用)が問われた。
リンクアグリゲーションは令和3年 午後2-1、令和元年1-1で出題済み。
〇〇は、ネットワーク上で大量のブロードキャストパケットが連続して送信されることにより発生し、ネットワークのパフォーマンスを著しく低下させる現象
ブロードキャストストーム
SWではどのような作業ミスによってブロードキャストストームが発生しうるか。
ループ状態になるような誤接続や設定ミス
物理的または論理的なループが存在し、適切なループ防止プロトコル(STPやRSTPなど)が設定されていない場合、ブロードキャストパケットが無限に繰り返されることでブロードキャストストームが発生します。
本問では作業ミスのループ対策に備えて、すべてのSWでループ検知機能を利用していました。
ネットワーク内の異なるサブネット間でクライアントとDHCPサーバーの通信を仲介する役割を果たし、クライアントからのDHCP要求を受け取って適切なDHCPサーバーに転送する機能
DHCPリレーエージェント
令和元年 午後1-3、平成25年 午後1-2で出題済み。
午後2-1 BGP
令和3年 午後2-2で問われたBGPの内容が再出題されている。
企業が異なるインターネットサービスプロバイダー(ISP)から複数のインターネット接続を同時に利用することで、通信の冗長性と負荷分散を図り、接続の信頼性を高めるネットワーク設計
マルチホーム接続
負荷分散を目的として1つのドメイン名に対して複数のIPアドレスを割り当てる方式名
DNSラウンドロビン
TTLの値を小さくする目的
DNSキャッシュサーバがキャッシュを保持する時間を短くするため
インターネット接続時にクライアント側で自動的に適切なプロキシサーバーを選択し設定するために利用されるスクリプトベースのWebブラウザ機能
プロキシ自動設定機能(Proxy Auto-Configuration、PAC)
正答率が低かった。従業員が行う業務において、Webアプリケーションソフトウェアを利用する機会は増えており、Web閲覧の可用性向上は重要である。プロキシ自動設定機能は走非知っておいてもらいたい。(採点講評より)
プロキシサーバを利用する側の環境に着目した際の、プロキシ自動設定機能(PAC)の制限事項
対応するPCやサーバでしか利用できない
プロキシ自動設定機能(PAC)は、特定のウェブブラウザや他のクライアントソフトウェアがこの機能をサポートしている必要があります。
PACファイルには条件に基づいてトラフィックをどのプロキシサーバーにルーティングするかを指定するJavaScript関数が含まれています。この機能を利用するためには、ソフトウェアがJavaScriptを解釈し、PACファイルの指示に従ってネットワークリクエストを処理できる必要があります。
AS間のルーティング情報を交換し、グローバルなインターネットのトラフィックを制御するルーティングプロトコル
BGP (Border Gateway Protocol)
複数のルーター間で仮想的なルーターIDを共有し、ルーターの故障時に自動的に別のルーターがトラフィックを引き継ぎ、デフォルトゲートウェイの冗長化を提供するプロトコル
VRRP(Virtual Router Redundancy Protocol)
next-hop-self設定を行うと、iBGPで広告する経路情報のネクストホップのIPアドレスには何が設定されるか。
ルーター自身のIPアドレス
通常、iBGPではeBGPから受け取った経路情報を他のiBGPピアに伝播する際、ネクストホップアドレスは変更されないため、そのネクストホップに到達できない問題が生じます。
next-hop-selfオプションで広告するルーターがネクストホップとして自身のIPアドレスを設定することにより、iBGP内の他のルーターがネクストホップを認識し、接続性を確保できます。
RFC 4271で規定されているBGPは、〇〇間の経路交換のために作られたプロトコルで、TCPポート179番を利用して接続し、経路交換を行う。
AS
BGPの経路交換を行う隣接のルータを〇〇と呼ぶ。
ピア
自AS番号、BGPIDなどの情報を含む、BGP接続開始時に交換するBGPメッセージ
OPEN
経路の追加や削除が発生した場合に送信され、経路情報の交換に利用するBGPメッセージ
UPDATE
エラーを検出した場合に送信されるBGPメッセージ
NOTIFICATION
BGP接続の確立やBGP接続の維持のために交換するBGPメッセージ
KEEPALIVE
BGPにおいて、AS内のルーティングポリシーを決定し、特定の経路が他の同等の経路よりも優先されるようにするために使用される属性
LOCAL_PREF (ローカルプリファレンス)
BGPでは、ピアリングで受信した経路情報をBGPテーブルとして構成し、最適経路選択アルゴリズムによって経路情報をひとつだけ選択し、ルータの〇〇に反映する。
ルーティングテーブル
LOCAL_PREFの場合では、最も〇〇値をもつ経路情報が選択される。
大きい(高い)
BGPの導入を行った後にVRRPの導入を行うべき理由を、R13が何らかの理由でVRRPマスターになったときのR13の経路情報の状態を想定し、50字以内で答えよ。
VRRPマスターになったR13が経路情報を保持していないと受信したパケットを〇〇できないから
転送
BGPによるルーティングの安定性を確保し、その上でVRRPによる冗長化を行うのが効果的な順序です。
BGPセッションが有効であることを確認し、ピアとの接続を維持するために定期的に送信されるBGPメッセージ
KEEPALIVE
KEEPALIVEメッセージが一定時間受信できなくなるとどのような動作をするか。
BGP接続を切断し、経路情報がクリアされる。
KEEPALIVEメッセージが受信できなかった時の挙動は以下の通りです。
- ホールドタイマーの満了:
- BGPは各ピアとの間にホールドタイマーを設定します。このタイマーは、最後のKEEPALIVEメッセージまたはアップデートメッセージを受信してからの時間を測ります。
- セッションの終了:
- ホールドタイマーが満了した際には、BGPセッションは切断されます。
- 通知メッセージの送信:
- セッションがタイムアウトによって切断される前に、対象のピアに対して通知メッセージを送信し、セッションの終了理由を通告します。
- ルーティング情報の更新:
- セッションの終了後、BGPは関連するピアから学習した経路情報を削除すると共に、別の最適な経路情報を選択し、ルーティングテーブルを更新します。
増設した機器や回線に故障がないことを確認するためにpingコマンドで試験を行う。pingコマンドの試験で確認すべき内容。
パケットロスが発生しないこと
pingコマンドを使用する主な目的は、特定のホストまでの到達可能性を確認し、そのホストまでの通信時間(ラウンドトリップタイム、RTT)を測定し、ネットワークのパフォーマンスや接続の信頼性を評価することです。
RTTが短いほど、ネットワーク経由での通信が迅速に行われていることを示し、長いRTTはネットワーク遅延や問題が存在する可能性を示唆します。
R11及びR12では静的経路制御の経路情報を削除することで同じ冗長ネットワークのBGPの経路情報が有効になる。その理由。
経路情報は、BGPと比較して静的経路制御の方が優先されるから
スタティック(静的経路)とBGPのいずれかで経路選択が行われる際、ルーティングテーブルにおける各経路のAD(Administrative Distance)値を参考にします。AD値が低いほど、その経路が優先されます。
スタティック(静的経路)のAD値は1(各ベンダーでも固定)、BGPのAD値は20(eBGP、Ciscoの場合)、200(iBGP、Ciscoの場合)であるため、AD値が低いスタティックがBGPよりも優先されます。
ルーティングテーブルで経路選択する際の優先順位
① 〇〇
② AD(Administrative Distance)値
③ メトリック
ロンゲストマッチ(longest prefix match、最長プレフィックスマッチ)
ロンゲストマッチとは、ルーティングテーブルに複数のルートがある場合に、送信されるパケットの宛先IPアドレスとマッチするサブネットのプレフィックス長が最も長い(最も具体的な)ルートが選択されることを指します。つまり、送信されるパケットの宛先IPアドレスに対して最も適切なルートが選択される仕組みです。
例えば、次のようなルーティングテーブルがあるとします。
- ネットワークA: 192.168.0.0/24、ネクストホップ: 10.0.0.1
- ネットワークB: 192.168.0.0/22、ネクストホップ: 10.0.0.2
宛先IPアドレスが192.168.0.1の場合、ネットワークAとBの両方に一致します。そこで、ロンゲストマッチにより、ネットワークAの/24とネットワークBの/22のプレフィックスを比較し、最も長いプレフィックスを持つ/24が採用されます。よって、ネクストホップ 10.0.0.1に転送されます。
NAPT機能によって〇〇と〇〇の変換が行われる。
IPアドレス、ポート番号
ネットワーク内でパケットが無限に循環し続ける状態を引き起こす可能性がある、ルータ間で発生する不具合
ルーティングループ
ルーティングループを防ぐために、〇〇インターフェースにルート設定することでトラフィックを意図的に破棄できる。
Null0(ヌルゼロ)
動的なルーティングプロトコルでは、自動的に集約されたルートがNull0インターフェースに割り当てられます。自動集約ルートを作成する際に、ルーティングループを防ぐために不要なトラフィックの破棄するためのNull0インターフェースが自動で作成されます。
一方、静的ルーティングの場合、Null0へのルートは手動で設定する必要があります。それゆえに、誤って設定し有効なトラフィックが破棄されてしまう可能性や設定の抜け漏れによってルーティングループが起きやすいです。
通常のルーティングプロトコルがルーティングテーブルをもとに宛先ベースの決定のみを行うのに対し、トラフィックの種類や送信元IPアドレスなどの追加情報に基づいて特定のトラフィックフローのルーティングを制御するために使用されるルーティング技術
ポリシーベースルーティング(Policy-Based Routing、PBR)
ポリシーベースルーティングとは、従来の宛先ベースのルーティングに加えて、トラフィックの種類、送信元/宛先IPアドレス、トランスポート層プロトコル、入力インターフェースなどの追加情報に基づいて、特定のトラフィックフローに対する経路を制御する機能です。
通常のルーティングは宛先IPアドレスのみに基づいてルーティングテーブルを検索しますが、PBRではパケットのヘッダ情報からさまざまな条件を抽出し、組み合わせてルーティングポリシーを決定できます。
本問では、送信元IPアドレスがプロキシサーバで宛先IPアドレスがインターネットであった場合にネクストホップを特定のルータにルーティングする暫定的な設定がされていた。
午後2-2 LB
令和元年 午後1-2で問われた内容が再出題されている。SAML認証はセキスペで頻出。
ドメイン名のDNS情報を管理するサーバーを指定するレコード
NSレコード
電子メールの配信先となるサーバーを特定するために使用されるDNSレコード
MXレコード
TLSハンドシェイク中にエラーメッセージがWebブラウザに表示される理由を、サーバ証明書のコモン名に着目して答えよ。
コモン名とURLのドメインとが異なるから
サーバ証明書のSubjectAltName(SAN)フィールドとアクセス先のWebサーバのFQDNの一致を検証します。SANがなければ、CommonNameとFQDNの一致を検証します。
サーバーやデータベースなどのシステムで、性能向上のために追加のハードウェアリソースを導入せずに、既存の機器のスペックを高める拡張方法
スケールアップ
システムの容量や処理能力を増やすために追加の機器を並行して配置する拡張方法
スケールアウト
ECサーバを2台にすればECサイトは十分な処理能力をもつことになるが、2台増設して3台にし、負荷分散装置によって処理を振り分ける構成を設計した。2台ではなく3台構成にする目的。
1台故障時にも、ECサイトの応答速度の低下を発生させないため
- 冗長性の向上:
- 3台のサーバーを配置することで、どれか1台が故障しても他の2台でシステムを稼働させ続けることが可能です。
- 負荷分散によるパフォーマンスの向上:
- 複数のサーバーにトラフィックを均等に分散させることで、1台当たりの処理負荷を軽減し、システム全体の応答時間を短縮可能です。
- 保守作業の柔軟性:
- サーバーが複数あることで、1台のサーバーをメンテナンスやアップデートのために一時的に停止させても、他のサーバーが処理を引き継ぐことが可能です。
LBでECサーバ宛に送信するHTTPヘッダーにX-Forwarded-Forフィールドを追加する目的
ECサーバに、アクセス元PCのIPアドレスを通知するため
X-Forwarded-Forフィールドを追加する主な目的は、クライアントのオリジナルのIPアドレスを識別するためです。プロキシサーバーまたはロードバランサーを通過するHTTPリクエストにこのフィールドを追加することで、サーバー側がクライアントの実際のIPアドレスを知ることが可能です。
既設ECサーバからLBへサーバ証明書と〇〇のペアを移すことで、LBがTLS通信の終端を担うことが可能
秘密鍵
複数のサーバー間で通信負荷を均等に分散するLBの機能
負荷分散機能
クライアントのセッションを特定のサーバーに固定して管理するLBの機能
セッション維持機能(パーシステンス)
サーバーの稼働状態を定期的に確認して正常動作を保証するLBの機能
ヘルスチェック機能
LBのセッション維持機能で、IPアドレスとポート番号との組み合わせでアクセス元を識別する場合、TCPコネクションが切断されると再接続時にセッション維持ができなくなる問題が発生する。その理由。
TCPコネクションが再設定されるたびに、ポート番号が変わる可能性があるから
クライアントが新たに接続を試みるたびに、使用するソースポート番号が変更されます。クライアントがサーバーへ接続する際に動的にソースポートを割り当てるため、コネクションが切断されて再度接続する際には異なるポート番号が使われます。そのため、セッション維持ができなくなります。
Cookieベースのセッション維持(パーシステンス)は、Cookie中の〇〇と振り分け先のサーバから構成されるセッション管理テーブルをLBが作成し、このテーブルを使用してセッションを維持する方式
セッションID
Cookieベースのパーシステンスでは、バックエンドサーバがHTTP応答に特定のセッションIDを含むCookieを挿入し、クライアントはその後のリクエストでこのCookieを送信します。LBは受信したCookieのセッションIDを解析し、以前にセッションIDと関連付けられた特定のバックエンドサーバーへとクライアントのリクエストをルーティングします。
Cookieベースのセッション維持(パーシステンス)の場合、LBがセッション管理テーブルに新たなレコードを登録するのはどのような場合か。
サーバからの応答に含まれるCookie中のセッションIDが、セッション管理テーブルに存在しない場合
Cookieを挿入するために使用されるHTTPレスポンスヘッダ
Set-Cookieヘッダ
L3及びL4方式のヘルスチェックではWebサーバを適切に監視できない理由
サービスが稼働しているかどうか検査しないから
L3(ネットワーク層)のヘルスチェックは、IPアドレスへのパケット到達可能性を確認可能です。サーバが生存していることまでは確認できますが、アプリケーションの動作状況は分かりません。
L4(トランスポート層)のヘルスチェックは、TCPやUDPポートでの応答を確認できます。サーバがリスニング状態であることを検知できますが、アプリケーションの実際の動作状況までは分かりません。
L7(アプリケーション層)のヘルスチェックでは、HTTPやHTTPSなどのアプリケーションプロトコルを使って、実際にサービスが正常に動作しているかを確認できます。具体的にはHTTP GETリクエストを送信し、予期したレスポンスが返ってくるかを検査することで、アプリケーションの健全性を判断できます。
SAMLでは、利用者にサービスを提供する〇〇と利用者の認証・認可の情報を提供する〇〇との間で、情報の交換を行う。
SP(Service Provider)、IdP(Identity Provider)
IdPは、〇〇と呼ばれるXMLドキュメントを作成し、利用者を介してSPに送信する。SPは、IdPから提供された〇〇を基に、利用者にサービスを提供する。(〇〇は同一)
SAMLアサーション
IdPが作成するデジタル署名の検証に必要な情報
IdPの公開鍵証明書、または、公開鍵を含んだIdPのデジタル証明書
デジタル署名を発行したIdPの証明書に含まれている公開鍵でデジタル署名の検証を行います。
