2016年12月17日土曜日

ネットワークスペシャリスト合格!



ネットワークスペシャリスト試験も無事に合格できていました。

午後2はそれなりに手応えがあったものの、午後1の出来があまり良くなかったので、正直自信がありませんでしたが、どうにか合格できて良かったです。

データベーススペシャリスト試験と比較すると、ネットワークスペシャリスト試験の方が勉強量はかなり多かったです。

データベーススペシャリスト試験の方は、運用系の問題を捨てて、データベース設計の問題に絞ることができましたが、ネットワークスペシャリストの方はいろいろなジャンルを組み合わせて出題されることが多いので、無線系を捨てるとか、セキュリティ系を捨てるというわけにはいかず、全般的に勉強しなければなりませんでした。

ネットワークは技術の進歩が速く、古い過去問に出題されている技術は既に時代遅れになってしまっていることもありますが、設計技法のような部分はあまり変わらないので、最新の技術知識がかならずしも必要というわけではありません。

実際、今回の試験でも知らない技術(STUNなど)が出題されましたが、既存の知識を組み合わせれば回答できる問題でした。

次は情報安全確保支援士の合格を目指して頑張ります。

2016年10月15日土曜日

ネットワークスペシャリスト試験の前日を迎えて

いよいよ明日がネットワークスペシャリスト試験の本番です。

平成21~27年までの過去問も解いたし、アイテックの通信講座も受けたし、合格ゼミという対面の講座にも行ってきたし、模試もアイテックとTACの両方受けて、一応合格ラインには達しています。



ちなみに、TACの模試は午後2が94点で、244人中1位という結果でした。模試とはいえ、1位が取れたのはちょっと自慢です。これで本番に落ちたら逆に恥ずかしいですが。

試験は水モノなので、実際にやってみないとどうなるかわかりません。もし落ちたら、来年春は情報安全確保支援士を受ける予定なので、その知識+実機での検証の経験を積んで、また秋に再挑戦します。

ネットワークスペシャリストの勉強メモ18

極選分析 ネットワークスペシャリスト 予想問題集」の復習用メモです。
IPv6もIPv4も、資源予約を行うためには、RSVP(