IdP(Identity Provider)が発行するSAMLアサーションは、IdP自身の〇〇でデジタル署名されます。この〇〇はIdPのみが保有しており、クライアントや他のどの当事者もその鍵を持っていないため、アサーションのデジタル署名を生成または検証することはできません。そのため、IdPの鍵を持っていないという事実が、アサーションが改ざん不可能である重要な理由の一つです。(〇〇は同一)
秘密鍵
SPがSAML Responseに含まれるデジタル署名を検証することで、受信したSAMLアサーションに対して確認できることを2点。
①信頼関係のあるIdPが生成したものであること
②SAMLアサーションが改ざんされていないこと
SAMLアサーションのデジタル署名を検証することで、アサーションの内容が改ざんされていないことと、送信元の正当性(認証情報を発行したエンティティが信頼できるかどうか)を確認できます。
令和4年度(2022年)
午後1-1 監視
ログデータの転送は、イベント通知を転送する標準規格(RFC5424)の〇〇プロトコルを利用する。
Syslog
プロキシサーバのユーザ認証には、Base64でエンコードするBasic認証方式と、MD5やSHA-256でハッシュ化する〇〇認証方式がある。
ダイジェスト
プロキシサーバはHTTPの〇〇メソッドでトンネリング通信を提供し、トンネリング通信に利用する通信ポートを443に限定する。
CONNECT
ネスペでは鬼のように繰り返し出題されている。
外部からアクセスできるサーバをFWによって独立したDMZに設置すると、内部セグメントに設置するのに比べて、どのようなセキュリティリスクが軽減されるか。
社外からサーバに侵入された時に内部セグメントの機器に侵入されるリスク
ユーザーやコンピューターなどの情報をデータベースに保管し、検索や更新などの操作が可能なディレクトリサービスにアクセスするための通信プロトコル
LDAP(Lightweight Directory Access Protocol)
LDAPは、主にTCPを利用して通信を行います。(UDPも補助的に使用されます。)
389ポートはプレーンテキストまたはSTARTTLSを使用したセキュアでない通信に、636ポートはSSL/TLSを使用したセキュアな通信に使用されます。
認証とは
利用者の本人確認を行うこと
認可とは
必要なアクセス権限・実行権限のみを付与すること
MACアドレステーブルに宛先MACアドレスが学習されていなかった場合、フレームを受信したポートを除くすべてのポートからフレームを一斉送信する機能
フラッディング
宛先MACアドレスを「FF-FF-FF-FF-FF-FF」にしたフレームをフレームを受信したポートを除くすべてのポートから同じネットワークセグメント宛に一斉送信する機能
ブロードキャスト
全二重通信とは
データの送信と受信を同時に行うことができる通信方式
半二重通信とは
二者間のいずれの方向へも通信できる双方向通信において、一度に片方しか送信できず、両者が同時に送信することができない通信方式
ネットワークスイッチやルーターの機能の一つで、あるポートが送受信するデータを同時に別のポートに送信することで、トラフィックの監視や解析を行うための機能
ポートミラーリング
サーバでミラーパケットを受信するためにサーバ自身のMACアドレス宛ではないフレームも受信するインタフェース設定
プロミスキャスモード
プロミスキャスモードとは、ネットワークインターフェイスカード(NIC)が自分宛でないすべてのフレームを受信するモードです。通常、NICは自分に宛てられたフレームのみを処理し、それ以外のフレームは無視しますが、プロミスキャスモードを有効にすると、ネットワーク上のすべてのフレームを受信し、これらのフレームを解析するために使用されます。
午後1-2 IPsec
クラウドサービス利用増加やテレワークの導入に伴い、セキュアゲートウェイサービスを採用した題材
本社及び営業所のIPsecルータは、LAN及びインターネットのそれぞれでデフォルトルートを使用するために、VRF(Virtual Routing and Forwarding)を利用して二つの〇〇テーブルを保持し、経路情報をVRFの識別子によって識別する。
ルーティング
VRF(Virtual Routing and Forwarding)とは、1つの物理ルーターの中に複数の仮想ルーターを作成し、独立したルーティングテーブルを持たせる技術です。
ルーティングの再配布とは
異なるルーティングプロトコルを使用する異なるネットワーク間で経路情報を交換すること
本社のIPsecルータには、営業所のIPsecルータとIPsec VPNを確立するために、静的なデフォルトルートを設定している。本社のIPsecルータには固定のグローバルIPアドレス、営業所のIPsecルータにはISPから動的なIPアドレスが割り当てられる。デフォルトルートが必要になる理由。
ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから
ISPが割り当てる営業所のIPsecルータのIPアドレスが動的であるため、静的経路制御(スタティックルート)では対応できません。そのため、静的なデフォルトルートを設定するのが適切です。
IPsecによる暗号化通信で使用され、通信内容であるペイロードを暗号化するプロトコル
ESP (Encapsulating Security Payload)
IPsecのポリシーや暗号方式のネゴシエーション、鍵交換、相互認証に用いられる鍵交換プロトコル
IKE(Internet Key Exchange)
IKEv2による鍵交換で利用されるSA(セキュリティ アソシエーション)の名称を2つ
IKE SA、Child SA
IKEv1による鍵交換で利用されるSA(セキュリティ アソシエーション)の名称を2つ
ISAKMP SA、IPsec SA
IKEで利用される、共通鍵を生成するためのパラメータ(公開鍵など)を盗聴されても安全を確保できる鍵交換アルゴリズム
Diffie-Hellman鍵交換、Diffie-Hellmanアルゴリズム
Diffie-Hellman鍵交換のDiffie-Hellmanグループ番号は何を定めているものか。
鍵長
番号が大きいグループほど安全性が高くなりますが、鍵の計算に時間がかかります。
IPsecで、元のIPヘッダは変更せずに、データ部(ペイロード)のみを暗号化できるモード
トランスポートモード
IPsecで、IPパケット全体を暗号化し、新しいIPヘッダを追加するモード
トンネルモード
IPsec VPNには、IKEバージョン2と、ESPのプロトコルを用いる。新IPsecルータ及びTPCとPOPは、〇〇を確立するために必要な、暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム及びDiffie-Hellmanグループ番号を、ネゴシエーションして決定し、〇〇を確立する。(〇〇は同一)
IKE SA
IPsec VPNには、IKEバージョン2と、ESPのプロトコルを用いる。新IPsecルータ及びTPCとPOPは、IKE SAを確立するために必要な、暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム及びDiffie-Hellmanグループ番号を、ネゴシエーションして決定し、IKE SAを確立する。次に、新IPsecルータ及びTPCとPOPは、認証及び〇〇を確立するために必要な情報を、IKE SAを介してネゴシエーションして決定し、〇〇を確立する。(〇〇は同一)
Child SA
新IPsecルータ及びTPCは、IPsec VPNを介して転送される必要があるパケットを、長さを調整するESPトレーラを付加して〇〇化する。
暗号
トンネルモードの場合、新しい〇〇ヘッダと、IKEバージョン2の〇〇SAを識別するためのESPヘッダ及びESP認証データを付加して、POP宛てに送信する。(〇〇は異なる)
IP、Child
トンネルモードでは、元のIPパケットを暗号化し、新たなIPヘッダを追加することで、元のパケットの送信元と宛先を隠蔽します。
受信側では、ESPヘッダ内のChild SA情報を参照して適切な鍵とポリシーを用いて暗号化されたパケットを復号します。その後、元のIPパケットが取り出され、最終的な宛先へと転送されます。
IKEバージョン2を利用したIPsec VPNを確立できない場合に、失敗しているネゴシエーションを特定するために、何の状態を確認すべきか。確認すべき内容を2つ。
IKE SA、Child SA
P社営業支援サービスへの接続を許可するIPアドレスには、Q社セキュアゲートウェイサービスのFW機能でのNAPTのために、Q社セキュアゲートウェイサービスから割当てを受けた固定のグローバルIPアドレスを設定する。Q社セキュアゲートウェイサービスがN社以外にも提供されていると考えて、NAPTのためにQ社セキュアゲートウェイサービスから割当てを受けたグローバルIPアドレスのサービス仕様を、Q社に確認した。
情報セキュリティの観点で確認した内容。
N社専用のIPアドレスであること
セキュアゲートウェイサービスを介した構成になると、Webサービスの応答時間が、セキュアゲートウェイサービスを介さない場合よりも長くなると考えられる。その要因。
セキュアゲートウェイサービスの経由によって発生する遅延
セキュアゲートウェイサービスを経由するため、経路が長くなり、サービス内で遅延が発生しやすくなります。(採点講評より)
午後1-3 DNS
PCには、プロキシ設定でプロキシサーバのFQDNが登録されているが、業務サーバ及び営業支援サーバへのアクセスは、プロキシサーバを経由せずWebブラウザから直接行う。そのため、業務サーバと営業支援サーバのFQDNを〇〇に登録する。
プロキシ例外リスト
プロキシ例外リストとは、ブラウザなどで定義される、プロキシサーバーを経由しないで直接アクセスするべきホスト名やドメインのリストのことです。このリストに含まれる宛先へのアクセス時には、設定されたプロキシサーバーを介さずに直接通信します。
DHCPサーバは、PC(DHCPクライアント)にIPアドレス、サブネットマスク、〇〇のIPアドレス、DNSサーバのIPアドレス、IPアドレスのリース時間の設定などのネットワーク情報が付与される。
デフォルトゲートウェイ
本文では、DHCPサーバがデフォルトゲートウェイとDNSサーバのIPアドレスを付与する旨が出題されました。
プロトコル/ポート番号がUDPまたはTCP/53の通信
DNS
プロトコル/ポート番号がTCP/443の通信
HTTPS
プロトコル/ポート番号がTCP/80
HTTP
外部DNSサーバは、DMZのゾーン情報の管理及びフルサービスリゾルバの機能を持っている。外部DNSサーバは、〇〇攻撃を防ぐために、社外からの再帰問合せ要求は受け付けない。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、DNSキャッシュサーバーに攻撃者が偽装したDNS応答を送信することで、レコード情報を上書きする攻撃手法です。
攻撃者が送信したDNS応答が、正規の権威DNSサーバーからの応答よりも早く到達すれば、DNSキャッシュサーバーは不正なDNS応答をキャッシュしてしまいます。
社外からの再帰問い合わせ要求を受け付けてしまうDNSサーバーの名称。
オープンリゾルバ
DNSクエリに対して、要求されたドメイン名の解決を誰にでも応答する設定になっているオープンリゾルバは、DNSリフレクション攻撃やDNSキャッシュポイズニング攻撃に悪用されやすいです。
DNSリフレクション攻撃では、攻撃者は偽装したIPアドレスで大量のDNS問い合わせをオープンリゾルバに送信します。オープンリゾルバからの応答は、その偽装したIPアドレスに向けて送られ、結果としてそのIPアドレスを持つターゲットが大量の不要なトラフィックで過負荷になります。
DNSキャッシュポイズニング攻撃では、攻撃者が偽のDNSデータをオープンリゾルバのキャッシュに注入しようと試みます。成功すると、オープンリゾルバは不正な情報を含むDNS応答をキャッシュし、その後のクエリに対して誤った応答を返すようになります。これにより、ユーザーが意図しないサイトへ誘導される可能性があります。
そのため、本問の外部DNSサーバは社外からの再帰問い合わせ要求を受け付けない設定と、社内DNSサーバ及びDMZのサーバからの再帰問い合わせ要求のみに制限する設定を行っていました。
外部DNSサーバは、DMZのゾーン情報の管理及びフルサービスリゾルバの機能をもっている。外部DNSサーバは、社外からの再帰問合せ要求は受け付けない。一方、社内DNSサーバ及びDMZのサーバからの再帰問合せ要求は受け付け、再帰問合せ時には、送信元ポート番号の〇〇化を行う。
ランダム
DNSキャッシュサーバーが権威DNSサーバーに問い合わせを行う際に、送信元のポート番号をランダムに変化させることをソースポートランダマイゼーションと言います。
送信元ポート番号を一定(例えば毎回50000)に設定すると、攻撃者はそのポート番号に偽のDNS応答を送ることが容易になります。ソースポートランダマイゼーションを使用することで、DNSクエリの送信元ポートは毎回異なる値(例えば50000、60000、55000など)になり、攻撃者が応答の宛先ポートを正確に予測することが困難になります。
スタブリゾルバがDNSキャッシュサーバに最終的な応答であるIPアドレスを要求し、DNSキャッシュサーバが最終的な答えをスタブリゾルバに返すプロセス
再帰的問い合わせ
スタブリゾルバから問い合わせを受けたDNSキャッシュサーバが、階層構造に沿って他の権威DNSサーバに問い合わせるプロセス
非再帰的問い合わせ
DNSキャッシュサーバが非再帰的問い合わせを繰り返して最終的な応答を得るプロセス
反復問い合わせ
ケルベロス認証では、〇〇暗号方式による認証及びデータの暗号化を行っている。
共通鍵
ケルベロス認証サービスのポート番号
88番(TCPまたはUDP)
ケルベロス認証で利用されるTGT、ST、デジタル証明書などの有効期限を正しく判断するため、PCとサーバで行うべきネットワーク設定
NTPによる時刻同期
時刻同期を行うことで、指定時間に特定のサービスを動作・処理する、ログを記録する、証明書認証など正常に行うことが可能です。
ケルベロス認証で利用が推奨されているDNSリソースレコードで、サービスが稼働するホスト名などの情報を指定するDNSリソースレコード
SRVレコード
DNSレコードがキャッシュされる期間を秒数で指定する値
TTL(Time To Live)
1つのドメイン名に対して複数のIPアドレスを関連付け、クライアントからの問い合わせの度に、IPアドレスを順番に返すことで負荷を分散する手法
DNSラウンドロビン
午後2-1 SSL-VPN
テレワーク導入に伴うSSL-VPN環境の構築が題材
TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び〇〇である。
改ざん検知
SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、〇〇方式の3方式がある。
L2フォワーディング
SSL-VPNの方式の1つで、クライアントPCにJavaアプレットなどのVPN通信モジュールをインストールし、事前にサーバのIPアドレスとポート番号を静的に定義することで必要なアプリケーションのみVPN接続できる方法
ポートフォワーディング方式
ポートフォワーディング方式のSSL-VPNは、TCP又はUDPの〇〇へのアクセスを可能にする。
ポート
〇〇方式のSSL-VPNは、動的にポート番号が変わるアプリケーションプログラムでも社内のノードへのアクセスを可能にする。PCに、SSL-VPN接続を行うためのクライアントソフトウェアモジュール(SSL-VPNクライアント)が必要である。
L2フォワーディング
認証局(CA)に発行された電子証明書に含まれているのは、証明対象を識別する情報(Subjectフィールド)、有効期限、〇〇鍵、シリアル番号、CAのデジタル署名などが含まれる。
公開
SSL-VPN装置がRDPのみ利用する場合に最適なSSL-VPN方式
ポートフォワーディング方式
TLS1.3では〇〇暗号利用モードの利用が必須となっており、セキュリティに関する二つの処理が同時に行われる。
AEAD(Authenticated Encryption with Associated Data)
TLS1.3ではAEADの利用が必須であり、〇〇と〇〇の2つの処理が同時に行われる。
暗号化、メッセージ認証
仮想PCへのアクセスのプロトコルはRDPとし、TCPの〇〇番ポートを利用する。
3389
電子証明書において識別用情報を示すフィールド
Subject(サブジェクト)
クライアントがサーバーに対して自身の身元を証明するために使用されるデジタル証明書
クライアント証明書
Webサーバーが自身の身元をブラウザや他のクライアントに証明するために使用されるデジタル証明書
サーバ証明書
クライアント証明書で送信元の身元を一意に特定できる理由
クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないから
認証局が自ら署名して作成した自己署名証明書であり、中間CA証明書やサーバー証明書などの下位の証明書を発行するための信頼の起点となり、認証局の中でも最上位に位置する認証局の証明書
認証局(CA)のルート証明書
サーバから送られたサーバ証明書を検証することにより、クライアントが低減できるリスク
なりすまされたサーバへ接続してしまうリスク
サーバ証明書を検証する際に〇〇フィールドと接続先の〇〇が一致することを確認する。〇〇は別々
SAN(Subject Alternative Name)もしくはCN(Common Name)、FQDN
TLS 1.3のハンドシェイクで、クライアント証明書とサーバ証明書を送信するためのメッセージ
Certificate
TLS1.3のハンドシェイクの確立手順は以下の通りです。
- クライアントがサーバーに接続要求を送信(Client-Hello)
- サーバーが暗号スイート、DH鍵交換の鍵共有データなどを決定(Server-Hello)
- サーバがクライアントに鍵交換、署名、暗号化アルゴリズムに関する情報を送信(Encrypted Extensions)
- サーバがクライアントにクライアント証明書を要求する(Certificate Request、任意)
- サーバがクライアントにサーバ証明書を送信する(Certificate)
- サーバがクライアントにサーバ証明書の署名データを送信する(Certificate Verify)
- サーバがクライアントにメッセージ送信が終了したことを通知する(Finished)
- クライアントがサーバにクライアント証明書を送信する(Client Certificate、任意)
- クライアントがサーバにクライアント証明書の署名データを送信する(Client Certificate Verify、任意)
- クライアントがサーバにメッセージ送信が終了したことを通知する(Finished)
- 以降、通信は暗号化された状態で行われる
TLSプロトコルにおける鍵交換の方式には、クライアント側でランダムな〇〇を生成して、サーバのRSA〇〇鍵で暗号化してサーバに送付することで共通鍵の共有を実現する、RSA鍵交換方式があるが、TLS1.3以降では利用できなくなっている。
プリマスタシークレット、公開
RSA鍵交換方式では、プリマスタシークレットを公開鍵で暗号化してやりとりし、マスタシークレットを生成します。そして、そのマスタシークレットから共通鍵(セッションキー)を生成します。
TLS1.3で規定されている鍵交換方式は、〇〇、ECDHE、PSKの3方式である。
DHE
TLS1.3で利用される鍵交換方式のDHEとECDHEが担保し、暗号化鍵の共有に使われている秘密鍵が漏えいしたとしても、過去に暗号化された通信データは解読されないという鍵交換プロトコルに求められる性質
前方秘匿性
DHE(Diffie-Hellman Ephemeral)やECDHE(Elliptic Curve Diffie-Hellman Ephemeral)は、公開鍵暗号技術を使用してセッションごとに一時的な鍵(秘密鍵と公開鍵のキーペア)を生成し、それを基に安全な〇〇鍵(セッションキー)を導出し、その〇〇鍵で通信の暗号化と復号化を行います。
共通
認証局(CA)にCSRを提出する時に署名に用いる鍵
秘密鍵
認証局(CA)がCSRの署名の検証に用いる鍵
公開鍵
証明書失効リスト(CRL)とは
有効期限内に失効したディジタル証明書のシリアル番号のリスト
証明書失効リスト(CRL)に含まれる、証明書を一意に識別することができる情報
シリアル番号
OSPFなどで利用される等コストの経路が複数ある場合、すべての通信経路に負荷を分散させる設定
ECMP(Equal Cost Multi Path)
OSPFコストは、〇〇のコスト値の合計で比較され、値が低い経路を優先します。
出力されるインターフェース
ECMPパケットモードはパケットごとに〇〇に経路を選択するゆえに、遅延しパケットの到着順序の逆転が起こりやすい
ランダム
ECMPのフローモードは送信元IPアドレスと宛先IPアドレスから〇〇を計算して経路選択を行うため、パケットの到着順序の逆転が起こりにくい
ハッシュ値
ECMPのフローモードでは、送信元IPアドレスと宛先IPアドレスから計算されるハッシュ値に基づいてルーティング経路が決定されるため、IPアドレスの組み合わせが多ければ多いほど、より均等にトラフィックが分散されます。
ただ、送信元と宛先のIPアドレスの組み合わせが限られている場合、ハッシュ値の偏りが生じやすくなり、一部の経路にトラフィックが集中してしまう可能性もあります。
マスタールータのインターフェースで障害を検知した場合、マスタールータのVRRPの〇〇を下げることでバックアップルータがマスタールータに昇格する。
優先度(プライオリティ)
午後2-2 コンテナ仮想化
ホストサーバでは、サーバ仮想化を実現するためのソフトウェアである〇〇が動作する。
ハイパーバイザー
サーバセグメントでは複数のAPが動作するので、VRRPの識別子としてAPごとに異なる〇〇を割り当てる。
VRID(Virtual Router ID)
VRRPの規格では、最大〇〇組の仮想ルータを構成することができる。
255
DNSレコードの1つで、ドメイン名をIPアドレスに変換するのに利用されるレコードタイプ
Aレコード
2台の仮想サーバを同じホストサーバに収容した場合に起きる問題を可用性確保の観点から答えよ。
ホストサーバが停止した場合、仮想サーバが2台とも停止してしまう
VRRPのマスタールータが停止したとバックアップルータが判定する条件
バックアップルータが、VRRPアドバタイズメントを決められた時間内に受信しなくなった場合
VRRPでマスタールータが停止したとバックアップルータが判定する主な条件は、マスタールータからのVRRPアドバタイズメント(広告)パケットが特定の時間内に受信されないことです。
正答率が低かった。VRRPは可用性確保のためによく利用される技術であり、動作原理について正確に理解してほしい。(採点講評より)
リバースプロキシでは、〇〇ヘッダフィールドを用いてアプリケーションを識別する
ホスト(Host)
リバースプロキシでは、ホストヘッダフィールドを使って、どのアプリケーション宛てのリクエストかを識別します。ホストヘッダはリクエストが送られるサーバーのドメイン名やIPアドレスを含むため、リバースプロキシが複数のサーバーやアプリケーションに対してトラフィックを適切にルーティングするのに役立ちます。
正答率が低かった。HTTPのヘッダフィールド情報のうち、ホストヘッダフィールドを用いてアプリケーションを識別する技術はリバースプロキシでよく利用される。HTTPプロトコルの特徴を踏まえ理解を深めてほしい。(採点講評より)
コンテナサーバ内の仮想ブリッジセグメントには、新たにIPアドレスを付与する必要があるので、プライベートIPアドレスの未使用空間から割り当てる。複数ある全ての仮想ブリッジセグメントには、同じIPアドレスを割り当てる。
複数ある全ての仮想ブリッジセグメントで同じIPアドレスを利用して問題ない理由
外部ではコンテナサーバに付与したIPアドレスが利用されることはないから。
名前空間の機能によって、コンテナはそれぞれ独立したネットワーク環境を持つことができます。このため、異なるコンテナ同士やコンテナとホスト間で同じIPアドレスを設定することが可能です。各コンテナは他のコンテナやホストシステムとは隔離された独自の名前空間内で運用されるため、IPアドレスの衝突が発生することなく、ネットワーク設定を自由に行うことができます。
同じポート番号を使用する専用APが幾つかあるので、これらの専用APに対応できる負荷分散機能を持つ製品が必要になります。どのような仕組みが必要か。
複数のIPアドレスを設定し、IPアドレスごとに専用APを識別する仕組み
同じポート番号を使用している場合、各専用APに異なるIPアドレスを割り当て、それぞれのIPアドレスに基づいてトラフィックを適切なAPへルーティングする仕組みが必要です。
Ping監視は、監視サーバが監視対象の機器に対してICMPのエコー要求(Echo Request)を送信し、一定時間以内に〇〇を受信するかどうかで、IPパケットの到達性があるかどうかを確認する。
エコー応答(Echo Reply)
TCP接続監視では、監視サーバが監視対象の機器に対してSYNパケットを送信し、一定時間以内に〇〇パケット受信するかどうかで、TCPで通信ができるかどうかを確認する。
SYN/ACK
URL接続監視では、監視サーバが監視対象の機器に対してHTTP〇〇メソッドでリソースを要求し、一定時間以内にリソースを取得できるかどうかでHTTPサーバが正常稼働しているかどうかを確認する。
GET
DNSを使用せずに、FQDN(ホスト名)とIPアドレスの対応関係を手動で指定するためのPCのファイル
hostsファイル
DNSのTTLを短くすることによって何がどのように変化するか
DNSキャッシュサーバのキャッシュを保持する時間が短くなる。
APサーバに対するPCからの〇〇がなくなっていることを確認した後に、APサーバを停止する。
アクセス
WebAPコンテナ2台で構成する場合は、次の3パターンそれぞれでAPの動作確認を行います。
①全てのWebAPコンテナが正常に動作している場合
②2台のうち1台目だけWebAPコンテナが停止している場合
③2台目だけWebAPコンテナが停止している場合
3パターンそれぞれでAPの動作確認を行う目的を2つ答えよ。前提として、共用リバースプロキシで各コンテナへの負荷分散が行われている。
①WebAPコンテナ2台が正しく構築されたことを確認するため
②共用リバースプロキシの設定が正しく行われたことを確認するため
各コンテナの正常性確認とリバースプロキシによる負荷分散が正常通り行われることを確認する。
令和3年度(2021年)
午後1-1 運用監視
DHCPサーバは、PC(DHCPクライアント)にIPアドレス、サブネットマスク、デフォルトゲートウェイのIPアドレス、〇〇サーバのIPアドレス、IPアドレスのリース時間の設定などのネットワーク情報が付与される。
DNS(DNSキャッシュ)
令和3年午後1-1では、DHCPサーバがDNSサーバのIPアドレスを付与する旨が出題された。
MACアドレステーブルに宛先MACアドレスが学習されていなかった場合、フレームを受信したポートを除くすべてのポートからフレームを一斉送信する機能
フラッディング
宛先MACアドレスを「FF-FF-FF-FF-FF-FF」にしたフレームを、フレームを受信したポートを除くすべてのポートから同じネットワークセグメント宛に一斉送信する機能
ブロードキャスト
A機器に、B機器をIPアドレスではなくFQDNで設定するメリット
B機器のIPアドレスが変更された場合でもA機器の設定変更が不要になること
HTTPまたはHTTPSプロトコルを利用して、特定のURIにHTTPメソッド(GET、POST、PUT、DELETEなど)を使ってアクセスし、データの送受信を行うAPI
REST API
ローカルエリアネットワークでのネットワークデバイスの自己識別、機能、および隣接関係を広告するために使用されるデータリンク層のプロトコル
LLDP (Link Layer Discovery Protocol)
TCP/IPネットワーク上につながる機器の情報を管理したり、状態を監視したりするために使用されるOSI参照モデルのアプリケーション層のプロトコル
SNMP(Simple Network Management Protocol)
SNMP監視対象の機器が自身の状態や設定についてまとめたデータベース
MIB
情報システム部は、各機器の接続構成が〇〇どおりであることを確認した。
構成図(設計図)
ネットワーク上でパケットが送信元から宛先までの間に通過する各ホップ(ルーターやスイッチなど)のIPアドレスを特定し、経路を追跡するために使用されるコマンド
traceroute
午後1-2 OSPF
全体として正答率が低かったので、再出題の可能性あり。
VPN接続やIPsecプロトコルにおいて、両端点間で秘密情報として共有され、認証プロセスで使用される鍵
事前共有鍵(Pre-Shared Key, PSK)
OSPFは、〇〇型のルーティングプロトコルである。
リンクステート
OSPFで、ルータがOSPFの経路情報を近隣のルータに通知する情報
LSA(Link State Advertisement)
OSPFのルータがLSAで交換したリンク情報をもとに構築するネットワークトポロジのデータベース
LSDB(Link State Database)
すべてのOSPFルータが生成するLSAのタイプ
ルータLSA(Type 1)
OSPF内のDR (Designated Router、代表ルータ) が生成するLSAのタイプ
ネットワークLSA(Type 2)
OSPFのルーティングに使用されるメトリックの一つで、ネットワークの帯域幅に基づいて算出される値
コスト
OSPFエリア内の各ルータは、集められたLSAの情報をもとにして、〇〇アルゴリズムを用いた最短経路計算を行なって、ルーティングテーブルを動的に作成します。
ダイクストラ(SPF)
FWにはインターネットへの静的デフォルト経路を設定しており、全社のOSPFエリアからインターネットへのアクセスを可能にするための設定が行われている。どのような設定か。
OSPFでデフォルトルートを導入する設定、OSPFでデフォルトルートを生成する設定
OSPFでは、デフォルトルート(0.0.0.0/0)は自動的に再配布されないため、特定のOSPFルータ(ASBR、AS境界ルータ)でデフォルトルートを生成し、明示的にOSPFエリア内に広告する必要があります。具体的には、default-information originate コマンドを設定することで、デフォルトルートがOSPFルーティングテーブルにインストールされます。
これにより、OSPFエリア内の全てのルータはデフォルトルートを学習し、インターネット宛てのトラフィックをFWに転送し、FWを経由してインターネットへアクセスできるようになります。
正答率が低かった。OSPFでのデフォルト経路の取扱いは、企業内ネットワークからインターネットを利用するような一般的なネットワーク構成において必要な基本事項なので、よく理解してほしい。(採点講評より)
OSPFの複数の経路情報を一つに集約する機能(経路集約機能)を利用する目的
ルーティングテーブルのサイズを小さくする。
経路集約によりルーティングテーブルのサイズやエントリ数を減らすことでCPUやメモリの負荷を低減できます。
OSPFでエリアを分割するメリット
- LSDBサイズを縮小できる(メモリ負荷の減少)
- SPF計算頻度を減らせる(CPU負荷の減少)
- ルーティングテーブルのサイズ縮小できる(メモリ負荷の減少)
ルーティングループを防ぐために作成し、意図的にルーティングさせることでパケットを破棄できる架空のインターフェース
Null0
OSPFのエリアの種類であり、OSPFで必ず1つは必要なエリア
バックボーンエリア(エリア0)
OSPFのバックボーンエリア(エリア0)に物理的に接続できないエリア同士を論理的に接続するための技術
仮想リンク(バーチャルリンク)
正答率が低かった。OSPF仮想リンクは、初期構築段階では想定外であったネットワーク統合を後から行う場合などに役立つものなので、OSPFネットワーク設計の柔軟性を持するための有用な技術である。その動作原理や活用パターンについて是非理解してほしい。(採点講評より)
OSPFのエリア間で経路集約設定をすべきルータのタイプ。〇〇は複数のOSPFエリアを接続する役割を持ち、異なるエリアからの情報を集約し、他のエリアに対して広告する機能を有する。
ABR(エリア境界ルータ)
正答率が低かった。特に、エリアボーダルータ(ABR)ではないルータを誤って解答する例が多く見られた。OSPFルータの種別とその見分け方、種別ごとの役割と動作を正しく理解した上で、本文中に示されたABRにおけるネットワーク集約に関する記述をきちんと読み取り、正答を導き出してほしい。(採点講評より)
OSPFプロトコルにおいて、異なる自律システム(AS)間のルーティング情報を交換するために設置されるルータのタイプ
ASBR(AS境界ルータ)
AS境界ルータ(ASBR)は、異なるルーティングプロトコルを使用する他のネットワークと接するルータであり、それらのネットワークから学習したルートをOSPFエリア内に再配布する役割を持っています。
午後1-3 QoS
CS-ACELPのビットレートは〇〇kビット/秒
8
音声や動画などのリアルタイムストリームデータを配信するためのデータ通信プロトコル
RTP(Real-time Transport Protocol)
RTP(Real-time Transport Protocol)が利用するトランスポート層のプロトコル
UDP
ToS(Type of Service)フィールドのうち最初の3ビットを使用し、IPパケットにおいて優先度を表すための値
IP Precedence
パケットの優先順位を決定するために使用されるIPヘッダのToSフィールド(6bit)に含まれる値
DSCP(Differentiated Services Code Point)
IP Precedenceは8段階の優先度だが、DSCPは64段階の優先度があり、より細かく柔軟に優先制御できるのが特徴
通信やデータ処理において、データの送信・受信にかかる時間のばらつき
ジッタ(jitter)
一時的にデータを貯蔵するための領域
バッファ
音声パケットをバッファに入れすぎると、〇〇が生じ、音声の途切れや遅れ、品質低下などの問題が発生する。
遅延(レイテンシー)
Ethernetケーブルを通じて電力供給を行う技術
PoE(Power over Ethernet)
最大15.4Wの電力を供給できるPoEの規格
IEEE 802.3af
最大30Wの電力を供給できるPoEの規格
IEEE 802.3at
PoEの給電機能をもつL2SWに、PoE未対応の機器を誤って接続した場合の状態
L2SWからの給電は行われない。
IEEE 802.1QのVLANタグに含まれており、Ethernetフレームのヘッダに付加されるネットワーク通信においてデータの優先度を指定する値
CoS(Class of Service value)
CoS値を基にした優先制御でタグVLANが必要になる理由
VLANタグの中にCoS値のフィールドがあるから、または、フレーム中のタグ情報内の優先ビットを使用するから(IPA公式解答)
トラフィックを優先度ごとに分類し、各優先度に対してウェイト(重み)を設定できるQoS(Quality of Service)アルゴリズム
WRR(Weighted Round Robin)
QoSのトラフィック制御の手法で、指定された帯域幅内に制限されたトラフィックを認め、帯域外のトラフィックを廃棄することでトラフィックの流量を制御する手法
ポリシング
QoSのトラフィック制御の手法で、指定された帯域幅内でトラフィックを制御し、トラフィックを緩やかに遅延させ、一定の帯域幅で送信することで、トラフィックのバーストを抑制する手法
シェーピング
午後2-1 STP・RSTP・LAG・スタック・DHCP
全体として、正答率は低かった(採点講評より)
PC及びサーバから送信されたドメインに関する名前解決要求を、フルサービスリゾルバに転送するサーバ
DNSフォワーダ
VRRPでマスタルータにするには、〇〇を大きく設定する。
プライオリティ値(優先度)
SW同士に同じブリッジプライオリティ値を設定した場合に、SWはブリッジIDの何を比較してルートブリッジを決定するか。
MACアドレス
ルートブリッジであるSWでは、すべてのポートが〇〇ポートとなる。
指定
STPのネットワークでトポロジの変更が必要になると、SWはポートの状態遷移を開始し、〇〇テーブルをクリアする
MACアドレス
STPをRSTPに変更することで、SWに障害が発生した時の、トポロジの再構成にかかる時間を短縮できる理由を2つ
- ポート故障時の代替ポートを事前に決定しているから
- 転送遅延がなく、ポートの状態遷移を行うから
スイッチのスタック機能を用いることで運用負荷を軽減できる理由
2台のスイッチを1台のスイッチとして管理できるから
STP及びRSTPを不要にしている技術を2つ。
スタック、リンクアグリゲーション
DHCP DISCOVERメッセージのgiaddrフィールド値を何のために使用するか。
PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
午後2-2 BGP
利用状況の調査を目的として、単位時間あたりの通信量(ビット/秒)を求める際に時間平均することによる問題点
取得間隔の間で発生したバースト通信がわからなくなる
BGPパスアトリビュートのAS_PATHで、隣接するASから経路情報を受信する際に、自身のAS番号が含まれている場合はその経路情報を破棄する目的
経路のループを回避するため
BGPパスアトリビュートのひとつで、経路情報がどのASを経由してきたのかAS番号を示す属性
AS_PATH
BGPパスアトリビュートのひとつで、次のホップとなるルーターの IP アドレスを示す属性
NEXT_HOP
BGPパスアトリビュートのひとつで、eBGPピアに対して通知し、自身のAS内に存在する宛先ネットワークアドレスの優先度を示す属性
MED (Multi-Exit Discriminator)
BGPパスアトリビュートのひとつで、iBGPピアに対して通知し、外部のASに存在する宛先ネットワークアドレスの優先度を示す属性
LOCAL_PREF
LOCAL_PREFの値が最も〇〇経路情報を選択する。
大きい
AS_PATHの長さが最も〇〇経路情報を選択する。
短い
MEDの値が最も〇〇経路情報を選択する。
小さい
BGPでは、接続が有効であることを確認するために、一定間隔で〇〇を交換し、一定時間応答がない場合は接続が切断され、AS内の各機器の経路情報が更新されます。
キープアライブメッセージ
BGPでトラフィックを分散する経路制御はできない理由、標準仕様
BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映するから。
静的経路の削除が行われた時点で、動的経路(BGPやOSPFなど)による制御に切り替えが行われる理由
BGPやOSPFなどの経路情報よりも静的経路設定の経路情報の方が優先されるから。
eBGPピアをはった機器同士の片方を機器交換する際に、インターネット利用に対する影響が最小限になるよう、交換機器で設定すべき変更内容
eBGPピアを無効にする設定
物理的に存在しないためルーターに問題が生じてもアドレスを再設定する必要がなくなる、BGPルータに一般的に設定されるアドレス
ループバックアドレス
令和元年度(2019年)
午後1-1 LAG・監視(SNMP)
冗長経路接続のためのルーティングプロトコルで、パスベクトル型ルーティングプロトコル
BGP(BGP-4)
OSPFのエリアの種類であり、OSPFで必ず1つは必要なエリア
バックボーンエリア
VRRPのマスタールータが故障した際に、新しくマスタールータになる機器が隣接機器のMACアドレステーブルを更新するためにブロードキャストする通信の名称
GARP(Gratuitous ARP)
VRRPアドバタイズメントの通信の種類
マルチキャスト通信(224.0.0.18)
ポートVLANとタグVLANの違い
ポートVLANは物理ポートごとにVLANを割り当てる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
リンクアグリゲーション(LAG)のメリットを3つ
リンクの冗長化
帯域の拡張
負荷分散
M/C(メディアコンバータ)を介したLAG構成における、LACPを利用するメリット
リンクダウンを伴わない障害発生時に、LAGのメンバから故障回線を自動で除外できること
LAGの2本の回線のうち1本が切れた場合に、懸念される問題点は何か
トラフィックが輻輳し、パケットが廃棄されてしまうこと
LAGの負荷分散は何によって決定されるか
ハッシュ関数
LAGの負荷分散で、送信元MACアドレスと宛先MACアドレスの組み合わせでハッシュ関数を作成した場合、負荷分散がうまくいかないのはなぜか。
通信の送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから
IPアドレスによる死活監視を行うPingで利用されるプロトコル名
ICMP(Internet Control Message Protocol)
SNMPエージェントがSNMPマネージャーに送信する状態変更通知の名称
SNMP trap(SNMPトラップ)
SNMPマネージャーがSNMPエージェントから取得する管理情報ベースの名称
MIB(Management information base)
SNMPの監視方法の1つで、トラフィック量を把握するのに適切な監視方法
SNMP ポーリング
マルチホーム接続とは何か
冗長性確保や負荷分散の目的で、2つ以上の上流接続(トランジット)を持つこと
午後1-2 負荷分散
全体として、正答率は低かった(採点講評より)
プロキシやLBを通過する際に、元のクライアントのIPアドレスを識別するために使用されるHTTPリクエストヘッダー
XFF(X-Forwarded-For)ヘッダ
あるドメイン名を別のドメイン名にエイリアスとして割り当てるために使用されるDNSレコード
CNAME
DNSのリソースレコードの値、リソースの中身となる部分の名称
RDATA
LBのHTTPリクエスト振り分け機能のラウンドロビンでの負荷分散の方法
順番にHTTPリクエストを振り分ける
LBの死活監視で、HTTPリクエストを監視する際のポート番号
80番
HTTPレスポンス時のステータスコード
200
LBのセッションIDに基づいて行うセッション維持(パーシステンス)方式では、WebサーバとWebブラウザ間で状態を管理するために用いられるCookieを利用する。LBは、HTTPレスポンスの〇〇ヘッダフィールドにセッションIDを追加する。
Set-Cookie
HTTPレスポンスを受け取った利用者のWebブラウザは、Set-CookieヘッダフィールドにあるセッションIDを、次に送信する〇〇ヘッダフィールドに追加する。
Cookie
LBのセッション維持機能で、HTTPリクエストの送信元IPアドレスに基づいて行う場合の問題点
送信元IPアドレスの数が少ないと負荷が偏る
TLSの暗号化・復号処理、HTTPヘッダを編集する処理を専用ハードウェアで高速に処理する機能
TLSアクセラレーション
クライアントからWebサーバへのアクセスログとしてLBでアクセス時の送信元IPアドレスを記録したい。どのような設定をする必要があるか。
XFFを有効化し、クライアントからのHTTPリクエストの送信元IPアドレスをXFFヘッダに追加する設定
午後1-3 DHCP・ARPスプーフィング
ネットワーク内のデバイスが自動的にIPアドレスを取得し、サブネットマスク、ゲートウェイアドレス、DNSサーバー情報などのネットワーク設定を受けるために使用されるプロトコル
DHCP(Dynamic Host Configuration Protocol)
DHCPで利用されるトランスポート層のプロトコル
UDP
DHCPの4つの手順
- DHCP Discover
- DHCP Offer
- DHCP Request
- DHCP Ack
DHCPサーバーと異なるサブネットに位置するクライアントのDHCPメッセージを中継する機能
DHCPリレーエージェント
DHCPリレーエージェントを実装したL3SWではブロードキャスト通信を〇〇通信に変換することで、セグメントをまたいだDHCPサーバに通信できる
ユニキャスト
不正なDHCPサーバからのトラフィックを検出・遮断し、信頼できるポートからのDHCP Offerのみを許可するセキュリティ機能
DHCPスヌーピング
L2SWでDHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定。そのポートを経由して、DHCPサーバとの通信を行う。
DHCPスヌーピングの制限を受けない設定。
具体的には、正当なDHCPサーバとの通信で利用するポートをtrustedポート(DHCPサーバからの応答を受信できるポート。信頼されたポート)に設定。そのポートを経由したDHCPメッセージのみが信頼できるものになる。
デバイスのIPアドレスを基にその物理的なMACアドレスを特定するために使用されるプロトコル
ARP(Address Resolution Protocol)
ネットワーク上で偽のARPリプライメッセージを送信し、他のデバイスのIPアドレスと関連付けられたMACアドレスを不正に変更することで、データの中継者となる攻撃手法
ARPスプーフィング
午後2-1 SIP
TCP(UDP)/IPパケットに含まれるIPアドレスとポート番号を、別のIPアドレスとポート番号に変換する技術
NAPT(Network Address Port Translation)
デジタル音声データをIPパケットに変換して、IPネットワークを通じて送受信できるPBX(アナログ電話交換機)
IP-PBX
音声やビデオ、メッセージングなどのセッションの確立、維持、終了のための信号を交換するために使用されるプロトコル
SIP(Session Initiation Protocol)
SIPユーザーエージェントがSIPサーバーに対して自分自身のIPアドレスや位置情報を登録するためのSIPメソッド
SIP REGISTER
SIPセッションを開始するために使用され、通話の開始、転送、通話の終了などのシグナリングを実現するSIPメソッド
SIP INVITE
ハッシュ関数で暗号化された値を使用してクライアントの認証を行うHTTP認証
ダイジェスト認証
HTTPリクエストが成功し、レスポンスとして要求されたリソースが正常に取得されたことを示すステータスコード
200 OK
リアルタイムに音声や動画などのデータストリームを配送するための通信プロトコル
RTP(Real-time Transport Protocol)
IP-VPNに代表されるキャリアの閉域網で利用され、ラベルというヘッダ情報を付加して、高速なスイッチング処理ができる技術
MPLS(Multiprotocol Label Switching)
ネットワーク構成の一種で、すべてのノードが互いに直接接続されている構成
フルメッシュ構成
通話中の電話を別の電話機に転送する操作
保留転送
相手の電話機を保留状態にするなど既に確立されたSIPセッションを再調整するために使用されるSIPメソッドの1つ
re-INVITE
セッション開始前に交換され、音声やビデオなどのメディア形式、送信元/受信先のIPアドレス、ポート番号、ネットワークプロトコルなど通信セッションの情報を記述するプロトコル
SDP(Session Description Protocol)
午後2-2 セキュリティ
ネットワーク上のデバイスのIPアドレスを探索する目的で利用されるスキャン名
アドレススキャン(ホストスキャン)
ネットワーク上のコンピュータやサーバーに対して、利用できるポートを探索する目的で利用されるスキャン名
ポートスキャン
攻撃者が攻撃対象のIPアドレスになりすまし、大量のPing(ICMP request)をネットワーク機器に送りつけ、大量のPing応答が攻撃対象のIPアドレスに返ってくることを利用したDoS攻撃
スマーフ攻撃(Smurf Attack)
UDPの特徴であるコネクションレスを悪用して、Ping(ICMP request)で非常に大きなサイズのUDPパケットを大量に攻撃対象に送りつけたり、特定のアプリケーションポートをダウンさせるDoS攻撃の一種
UDP flood攻撃
ポート番号TCP/25を使用するプロトコル
SMTP(Simple Mail Transfer Protocol)
フルリゾルバとは
クライアントからのDNSクエリに対して、ドメイン名からIPアドレスへの名前解決を行う機能を備えたDNSサーバ
ポート番号UDP/53とTCP/53を使用するプロトコル
DNS
コンテンツサーバ(権威サーバ)が管理するゾーンの情報を冗長化する目的で、他のDNSサーバにコピーすること
ゾーン転送
ゾーン転送する転送元のDNSサーバと転送先のDNSサーバの名称
転送元のDNSサーバをマスターサーバ、転送先のDNSサーバはスレーブサーバ(セカンダリーサーバ)
uRPFとは
ルータが受信したパケットのIPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを廃棄するフィルタリング技術
uRPFで、ルーティングテーブルのみを参照して、送信元IPアドレスが確認できなかったら破棄するモード
looseモード
uRPFで、ルーティングテーブルとパケットの流入インタフェースが完全に一致していなかったら破棄するモード
strictモード
α.β.γ.0/28のセグメントのブロードキャストアドレス
α.β.γ.15
プレフィックスが/28なので、サブネットマスクは255.255.255.240。サブネットマスクからIPアドレスの総数は15で、セグメントの最後の数がブロードキャストアドレスになるため、α.β.γ.15がブロードキャストアドレス
3ウェイハンドシェイク(3-way handshake)による接続確立が行われるトランスポート層のプロトコル
TCP
3ウェイハンドシェイク(3-way handshake)でおこなわれる3つの手順
- SYN
- SYN/ACK
- ACK
SYNでは、送信者が〇〇番号をランダムに決めて、受信者に送信する(例:100)
シーケンス
SYN/ACKでは、受信者がシーケンス番号をランダムに決めて、送信者に返信する(例:200)
SYN/ACKでは、受信者がSYNで受け取ったシーケンス番号(100)に1を加えた〇〇番号(101)を送信者に返信する
確認応答
ACKでは、送信者がSYN/ACKで受け取ったシーケンス番号(200)に〇〇を加えた確認応答番号(〇〇)を受信者に返信し、受信側でチェックして確認応答番号の値が一致すればコネクションが確立される。
1、201
DNSキャッシュポイズニング対策として、利用されるソースポートランダマイゼーション(ソースポートランダム化)の内容
DNSサーバの送信元ポート番号をランダム化する
C&CサーバのIPアドレスを隠蔽するために利用される手法
Fast Flux
C&Cサーバのドメイン名を隠蔽するために利用される手法
Domain Flux
平成30年度(2018年)
午後1-1 SD-WAN・プロキシ
プロキシサーバの1つで、社内に対して、アクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で利用されるプロキシ
フォワードプロキシ
プロキシサーバの1つで、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、および複数のサーバでの負荷分散を行う目的で利用されるプロキシ
リバースプロキシ
HTTPSでアクセスするためのHTTPプロトコルのメソッド名
CONNECTメソッド
CONNECTメソッドを用いる場合、社内に侵入したマルウェアによる通信(ただし、HTTPS以外の通信)を遮断するためのプロキシサーバでの対策
HTTPS以外のポートのCONNECTを拒否する。
プロキシサーバでHTTPSのアクセスログを確認したところ、アクセス先のホスト名は記録されていたが、URLは記録されていなかった。その理由とアクセス先のURLを把握するために行うべき設定
URLはHTTPSで暗号化されているから。
そのため、プロキシサーバで暗号化通信を一旦復号し、URLを確認した上で、再度暗号化を行う設定。
プロキシサーバでHTTPSの復号・暗号化処理を行う場合、PCでエラーメッセージ「証明書が信頼できない」と表示される。この際にPCにインストールすべきもの。
プロキシサーバのルート証明書
SDNは、利用者の通信トラフィックを転送する〇〇プレーンと、通信装置を集中制御する〇〇プレーンのソフトウェアでデータ転送を制御する方式である。
データ、コントロール
午後1-2 監視(SNMP)
Pingで利用されるプロトコル
ICMP(Internet Control Message Protocol)
Ping監視で、echo requestパケットの宛先として、監視対象機器に設定すべきものは何か。
IPアドレス
Syslogで一般的に利用されるトランスポートプロトコルは何か。
UDP
SNMPエージェントとSNMPマネージャーは機器の管理情報(MIB)を共有する。その際の同じグループを表す名称
コミュニティ
VRRPが冗長化している対象は何か
デフォルトゲートウェイ
VRRPで、バックアップルータはあるメッセージを受信しなくなった時にマスタルータに切り替わる。このVRRPのメッセージ名
VRRPアドバタイズメント
IEEE802.1Dで規定されている、レイヤ2ネットワークのループを防止するプロトコル
STP(Spanning Tree Protocol)
STP(Spanning Tree Protocol)を有効にしているL2SWでやりとりされる制御フレームの名称
BPDU(Bridge Protocol Data Unit)
STPを有効にしたL2SW間で、ルートブリッジは何によって決まるか
ブリッジID。ブリッジIDが最も小さいとそのSWはルートブリッジに選出される。
ブリッジIDを構成する2点の情報の名称
ブリッジプライオリティ(先に値が比較される)とMACアドレス
ブリッジプライオリティの値がさきにL2SW間で比較される。この値が同じだった場合、MACアドレスを比較する。それぞれ値が低いほど優先度が高いブリッジIDとなり、そのL2SWはルートブリッジに選出される。
STPのポート状態の遷移順番
- ブロッキング(BPDU受信待ち続ける、最大20秒で次に遷移)
- リスニング(転送遅延で15秒後、次に遷移)
- ラーニング(転送遅延で15秒後、次に遷移)
- フォワーディング
STPで安定した状態に収束する(コンバージェンス)までに、最短30秒、最長50秒かかってしまう。STPのデメリット。
L2SWの正方形のループ構成でSTPを有効していた。その構成でケーブルが断線した。それを検知したL2SWがSyslogメッセージを監視サーバに送信したが、届かなかった。原因は何か。監視サーバへの経路はL2SWのループ構成を経由するものとする。
スパニングツリーが再構築中だったから。SyslogメッセージはUDPで送信されるが到達性は保証されていない。そのため、STPが再構築中にそのメッセージが破棄される。
SNMPマネージャーが、SNMPエージェントに対して、5分ごとといった定期的にMIBの問い合わせを行い、機器の状態を把握する。この機能の名称。
SNMPポーリング
MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーがメッセージを受信することで機器の状態を把握することができる。この機能の名称。
SNMPトラップ
SNMPポーリングの懸念点
SNMPポーリングは5分ごとなど定期的に状態を取得するので多くの場合異常検知が遅れる可能性があること。
SNMPポーリングで取得する最適な間隔は監視環境によって異なる。(監視対象の数、回線速度、監視項目の数、監視項目の内容など)
SNMPトラップの懸念点
SNMPトラップはUDP(162番ポート)が使われ、到達確認がないのでメッセージが失われる可能性がある。
ちなみにSNMPポーリングはUDPの161番ポートが使われる。TCPだとSNMPエージェントがSNMPマネージャーと確立するコネクションの数が多く、やりとりするデータ量も増えるため負荷が大きい。
SNMPインフォームとは
MIBに変化が起きた際に、SNMPエージェントが直ちにメッセージを送信し、SNMPマネージャーからの確認応答を待つ。確認応答を受信できない場合、SNMPエージェントは、SNMPマネージャーがメッセージを受信しなかったと判断し、メッセージの再送信を行う機能。
平成30年午後1-2の問題では、SNMPエージェントでスパンニングツリーが再構築するまでにインフォームの再送信を繰り返す設定をすることによって、Syslogメッセージを監視サーバに高い確率で送信できるようになった。
午後1-3 IP-VPN・インターネットVPN
事業者閉域IP網内で複数の利用者のトラフィックを中継するのに利用されるIP-VPNのパケット転送技術の名称
MPLS(Multi-Protocol Label Switching)
MPLSで用いられる固定長(4byte)のタグ情報の名称
ラベル
事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的
利用者ごとのトラフィックを区別するため
暗号技術を利用してノード間通信を行い、IPパケット通信の完全性・機密性を確保するインターネットVPNで利用されるプロトコルの名称
IPsec(Security Architecture for Internet Protocol)
IPsecはOSI基本参照モデルのどのレイヤで動作するか。
ネットワーク層(第3層)
OSPFネットワーク内のIPsecトンネル上で、GRE over IPsecを利用する目的
OSPFのマルチキャスト通信を通すため
ルータやL3SWが複数のルーティングプロトコルから得た同一宛先への異なる経路情報から、適切な経路を選択する際に利用される値の名称。
アドミニストレーティブディスタンス(AD)
OSPFと外部BGPで同じ宛先に関するルート情報を得た。アドミニストレーティブディスタンス(AD)値を利用して経路を決める場合、どちらが優先されるか。またそれぞれのADの値。
BGP(外部)が優先される。
BGP(外部)のADは20。OSPFのADは110。ADは低い値の方が優先されるのでBGP(外部)が最適経路として優先される。
フルメッシュ構成のIPsecトンネルのネットワーク構成に、追加拠点向けIPsecトンネルを手動で追加するネットワーク拡張方式は望ましくない。その理由。
新拠点追加のときに全拠点の設定変更が必要になるから
ハブアンドスポーク型のVPNで、スポーク同士の通信時にIPsecトンネルを動的(オンデマンド)に確立する機能の名称
DMVPN (Dynamic Multipoint VPN)
ハブアンドスポーク型のVPNで、スポーク同士の通信を行いたい。IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用されるプロトコル
NHRP(Next Hop Resolution Protocol)
OSPFで代表ルータに選出されないようにする設定
OSPFのプライオリティを0に設定する
平成29年度(2017年)
午後1-1 SSL-VPN
SSL-VPNで利用が推奨されるTLSのバージョン
1.2または1.3
TLSのバージョン1.0、1.1が推奨されない理由
十分な安全性を確保されていないハッシュアルゴリズムであるMD5、SHA-1を利用しているから
SSL/TLSのハンドシェイク手順で、SSL/TLSを開設時にクライアント側、サーバ側からそれぞれ送られるメッセージの名称
クライアント側はClient Hello、サーバ側はServer Hello
SSL/TLSで2種類の暗号アルゴリズム(公開鍵暗号のRSAなど)と1種類のハッシュアルゴリズム(SHA-256など)が利用される。それぞれの用途。
暗号アルゴリズムは鍵交換、認証
ハッシュアルゴリズムはメッセージ認証(またはデータの改ざん検知)
SSL-VPNの基本動作3つ
- リバースプロキシ
- ポートフォワーディング
- L2フォワーディング
SSL-VPNのL2ポートフォワーディングでクライアント端末でインストールするVPNクライアントソフトのある箇所にIPアドレスを割り当てる。その箇所の名称
vNIC(VPNクライアントソフトの仮想NIC)
午後1-2 帯域制御(QoS)・VDI
一時的に大量の帯域を使用するトラフィックの名称
バーストトラフィック
入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御
ポリシング
メリットは超過分のパケットは破棄するので、遅延が発生しにくいこと。デメリットは超過分のパケットは破棄するので、パケットのロスが起きやすいこと。リアルタイム性の必要な音声通信に最適。
パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御
シェーピング
メリットは超過分のパケットをバッファに溜め込むので、パケットのロスが少ないこと。デメリットは超過分のパケットをバッファに溜め込むので、遅延が発生してしまうこと。データの品質を確保したい場合に最適。
通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の状況に応じて通信を制御すること
アドミッション制御
フレームの種類や宛先に応じて優先度を変えて中継すること
優先制御
通信サービスで最善はつくすが、品質については保証されていないサービス形態
ベストエフォート
午後1-3 BGP・OSPF・IPsec
IPアドレスとポート番号の変換処理の名称
NAPT
IP-in-IP (IP Encapsulation within IP)とは
VPN接続をする際に、IPパケットにIPヘッダを付加してカプセル化するトンネリングプロトコル。
暗号化や認証の仕組みはないため、別のトンネリングプロトコルであるIPsecのトランスポートモード(トンネリングを行わないモード)と併用される。
IKE(Internet Key Exchange protocol)とは
IPsecで暗号化をするために、自動的に共通鍵をつくる鍵交換プロトコル。
IPsecで暗号化をする際の2つのフェーズの名称
ISAKMP SA(IKE SA、フェーズ1)
IPsec SA(フェーズ2)
ISAKMP SA(フェーズ1)では、接続する相手を認証する方式として、両方の機器であらかじめ、〇〇と呼ばれる同じ鍵を共有する方式を利用する。
事前共有鍵(PSK、Pre-Shared Key)
トンネリングとは
元のパケットに新しいIPヘッダを付加して(カプセル化)して、データのやりとりを行うこと
IPsec SA(フェーズ2)のトンネルモードとは
元のIPヘッダとは別に、新たなIPヘッダを付加するトンネリングを行う方式。
元のIPヘッダとは別に新しいIPヘッダを付加するため、元のIPヘッダを暗号化対象とする。
IPsec SA(フェーズ2)のトランスポートモードとは
元のIPヘッダをそのまま使い、トンネリングを行わない方式。
元のIPヘッダをそのまま利用するため、暗号化対象としない。
L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、IP in IPでトンネリング、IPsecで暗号化している。その際、IPsec SA(フェーズ2)でトンネルモードではなく、トランスポートモードを選択するべき理由。
暗号化対象の通信がグローバルIPアドレス間の通信だから。
IP in IPでトンネリングして元のIPヘッダ(プライベートIPアドレス)に、新たなIPヘッダ(グローバルIPアドレス)を付与している。トンネルモードで再度トンネリングする場合、さらにIPヘッダを加えるので、グローバルIPアドレスの部分を暗号化してしまう。そのため、トランスポートモードで、グローバルIPアドレスのIPヘッダをそのまま利用するのが今回は最適。
IP in IPでトンネルを構成し、さらにIPsecで暗号化することによって、元のIPパケットと比較してパケットサイズは大きくなる。これに関連して、IP in IPで作成されたトンネルインターフェースのMTUの値を1500とした場合、VPNルータで発生する処理。すべてのインターフェースのMTUの値は1500とする。
フラグメントとリアセンブルの処理が発生する。パケットを分割して、組み合わせる処理が必要になる。
元のIPパケットのMTUが1500であり、IPsecのAH(認証)やESP(認証・暗号化)で新たにヘッダが付与されるのでパケットサイズが1500を超える。MTUで1500を超えるパケットは送信側のVPNルータ分割(フラグメント)され、受信側のVPNルータでそれを再結合する(リアセンブル)ことになる。
そのため、本文では、IP in IPで作成されたトンネルインターフェースでMTUのサイズを適切な値に設定し、さらにトンネルインターフェースを通過するパケットのTCP MSSを適切な値に書き換えている。
MTU (Maximum Transmission Unit)とは
NW機器が1回の通信で転送可能な最大のデータの値。
Ethernetフレームは最大1518バイトなので、Ethernetヘッダ(14バイト)とFCS(4バイト)を除いた1500バイト(IPヘッダ20バイトとTCPヘッダ20バイトを含める)がMTUサイズになる。
MSS(Maximum Segment Size)とは
ノード(PCなどの端末)が1つのTCPセグメントで送信可能なデータの最大値。
MSSはMTUからIPヘッダ20バイトとTCPヘッダ20バイトを差し引いた実データ(ペイロード)を指し、最大1460バイトになる。
MTUとMSSの違い
MTUはNW機器が1回の通信で転送可能な最大のデータの値。
MSSはノード(PCなどの端末)が確立したTCPコネクションの中で送信可能なデータの最大値。
ノード間で決められたMSSにTCPヘッダの20バイトとIPヘッダの20バイトが付与され、MTUとしてNW機器で処理される。
フラグメント(フラグメンテーション)とは
MTUの最大値である1500バイトを超えた大きなサイズのパケットを分割すること。
リアセンブルとは
フラグメントで分割されたパケットを再構築・再結合すること。
BGPで、特定のルーティングポリシで管理されたルータの集まりの名称
AS(Autonomous System)
BGP接続で利用されるトランスポートプロトコルとポート番号
TCP ポート179番
K社NWとL社クラウドサービスとのネットワーク接続で、静的経路制御と比較して動的経路制御(BGP)を選択する利点
BGPによって回線断や機器障害を検知し、トラフィックを迂回できる点。
パッシブインターフェースの動作の特徴
Helloパケットを出さない。
OSPFを有効化すると、全てのインターフェースから定期的にHelloパケット(ルーティングのアップデート情報)を隣接ルータに送信する。
しかし、PCやサーバーが接続されたインターフェースにルーティングのアップデート情報を流す必要はないので、パッシブインターフェースに設定する。
ルーティングの再配布とは
あるルーティングプロトコルで学習した経路情報を、別のルーティングプロトコルに経路広告すること。
例えば、OSPFで学習した経路をBGPに経路広告することで、BGPだけでなくOSPFのルート情報を学習できる。
経路情報の再配布を行う時には、経路のループを防止する必要がある。ループが起こる理由
隣接ルータから再配布されて学習したルート情報を、同じ隣接ルータに経路広告してしまうから。
双方向で再配布する構成は望ましくないので、片方向の再配布に設定する。そのほかにもシードメトリック(メトリックを付与して、優先経路を設定)やアドミニストレーティブディスタンスの値を調整する方法もあるが、管理する難易度が上がってしまうのがデメリット。
BGPのパスアトリビュートとはBGPの経路情報に付与される、最適ルートと判断するための値。
MEDはメトリックという値を付与して、低いメトリック値の経路を優先する。
AS_PATHはAS_PATH長が短い方、つまり、各BGPルータで自身のAS番号をAS_PATHのアトリビュートに付加していき、AS番号の数が少ないルートを優先する。受け取ったルート情報のAS_PATHアトリビュートに自身のAS番号が含まれる場合は、そのルート情報を破棄することでループを防止する。
Ping監視では、ICMPの〇〇パケットを監視対象に送り、〇〇パケットが監視対象から帰ってくることで到達性を確認する。それぞれの名称
echo request、echo reply
K社とL社の間で2つあるVPNトンネルを、それぞれPingで監視を行う。その目的
ネットワーク接続の冗長構成が失われたことを検出するため。
午後2-2 無線
IEEE802.11nで使用される周波数帯
2.4GHz、5GHz
IEEE802.11acで使用される周波数帯
5GHz
無線LANアクセスポイントの識別子によって制御する機能
SSID、ESSID
特定のSSIDを指定せずにanyでの接続要求を拒否する機能
any接続拒否
ビーコン信号にSSIDを含めない機能
SSID隠蔽(SSIDステルス)
送信元MACアドレスによって、無線APに対するクライアントのアクセスを制御する機能
MACアドレスフィルタリング
RADIUSサーバを利用するなどしたクライアント認証機能
IEEE802.1x認証
WEPはRC4と呼ばれる暗号化アルゴリズムを使用した〇〇鍵暗号方式です。
共通
WPAは暗号化アルゴリズムにRC4を使用するが、暗号化プロトコルに〇〇を使用して暗号強度を高めた方式
TKIP (Temporal Key Integrity Protocol)
WPA2は暗号化アルゴリズムでAESに対応し、暗号化プロトコルにCCMPを使用した、WPAよりも堅牢なIEEE〇〇準拠の方式
802.11i
WEP では、1バイト単位の〇〇暗号であるRC4を使用してパケットの暗号化が行われる。
ストリーム
ストリーム暗号は、暗号化アルゴリズムの一種で、データを1ビットまたは1バイトずつ連続的に暗号化する方法です。
WEPは,、〇〇のWEPキーが使用され続けることに加え、暗号化アルゴリズムも複雑ではないことから、短時間での暗号解読が可能になっているので採用しない。
同一
WPAのエンタープライズモードの場合、一時鍵は、IEEE 802.1Xの認証成功後に〇〇サーバで動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末及び〇〇サーバの両者で生成される。(〇〇は同一)
認証
TKIPでは、フェーズ1で、一時鍵、IV(初期化ベクトル)及び無線LAN端末の〇〇の三つを混合してキーストリーム1を生成する。
MACアドレス
WPA2では、〇〇をベースにしたCCMPが採用されている。
AES
携帯電話やPHS、無線LANの端末が移動に伴って、通信を行う基地局やアクセスポイントを自動的に切り替える動作のこと
ハンドオーバ
IEEE 802.11ac規格では、8つのチャネルを束ねる8〇〇(160 MHzの帯域幅)を行えば、アンテナ1本当たり最大約867Mビット/秒の通信が可能である。
チャネルボンディング
8チャネルボンディングと8本のアンテナによる〇〇で8ストリームの同時伝送を行えば、理論上最大約6.93Gビット/ 秒で通信できる。
MIMO(Multiple Input Multiple Output)
MIMOは、複数の送信アンテナと受信アンテナを使用して、同時に複数のデータストリームを送受信することにより、通信の速度と信頼性を向上させる無線技術です。
認証後に行われる無線LAN端末による通信が、WLCを経由する方式と比較したときの経由しない場合の利点を2つ
①WLCに通信の負荷が集中するのを抑制することができる。
②認証後にWLCに障害が発生しても、その無線LAN端末の通信は継続できる。
外来電波がAPに与える悪影響
電波干渉によって、通信障害が発生する。
APのセルを重ねる目的
ハンドオーバをスムーズに行わせるため、APの負荷分散を行わせるため
IEEE 802.3at規格のPoE機能の呼称
PoE+
IEEE 802.3af規格のポートあたりの供給電力は15.4W、IEEE 802.3at規格(PoE+)のポートあたりの供給電力は30W、IEEE 802.3bt規格(PoE++)のポートあたりの供給電力は90Wとなります。
平成28年度(2016年)
午後2-2 IPsec
IPsecで使用される認証方式、暗号化方式、暗号鍵などは、IPsecルータ同士によるIKE (Internet Key Exchange)のネゴシエーションによって、IPsecルータ間で合意される。この合意は、〇〇と呼ばれる。
SA (Security Association)
SAの内容が確定すると、SAに関連付けられたSPI (Security Parameters Index)が、〇〇ビットの整数値で割り当てられる。
32
IPsec通信の各パケット中に挿入され、そのパケットに適用されたSAの識別するキー
SPI(Security Parameter Index)
SPIは、IPsecプロトコルのIPヘッダー内に存在する32ビットの識別子で、特定のSAを一意に識別するために使用されます。
IPsecルータは、通信相手のIPsecルータにパケットを送信するとき、IPsec通信を行うか否か、IPsec通信を行うときはどのSAを使うかなど、当該パケットに施す処理を示した〇〇を選択する。処理には、PROTECT (IPsecを適用して送信)、BYPASS (IPsecを適用せずに送信)、DISCARD(廃棄)の3種類がある。
SP(セキュリティポリシ)
SPを選択するキーを〇〇と呼び、IPアドレス、プロトコル、ポート番号などが利用される。SPは、SPデータベースで管理される。SPデータベースは経路表に似た構造をもっている。
セレクタ
IPsecルータは、通信相手のIPsecルータからパケットを受信すると、パケット中のSPIで〇〇を識別し、関連する情報を取り出す。その情報を基に、受信したパケットを処理する。
SA (Security Association)
IKEフェーズ1では、IKEフェーズ2で使用するISAKMP SA、又は、〇〇 SAに必要なパラメータの交換、鍵交換及び認証が行われる。
IKE
IKEフェーズ1は、IKEv1ではISAKMP SA、IKEv2ではIKE SAと呼ばれる。
IKEフェーズ2は、IKEv1・IKEv2のどちらもIPsec SAと呼ばれる。
IKEフェーズ1には、メインモードと〇〇モードがある。メインモードでは3往復の通信が行われるが、〇〇モードは1往復半の通信で完了する。
アグレッシブ
IPsecは、〇〇機能とトンネリング機能をもち、通信相手のIPsecルータの認証、安全な鍵生成、転送データの〇〇、転送データの完全性の認証などを行う。(〇〇は同一)
暗号化
〇〇は、インターネットのような共用ネットワーク上の2点間で、仮想の専用線を構築することである。〇〇は、あるプロトコルのトラフィックを別のプロトコルでカプセル化することで実現する。
トンネリング
IPsecでは、ユニキャストのIPパケットを〇〇化して転送する。
カプセル
IPsecのライフタイムの終了時点にIPsecルータで行われる処理
キーの更新、Re-Key(リキー)
IPsecの認証方式(AH、ESP)により、IPsec通信で送受信されるメッセージが、通信中に〇〇されていないことを確認できる。
改ざん
IPsecルータは、OSPFの通常の設定では、リンクステート情報の交換パケットをカプセル化できない。その理由。
OSPFのリンクステート情報交換は、IPマルチキャスト通信で行われるから
IPsecはユニキャスト通信を利用するため、マルチキャスト通信を直接扱うことはできません。そのため、GREによるトンネリング(GRE over IPsec)を利用することで、マルチキャスト通信を送信可能です。
ネットワーク層のプロトコルをトンネリングするプロトコルには、〇〇があり、データリンク層のプロトコルをトンネリングするプロトコルには、〇〇がある。(〇〇は別々)
GRE (Generic Routing Encapsulation)、L2TP (Layer 2 Tunneling Protocol)
GREは、ネットワーク層のプロトコルのパケットをカプセル化して転送する機能をもつ。GREでは、IPブロードキャストもIP〇〇パケットもカプセル化して転送できる。
マルチキャスト
IPパケットをGREでカプセル化する、カプセル化された元のパケットの宛先への〇〇情報をインターネットがもたなくても、元のパケットによるエンドツーエンドの通信が可能になる。
経路、ルーティング
カプセル化によって、GREトンネルインタフェースのMTUは、イーサネットインタフェースのMTUよりも24バイト小さくなる。このとき、PC及びサーバのイーサネットインタフェースのMTUサイズを適切な値に変更することによって、パケットの〇〇を防げる。
断片化(フラグメンテーション)
L2TPは、〇〇フレームをカプセル化して転送する機能をもつ。
PPP
GREはカプセル化によるオーバヘッドがL2TPより小さいので、1つのパケットで転送できる〇〇量が多い。
データ
カプセル化の際に追加されるヘッダーの情報量が少ないほど、オーバーヘッドは小さくなります。追加されるヘッダーが少ないほど、送信されるデータパケットの有効なペイロード(実際のデータ部分)の割合が高くなるため、より効率的なデータ転送が可能です。
IPsecのデータの暗号化は〇〇を利用する。
ESP(Encapsulating Security Payload)
GRE over IPsecを利用する場合、トランスポートモードを選択する。トンネルモードで行う必要がない理由。
GREでトンネリングが行われるから
GRE over IPsecを利用する際にトランスポートモードを選択する理由は、GREで既にデータパケットをカプセル化するトンネリング機能を提供しているためです。
GREが既に別のIPヘッダをパケットに追加しているので、IPsecのトンネルモードを使用すると、不必要に二重のカプセル化が行われてしまいます。
ESP認証データ長は、使用する〇〇によって変換する。
認証アルゴリズム
認証アルゴリズムによって生成されるハッシュ値のサイズが異なるため、それに応じて認証データの長さも変わります。たとえば、SHA-256を使用する場合の認証データは256ビット(32バイト)の長さになり、MD5を使用した場合は128ビット(16バイト)です。
認証データは、ESPヘッダの末尾に付加され、パケットの完全性と送信元の認証を保証するために使用されます。
OSPFは最も低い〇〇値の経路を通じてルーティングされます。〇〇値は、リンクの帯域幅に基づいて自動的に計算され、帯域幅が高いリンクほど低い〇〇値が割り当てられます。(〇〇は同一)
コスト
平成27年度(2015年)
午後1-1 SSO・HTTP
SSO(シングルサインオン)とは
Webアプリケーションの認証を共通化し、利用者は1度の認証で複数のシステムの利用が可能となる仕組み
SSOの方式であるエージェント方式とは
SSOで利用したい各サーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現する方式。
エージェントがWebアプリケーションの認証を行う。クライアント→エージェント→SSOサーバで認証を行い、SSOサーバから認証されたCookieをもらい、以降はクライアントがそのCookieを提示することでログインが可能となる。
SSOの方式であるリバースプロキシ方式とは
SSOサーバで全ての通信の中継を行う方式。
Cookieを含めるHTTP応答パケットのヘッダフィールドの名称
Set-Cookie
SSOサーバのSet-CookieでDomain属性を付与する理由
ドメイン属性を付与しないと、Cookieを発行したホストのみ有効になってしまうから。
ドメイン属性ではCookieが有効な範囲を指定します。Cookieが有効となるドメイン名を指定した場合に、そのドメイン内のWebアプリケーションサーバへのSSOは可能となります。
WebブラウザからCookieが平文で、ネットワーク上に意図せず流れてしまうのを防ぐために、SSOサーバがCookieを発行する時に実施すべき方策
CookieにSecure属性を付ける。
Secure属性をつけることによって、HTTPS通信時にのみCookieを送信する。HTTPでの通信時にはCookieは送信しない。
LBのL2DSR(Direct Server Return)方式とは
クライアントからのパケットをLBのVIPで受け取り、LBが負荷分散先のサーバに転送し、サーバが戻りのパケットをLBを経由せずにクライアントに直接応答する非対称の通信方式。
LBのDSR方式でSSOサーバにリクエストパケットが転送されるが、このリクエストパケットの宛先アドレスはVIPアドレスのままである。SSOサーバは、自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。SSOサーバでどのような設定が必要か。
ループバックインターフェースを作成し、それにVIPアドレスを設定する。
ループバックインタフェースを設定しない場合、SSOサーバは自身のIPアドレス宛ではないパケットなので、そのパケットは破棄してしまう。そのため、VIPアドレスを付与したループバックインターフェースを設定することで、自身宛てのパケットと認識し、受信できるようにする。ループバックインターフェースに紐づけるループバックアドレスは機器自身を表すIPアドレスであるが、ARPリクエストに応答してしまうのでVIPのIPアドレスと重複することがある。
ループバックインターフェースとは
ループバックアドレスを割りあてるための論理的(仮想的)なインターフェース。
ループバックアドレスとは、機器が自分自身を表す特殊なIPアドレスのこと。ただし、NW機器の場合はユニキャストアドレスも設定できるため、ループバックアドレスへの通信は可能になります。
IPアドレス重複エラーを検知するために用いられるARPの名称
GARP(Gratuitous ARP)
SSOサーバでVIPアドレスをループバックインターフェースに設定した場合、LBのVIPアドレスとIPが重複する。これを回避するためにSSOサーバに必要な設定
VIPアドレスに対するARPリクエストに応答しないように設定する。
午後1-2 FW・L2~L4の理解
動的フィルタリング(ダイナミックパケットフィルタリング)とは
戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる機能。
ダイナミックパケットフィルタリングの1種である、ステートフルインスペクションとは
パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断するFW機能。
ダイナミックパケットフィルタリングに、セキュリティ機能を加えたものがステートフルインスペクション機能
LBの1秒あたりの転送データ量の名称
スループット
LBには1秒あたりの転送〇〇数に上限があるので、実際の最大スループットは転送パケット長によって変化する。
パケット
スループット=転送パケット数 × 転送パケット長
FWで障害が発生した場合、セッション維持ができない。この影響を軽減するために、故障発生時にはFWを挟んでいる両LBでRSTフラグをONにしたパケットをTCPコネクションの両端のノードに送信する。この動作をおこわない場合と比べて、両端のノードにどのようなメリットがあるか。
リトライアウトをまたずに、コネクションの切断を検知できる。LBでRSTフラグをONにしたパケットを送信しない場合は、TCPコネクションまでに時間を要してしまう↓
- 両端のノードのTCPコネクションの間にあるFWで障害が発生する
- ノードは通信相手からのACKが返ってこないため、何度か再送を行う
- ACKが返ってこないため、タイムアウトと判断し、RSTフラグをONにしたパケットを送信
- TCPコネクションが切断される
午後1-3 IDS・IPS・FW
IDS(Intrusion Detection System)とは
侵入検知システム(IDS)は、ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見する仕組み。FWはサービスを行っていない接続ポートに対してのパケット侵入を遮断する。一方でIDSはサービスを行っているポートへの不正パケットを検出する。
IDSのデメリット
侵入行為を遮断しない点。
侵入行為が検知されると管理者にメールなどで知らせ、手動で対応することになるので対応が遅れるのがデメリット。さらに、通知ポリシーのチューニングや手動対応時の体制や人員確保、遮断するときの判断ルールなど運用上考慮する点が多い。
IPS(Intrusion Prevention System)とは
ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見して、かつ、それらを自動的に遮断する仕組み。
IDSとの決定的な違いは、不正アクセスを検知した場合に、管理者に通知するだけではなく、自動的にアクセスを遮断する点。
IPSのデメリット
自動的に遮断するゆえの誤検知とネットワークリソースへの負荷が高いこと。
IPSのフォールスポジティブとは
正常な通信を誤って不正と検知してしまうこと
IPSのフォールスネガティブとは
不正な通信を誤って正常と検知して見逃してしまうこと
IDS・IPSの侵入検知の仕組みが2種類ある。それぞれの名称。
- シグネチャ型
- アノマリ型(異常検知型)
IDS・IPSの侵入検知の仕組みであるシグネチャ型の特徴
不正なパケットに関する一定のルールやパターンを利用して、既知の攻撃を検知する。あらかじめ様々な種類のシグネチャが登録されているが、未知の攻撃には対応できない点がデメリット
IDS・IPSの侵入検知の仕組みであるアノマリ型の特徴
定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正な攻撃として検知する。未知の攻撃に対しては柔軟に対応できるが、正常と判断する基準によっては、正常なパケットを異常とみなしてしまう点がデメリット
IDS・IPSに監査対象のトラフィックを流すために、IDS・IPSと接続するSWのポートにすべき設定とIDS・IPSのネットワークポートに必要な設定
SWの設定:ミラー(ミラーリング)ポートに設定して別のポートのパケットをミラーリングして、ミラーポートに転送する。
IDS・IPSの設定:プロミスキャスモードに設定し、IDS・IPS以外を宛先とする通信も受信できるようにする。
IDS・IPSのネットワークポートにIPアドレスを割り当てなければ、IDS・IPS自体がOSI基本参照モデルの第3層レベルの攻撃を受けることを回避できる。この機能の名称
ステルスモード
IDSの機能の1つで、IDSとFWが連携することで、検知した送信元アドレスからの不正な接続を遮断する仕組みとはどのようなものか。
FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。
IDSの機能の1つで、IDSが不正なTCPコネクションを検知した場合に、該当する通信を強制的に切断する仕組みとはどのようなものか。
送信元と宛先の双方のIPアドレスあてに、TCPのRSTフラグをオンにしたパケットを送る。
IDSの機能の1つで、IDSが不正なUDPパケットを受け取った場合に、該当する通信を遮断する仕組みとはどのようなものか。
該当するパケットの送信元に、ICMPヘッダのコードにport unreachableを設定したパケットを送信し、更なる攻撃の抑止する。
前問のICMPを使った攻撃抑止のためのパケットが、実際は攻撃者に届かないことがある。それはなぜか。
不正アクセスの送信元アドレスが偽装されている可能性があるから。それゆえに、このICMPパケットが他のサイトへの攻撃となることも懸念点として考えられる。
IDSの運用時には、サーバのミドルウェアの脆弱性を悪用する攻撃を受けており、対象サーバにセキュリティパッチを適用するまでシステムを数日間停止している経緯がある。再度防御対象のサーバに新たな脆弱性が発見されたが、IPSを導入していた場合、一時的な運用に対応することができる。この一時的な運用の内容。
保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断できる。
IDSが併設されていることを踏まえた上で、IPSの機能の一部が故障した場合、IPSはどのように通信を処理すべきか。
通信をそのまま通過させ、遮断しないようにする。(フェールオープン機能)
IDSとIPSの導入後に、セキュリティレベルの継続的な向上のために、管理用PCを使ってどのようなことを行うべきか。
不正アクセスへの対応を最適化するために、ログを取得して解析する。
平成26年度(2014年)
全体として、正答率は低かった(採点講評より)
午後1-1 NW基礎
一般的なルータのOSPFは、物理ポートの〇〇を基にしたコストをメトリックにしてネットワーク経路の選択を行う。
帯域幅、通信速度
OSPFでは、経路制御の範囲を設定する、エリアという概念がある。一つのOSPFのネットワークは、複数のエリアに分けることができる。エリア番号が〇〇であるエリアはバックボーンエリアと呼ばれ、必ず存在しなければならない。
0
バックボーンエリアとその他のエリア間を相互接続するルータは、〇〇と呼ばれる。また、〇〇ではエリア内 の経路情報を集約して、他のエリアに送ることができる。(〇〇は同一)
エリア境界ルータ(ABR)
各ルータに〇〇を設定し、動画系セグメント間の通信を優先することにした。
QoS
ルータのQoSとしては、RFC 2474に基づいて、IPヘッダの〇〇フィールドをDSフィールドとして再定義して通信の優先評価を行う〇〇モデルが実装されている。(〇〇は別々)
TOS、DiffServ
正答率が低かった。(採点講評より)
〇〇の動作によって、ルータはファイルサーバで使用しているCIFS(Common Internet File System)プロトコルのパケットを識別してWAN高速化装置宛てに転送する。
PBR(Policy Based Routing)
宛先IPアドレスがファイルサーバで、宛先ポート番号がCIFSのパケットをPBRでWAN高速化装置宛てに転送することが可能。
PBRによる経路制御は、OSPFによる経路制御よりも優先度が〇〇なっている必要がある。
高く
PBRはルーティング決定を行う際に、パケットの属性(IPアドレス、ポート番号、プロトコルタイプなど)を評価し、これに基づいて特定のインターフェースやネクストホップにトラフィックを転送します。このプロセスはルーティングテーブルが参照される前に行われるため、OSPFなどの動的ルーティングプロトコルによるルーティング決定よりも優先されます。
ネットワーク通信においてデータパケットが送信元から目的地まで行き、また送信元に戻ってくるまでの合計時間
ラウンドトリップ時間(Round Trip Time、RTT)
午後1-2 FW・L2~L4の理解
ネットワークアドレス及びポート番号の変換を行う機能
NAPT(Network Address and Port Translation)
FWの機能で、主系から副系にフェールオーバした後も通信を継続させるために、FWが通信の中継のために管理している情報を自動的に引き継ぐ機能
ステートフルフェールオーバ
FWがフェールオーバした後に、多くのアプリケーションでデータの保全性が保たれるのはトランスポート層のプロトコルの機能によるところが大きい。その機能。
TCPの再送機能
FW1とFW2の間にフェールオーバリンクという専用接続を使用する。具体的にはどのような通信が行われるか。
- 設定情報の同期
- 管理情報の複製
- 対向FWの動作状態の識別
FWのフェールオーバリンクには、ケーブル直結にする構成とSWを挟む構成がある。障害切り分けのためにSWを挟む構成にした場合のメリット
一方のポート故障による対向ポートのリンク断を防ぎ、どちらのFWの障害か特定が容易になる。
FWの冗長化で、新たにActiveになったFWは、切り替わったことを通知するフレーム(GARP)をFWの各ポートから送信することで、隣接機器のレイヤ2機能で用いるテーブルを適切に更新できる。そのテーブルの名称
MACアドレステーブル
接続機器のARPテーブルを更新するために、自ポートに設定されたIPアドレスの解決を要求するARPメッセージの名称
GARP(Gratuitous ARP)
1本のリンクに複数のVLANを収容できる技術の名称
タグVLAN。タグVLANを使用した接続がトランク接続
ポートVLANとタグVLANの違い
ポートVLANは物理ポートごとにVLANを割り当てる。複数のポートとその設定が必要になる。一方、タグVLANはVLANタグを付与することでVLANを識別できるので、1つのポートで複数のVLANを処理することができる。
午後1-3 DNS・インシデント管理
DoS(Denial Of Service)攻撃とは
標的システムへの通信量を増大させて、ネットワークやサーバの処理能力を占有することによって、正常な取引の処理を妨害し、サーバをダウンさせる攻撃
多数のコンピュータが標的サーバを集中的に攻撃する〇〇型DoS攻撃は、発信元のコンピュータの特定が難しいので被害が大きくなる
分散。DDoS(Distributed Denial Of Service)攻撃とも呼ばれる。
PCなどから問い合わせを受けたDNSキャッシュサーバ(フルサービスリゾルバー)は、DNSコンテンツサーバ(権威サーバ)に問い合わせを行い、最終的な結果をPCに返信する。この問い合わせの名称
再帰的問い合わせ
再帰的問い合わせにおいて、クライアントの発信元のIPアドレスを詐称して、その問い合わせの結果を標的サーバ宛てに送信させる攻撃の名称
DNSリフレクション攻撃(DNSアンプ攻撃)参考資料|JPRS
オープンリゾルバとは
インターネット上の不特定多数のクライアントからのDNS問い合わせを受けつけ、名前解決を行い、再帰的問い合わせの応答を行うDNSキャッシュサーバ(フルサービスリゾルバー)。攻撃者の踏み台としてDNSキャッシュサーバが利用される恐れがあるので、問い合わせを許可するIPアドレスを自組織のネットワークなどに制限する対策が必要。参考資料|JPNIC
DoS攻撃の1種で、TCPのパケットを大量に送信し、応答待ちにして新たな接続を妨害するSYN〇〇攻撃や、コネクションレスのUDPパケットを使ったUDP〇〇攻撃などがある。〇〇は両方同じ他単語。
フラッド(Flood)
大量のパケットを送信する攻撃として、大きなサイズのICMPエコー応答を使ったものがある。この攻撃の名称
smurf攻撃(スマーフ攻撃)
ICMPフラッド攻撃を防御するために、FWが持つべき機能断片化(フラグメント)されたエコーパケットを許可しない機能。
MTU(最大転送単位)のサイズは1500バイトに制限されるので、それ以上のデータは分割・断片化される。
DMZに設置したDNSサーバのキャッシュ機能を有効にしたままだと、どのようなセキュリティ上の脆弱性があるか。
DNSキャッシュが改ざんされる。DNSキャッシュポイズニング攻撃を防ぐために、そもそもDNSサーバのキャッシュ機能を無効にしておく。キャッシュ機能を有効にした場合でも、対策としてDNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更するのが有効。
内部から外部への不正な通信を防止するために必要なFWでの対策
内部から外部への通信に対する遮断ルールを設定する
内部から外部への不正な通信を早期発見するために必要なFWでの対策
FWで遮断した通信の結果ログを監視する
セキュリティの重大なインシデントが発生した場合のセキュリティ担当者の対応手順
- 状況把握と記録
- 対象方法の確認
- ネットワークの切断
- 原因の特定と対処
- システムの復旧
- 対処結果の報告
- 対処結果の評価
- インシデントの対処方法の見直し
DNS問い合わせの流れ
- クライアントからDNSキャッシュサーバ(フルサービスリゾルバー)へ再帰的問い合わせ
- DNSキャッシュサーバ(フルサービスリゾルバー)はキャッシュを確認。なければDNSコンテンツサーバ (権威サーバ)に非再帰的問い合わせ
- DNSコンテンツサーバ (権威サーバ)からDNSキャッシュサーバ(フルサービスリゾルバー)へ応答
- DNSキャッシュサーバ(フルサービスリゾルバー)からクライアントへ応答(代理)。DNSキャッシュサーバ(フルサービスリゾルバー)は問い合わせをキャッシュする。
DNSゾーン転送とは
コンテンツサーバ (権威サーバ)のゾーン情報をほかのコンテンツサーバに同期すること。ゾーン情報の冗長化
午後2-1 標的型攻撃メール
特定の企業、官公庁などを標的にして、その組織が保有する知財情報、個人情報などの重要な情報を窃取または破壊する、〇〇メール攻撃が増加してきた。
標的型
標的型メール攻撃で送り付けられたメールには、悪意のあるコード、マルウェアが埋め込まれたファイルが添付されていたり、マルウェアが仕込まれたWebサイトへのリンク先を示す〇〇が本文に記載されている。
URL
HTMLで作成されたコンテンツの送受信用プロトコルである〇〇によってバックドアの通信が行われた場合、業務での通信との区別が困難である。
HTTP
SMTPでは、送信者が、自分自身のメールアドレスを簡易に詐称することができる。しかし、送信元のMTAサーバまたはMUAが稼働するサーバ又はPCに設定されている〇〇を書き換えることは困難である。そこで、ドメインを比較するだけでも、送信者のメールアドレスが詐称されているかどうかが、ある程度判別できる。
IPアドレス
標的型メール攻撃では、攻撃対象者と関係がありそうな組織、機関及び実在の人物を装ったメールを送りつけてくる手法をとる。このメールによって、メール送信者が誘導しようとする受信者の行動。
添付ファイルを開いたり、メールに記載されたリンク先にアクセスしたりする。
SPFは、メールを受信するサーバーが、送信元ドメインのDNSに問い合わせてSPFレコードを取得し、そのレコードに記載されている〇〇と、メールを送信したサーバーの〇〇を比較し、一致することを検証します。(〇〇は同一)
IPアドレス
プロキシサーバの復号機能によって、SSL/TLS通信でも、受信したデータ中に不適切な言葉や文字列などが含まれていたとき、その通信を遮断する〇〇や、Webサーバからダウンロードされるファイルに対するウイルスチェックなどの、セキュリティ対策が可能となる。
コンテンツフィルタリング
PCは、Webサーバとの間でSSL通信を行うときには、プロキシサーバ先にconnect要求を送信する。復号機能をもたない場合、受信したconnect要求に含まれる接続先サーバとの間で、指定された発信ポート番号に対してTCPコネクションを確立する。その後、プロキシサーバはPCにconnect応答を送信して、それ以降に受信したTCPデータをそのまま接続先に転送する、〇〇処理の準備が整ったことを知らせる。
トンネリング
プロキシサーバは、〇〇に含まれるコモン名(CN: Common Name)に、Webサーバのサーバ証明書と同じ情報をもたせたプロキシサーバのサーバ証明書を生成して、PC宛に送信する。
サブジェクト(Subject)
PCがプロキシサーバのサーバ証明書を検証するためには、プロキシサーバの〇〇をPCに保有させる必要がある。
ルート証明書
プロキシサーバが、プロキシサーバのサーバ証明書ではなく、Webサーバのサーバ証明書をPCに送付した場合、プロキシサーバは暗号化された〇〇を復号できないため、共通鍵の生成に失敗する。
プリマスタシークレット
PCはWebサーバのサーバ証明書に付与された公開鍵でプリマスタシークレットを暗号化するため、秘密鍵をもたないプロキシサーバでは復号化できない。よって、共通鍵の生成に必要なプリマスタシークレットの交換もできない。
利用者認証とSSL/TLS復号機能を利用できるプロキシサーバを導入することで、どのようなログを新たに取得可能か。(〇〇は同一)
①社外のWebサーバとの間のSSL/TLSで暗号化された通信においても、〇〇された利用者と通信内容が取得できる。
②プロキシサーバの〇〇に連続して失敗したことが記録されたログから、マルウェアの活動と推測できる情報が取得できる。
認証
標的型メール攻撃の対策として、利用者が不審メールを発見した時の対応に関する規定を定めた。定めるべき規定の内容を3つ。
- メールに添付されたファイルを開かない。
- メール本文に記載されたリンク先にアクセスしない。
- メールが、正しい送信者から送信されたものか確認する。
- 不審なメールの内容を、セキュリティ担当者に報告する。
- 発見した不審なメールに関する情報を、全社で共有する。 など
SSL/TLS復号機能とウイルスチェック機能をもつプロキシサーバのログの検査間隔を可能な限り短縮して、定期的に検査を行うことで、期待される効果。
マルウェアの社内での活動を、早期に発見できること
午後2-2 SIP
IP-PBXは、その機能を利用企業ごとに独立して利用できる〇〇機能をもち、利用企業1と利用企業2で共有する。
マルチテナント
〇〇は、ユーザエージェントと呼ばれる端末 (以下、UAという) 間で、セッションの生成、変更、切断を行う音声通話やマルチメディアセッションで利用されるプロトコルである。
SIP
SIPで生成したセッション上で、どのような通信を行うかは、SIPを使う上位のアプリケーションが、通信相手とのネゴシエーションによって決定する。このとき、セッション生成の過程でのやり取りには、RFC 4566で規定された〇〇が用いられる。
SDP(Session Description Protocol)
SDPは、SIPなどのシグナリングプロトコルによってセッションが生成された後、どのようなメディア(音声、ビデオなど)をやりとりするか、その詳細を相手に伝えるために使用されるプロトコルです。
アプリケーションが、SIPによって制御されたセッションでデータをやり取りする場合、音声データだけなら電話、テキストだけなら〇〇、音声と動画を組み合わせることでビデオ会議、というように、幅広い応用の可能性がある。
チャット
音声データを転送する場合の一般的なプロトコルは、RFC 3550で規定された〇〇であり、そのトランスポート層のプロトコルには、リアルタイム性を重視し、再送制御を行わない〇〇が使われる。
RTP、UDP
SIPのUA(ユーザエージェント)の識別には、sip:xxx@example.ne.jp (xxxは利用者識別子)のような〇〇形式が使われる。SDPのセッション生成情報には、接続相手の〇〇、自分の〇〇とIPアドレス、使用するコーデックなどの通信に必要な情報が用いられる。(〇〇は同一)
URI(Uniform Resource Identifier)
セッションは、通信を行うUA間で直接やり取りして生成することもできるが、規模の大きな組織の場合は利用者が多く、URIの登録に手間が掛かるので、セッションの生成を仲介するサーバ(SIPサーバ)を設置する。SIPサーバがセッションの生成を仲介する具体的な挙動。
URIから相手のIPアドレスを求め、相手にINVITEメッセージを送る。
SIPで使われるメッセージは、〇〇形式で記述されるので、判読しやすい。
テキスト
UA(ユーザエージェント)がSIPサーバに、自身のURI、IPアドレス、位置情報などを含む初期登録情報を送信するSIPリクエストメソッド
SIP REGISTER
VoIP-GWは、SIPネットワークの境界に存在してセッション生成を仲介するとともにRTPパケットの中継も行う〇〇という機能をもつ。
SBC(Session Border Controller)
SBCは、異なるネットワーク間での通信セッションの設定、管理、および終了をコントロールし、NAT、FW機能、通信の品質保証(QoS)などの機能を備えた製品もあります。
インターネット網を経由して、SIPを使った通話を行う場合、企業内のプライベートIPアドレスのUAと外部とを接続するために、アドレス変換を必要がある。このときに、標準的なNAT装置では、アドレス変換対象外の〇〇内に送信者のプライベートIPアドレスが含まれているため通話セッションが生成できないという問題が発生する。
SIPメッセージ
SIPメッセージ内に含まれるIPアドレスやポート番号が、NATによるアドレス変換の対象とならないためです。NATはパケットのヘッダー情報のIPアドレスを変換しますが、SIPメッセージのペイロード(データ)に直接記載されたIPアドレスやポート情報は変換されないため、通信相手が正しいアドレス情報を得ることができず、通信の確立が困難になります。
正答率が低かった。(採点講評より)
社内外のSIP通信を実現するために、SBCを利用することでSIPメッセージのヘッダーとペイロード内に含まれるプライベートIPアドレスをグローバルIPアドレスにNAT変換する〇〇が可能です。
NATトラバーサル(NAT超え)
NICが自身に割り当てられたアドレス宛でないミラートラフィックの全てのフレームをキャプチャし、処理するモード
プロミスキャスモード
保守・運用管理上、FWやVPN装置などのネットワーク機器が仮想化されている場合、ハードウェア障害に備えた冗長化を実現する上で、コスト面での利点もある。その理由。
ネットワーク機器ごとに異なるハードウェアを用意せずに済むから
平成25年度(2013年)
午後1-1 SSL-VPN
SSLハンドシェイクプロトコルでは、〇〇メッセージによって暗号化アルゴリズムを決定し、公開鍵による電子証明書の確認後、共通鍵での暗号化と、メッセージ認証コードのチェックを行い、SSLセッションを確立する。
HELLO(Server Hello)
SSL/TLSハンドシェイクでは、クライアントが最初に「Client Hello」メッセージを送信して、サポートする暗号化アルゴリズムとその他のセキュリティ設定を提案します。
これに応答して、サーバーは「Server Hello」メッセージを送り、クライアントの提案の中から選択した暗号スイートを確定し、その他のセッションパラメータを通知します。このやりとりによって、暗号化通信の基本的なパラメータが合意されます。
ポートフォワーディング方式のJavaアプレットでPCのhostsファイルにループバックアドレス(PCのローカルホストのIP)が登録される。ループバックアドレスが推奨されるセキュリティ上の理由。
外部からの不正利用が発生しないから。
ループバックアドレスは、機器が自分自身を指す特殊なIPアドレスです。ループバックアドレスに対して通信を行った場合、データはその機器内で処理され、外部には送信されません。
したがって、外部のPCがそのループバックアドレスに通信を試みても、その通信は外部の機器のループバックアドレスに戻るため、外部からの不正利用を防ぐことが可能です。
正答率が低かった。(採点講評より)
ループバックアドレスのアドレス範囲は127.0.0.0/8(127.0.0.1~〇〇)である。
127.255.255.254
ポートフォワーディング方式では使用できないアプリケーションの特徴
ポート番号が動的に変化するようなアプリケーションは使用できない
正答率が低かった。(採点講評より)
システムの利用頻度が増大することを考慮し、SSL-VPN機器でSSLセッションのキャッシュ時間を延ばす設定を行なった。設定の目的。
SSLセッション確立による負荷を、軽減させるため
サーバ証明書の正当性は、証明書が信頼できる認証機関である○○から発行されていることをPC側で検証することで確認される。
第三者認証局
クライアント証明書の〇〇が切れて失効しないよう、運用担当者に自動的に通知する仕組みを作った。
有効期限
ウイルス感染を防止する目的で、SSL-VPN機器へのログイン時に、Javaアプレットがもつべき機能
ウイルス対策ソフトの定義ファイルの適用状態を確認する機能
情報漏洩を防止する目的で、SSL-VPN機器のログアウト時に、Javaアプレットがもつべき機能
PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能
午後1-2 DHCP
DHCPサーバーと異なるサブネットに位置するクライアントのDHCPメッセージを中継する機能
DHCPリレーエージェント
正答率が低かった。(採点講評より)
ウイルスに感染し、不正なパケットを送信しているPCを特定するには、ルータ又はWebサーバの〇〇テーブルからIPアドレスとMACアドレスの対応を調べ、MACアドレスからSWのポートを特定し、更に配線図面を見てケーブルをたどる必要があった。
ARP
また、商品本部で行った、〇〇GHz帯の電波を使用するIEEE 802.11a規格の商品管理端末の導入試験では、不正なDHCPサーバの接続によって、PCに不正なIPアドレスが割り当てられる問題が発生した。
5
MACアドレスを構成するビット数
48ビット
MACアドレスの上位24ビットには、OUI(〇〇に固有の値)があるが、端末の機種名を付け加えることによって、端末の特定がより容易になる。
製造者(ベンダー)
下位24ビットは製造者(ベンダー)が決めた識別子。
SWでフレームをキャプチャーするためには、〇〇ポートに設定する必要がある。
ミラー
DHCPサーバをみつけるためのDHCPメッセージ
DHCP Discover
正答率が低かった。(採点講評より)
Z社では全機器のIPアドレスを固定で割り当てている。管理部門の許可を得ずにPCのIPアドレスを勝手に割り当てたことで、他のPCの通信に障害が発生した。起きた原因。
IPアドレスの重複割り当て
無線LANアクセスポイント機能付きブロードバンドルータ(BBルータ)の誤ったポートをSWに接続したことによって、BBルータ内蔵のDHCPサーバからPCに意図しないIPアドレスが付与されてしまった。SWに接続したポートは本来、〇〇を接続すべきポートだった。
PC
BBルータをSWに接続したことで意図しないDHCPサーバとなってしまった。本来のDHCPサーバよりも、BBルータのDHCP Offerの応答が早かったので、PCにはBBルータからのIPアドレスを割り当てられた。
正答率が低かった。(採点講評より)
SWがもつ〇〇機能を使用することで、正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する。
DHCPスヌーピング
LANセグメントを仮想的に分割し、かつ、ブロードキャストドメインの分割を行うL2技術
VLAN
DHCPスヌーピングの〇〇は、正規のDHCPサーバが接続されているポートとして定義され、これらのポートからのDHCP応答は信頼され、有効とされます。
Trustedポート(信頼できるポート)
一方で、DHCPスヌーピング機能においてTrustedポート以外をUntrustedポートとして設定すると、そのUntrustedポートからのDHCPサーバからの応答は不正なものと見なされ、破棄されます。
午後1-3 NW基礎
全体として正答率が低かった(採点講評より)
VLAN 用の〇〇は、32ビットで構成され、VIDには〇〇ビットが割り当てられる。(〇〇は別々)
タグ、12
正答率が低かった。(採点講評より)
VLANを使用する複数の顧客に対して、物理的に共用するNWを提供する場合、幾つかの問題が発生してしまう。問題を2つ。
①別々の顧客で使用しているVLAN IDが重複する。
②VLAN数に制限があるが、これを超える。
VLANを使用する複数の顧客に対して、物理的に共用するNWを提供する場合、幾つかの問題が発生してしまう。ここで、ある顧客のIEEE 802.1Qタグ付きのイーサネット通信(VLAN通信)を、他の顧客の設定に影響を与えずに、NW基盤を経由して転送させるには、〇〇技術が必要となる。
IEEE 802.1Qトンネリング(Q-in-Qトンネリング)
主にサービスプロバイダーネットワークで利用され、顧客のトラフィックを区別しつつ、エンドツーエンドで顧客のVLAN情報を維持するために使われます。
通常の802.1Q VLANタグ付けでは、イーサネットフレームに12ビットのVLAN識別子(VID)が含まれるVLANタグが挿入されます。Q-in-Qトンネリングでは、さらに外側にもう一つの802.1Qタグを追加します。これにより、外側のタグがサービスプロバイダーのVLANを識別し、内側のタグが顧客のVLANを識別します。
VLANタグは〇〇と〇〇から構成される。
TPID、TCI
TPIDは、EthernetフレームがVLANタグを含むことを示す16ビットの識別子です。TCIは、EthernetフレームのVLAN IDなどのVLAN属性を制御する16ビットのフィールドです。
L2SW間では、複数のリンクを単一のリンクとして扱うことができるリンクアグリゲーション機能を使用する。この機能によって、リンクの冗長化、〇〇の有効活用を実現することができる。
帯域
L3SWには、VRF(Virtual Routing and Forwarding)機能をもたせる。これは、一つのルータやL3SWに、複数の独立した仮想〇〇を稼働させる機能である。この機能によって、個別に構築されていたL3SWを統合することができる。
ルータ
L2SW、L3SWともに、複数の物理筐体を接続し、単一のスイッチとして機能させる〇〇機能を使用する。これによって、複数の筐体を一つのIPアドレスで管理できる。
スタック
NW基盤の冗長構成を利用するには、顧客システムのL2SWから2本のケーブルを、NW基盤のL2SWの別々の筐体に接続する。その際に両方のL2SWで対応する方法が2種類ある。その2種類の方法。
①STPを動作させ、ブロッキングポートを設ける。
②リンクアグリゲーションで、単一のリンクとして扱う。
顧客システムごとにネットワークの共用を行なっている環境、かつ、VRFで複数の仮想ルーターを単一の物理ルーター上で独立して稼働させている場合に、有効なFWの機能。
複数の独立したFW機能を、1台のFW装置で稼働させる機能
顧客システムごとにVRFを使用してルータを仮想化している場合、同様にFWでも顧客ごとに仮想化を行うことが望ましいです。これにより、各顧客のネットワークトラフィックを効果的に分離し、セキュリティを強化することができます。
例えば、Cisco ASAであれば、マルチコンテキストモードにより物理的な1台のFWで複数の独立した仮想FWを動作させることが可能です。
平成24年度(2012年)
午後1-1 DNS・LBの負荷分散
プライマリDNSサーバからセカンダリDNSサーバへリソースレコードの同期を行うこと
ゾーン転送
BCP(Business Continuity Plan,事業継続計画)とは
長期間または復旧不能なサービス停止による利益損失を防ぐための事業計画
ホスト名からIPアドレスへの対応を示すDNSのリソースレコード
Aレコード
ゾーン内の登録データの開始マークを示すDNSのリソースレコード
SOA(Start Of Authority)レコード
ドメイン名とメールサーバの対応を示すDNSのリソースレコード
MX(Mail eXchange)レコード
ホスト名に別名を付けるためのDNSのリソースレコード
CNAMEレコード
ゾーン分割を行ってサブドメインに権限委譲する場合に登録するDNSのリソースレコード
NSレコード。NSレコードは,そのゾーン自身や下位ドメインに関するDNSサーバのホスト名を指定するレコード。
IPアドレスに対応するホスト名を指定するDNSのリソースレコード
PTRレコード
最適なIPアドレスを応答するためにLBが利用するWebサーバの負荷情報の具体例を2つ
- Webサーバの応答時間
- Webサーバのデータ通信量
クライアントからのリクエストを常に同じサーバに転送するLBのセッション維持機能
パーシステンス
平成22年度(2010年)
午後1-3 FW・IDS
IDSの種類を2つ
- 監視対象のネットワークに設置するネットワーク型IDS
- 監視対象のWebサーバなどにインストールするホスト型IDS
IDS・IPSの侵入検知の仕組みで、不正なパケットに関する一定のルールやパターンを使う〇〇型
シグネチャ型
IDS・IPSの侵入検知の仕組みで、平常時のしきい値を超えるアクセスがあった場合に不正とみなす〇〇型
アノマリ型(異常検知型)
アノマリ型(異常検知型)でしきい値を低く設定しすぎた場合の懸念点
不正な通信だけでなく適正な通信も異常として検知されてしまうこと
IDSで防御できる攻撃の1つで、Webサーバへのアクセスを通じて不正なSQLが実行される攻撃の名称
SQLインジェクション
IDSで防御できる攻撃の1つで、Webフォームに不正なスクリプトを埋め込んで送る攻撃の名称
クロスサイトスクリプティング
パケットフィルタリング型のFWで防げない攻撃の例
- Dos攻撃
- サーバのセキュリティホールをつく正常なパケット
- メールに添付されたウイルス
- 悪意あるサイトへのアクセス
- なりすまし
通過パケットのTCPヘッダのシーケンス番号をセッションログとして保管しておき、パケットの到着順序に矛盾がないかを確認する。行きと戻りのパケットが矛盾した場合、パケットを遮断し、不正アクセスを防止する。上記のFWの機能
ステートフルパケットインスペクション(ステートフルインスペクション)
FWを冗長化しており、1台のFWが故障したときでも処理を中断させることなく、もう1台のFWで処理を継続させるFWの機能
ステートフルフェールオーバ
IDSではSQLインジェクションやクロスサイトスクリプティングなどのTCPヘッダのチェックやしきい値の設定では識別できないような攻撃にも対応できるのは、侵入検知の際にパケットのある部分を解析できるからである。そのパケットの部分の名称
パケットのペイロード(データ部)
インターネットから内部ネットワークへの不正なアクセスが急増しており、FWのログを確認すると宛先であるリバースプロキシサーバの80番ポートへのアクセスが集中していた。どんな攻撃が考えられるか。
80番ポートに対するDoS攻撃
FWの切替えが発生した場合に、FW1からFW2に引き継がれる情報をOSI基本参照モデルの第3層以下から2つ
仮想MACアドレス、仮想IPアドレス
FWが切り替わったことを意識せずに継続利用するために必要なFWの管理情報
切り替える前のFW1で保持していた、シーケンス番号を含んだセッションログ情報
前提としてFWの手動切り戻し時に利用者はシステムを継続利用できない。FWの故障による切替えが発生した時、修理完了後にFW2からFW1に手動で切り戻す際に必要な運用用の留意点。
システムの利用を一時制限して、切り戻し作業を行う
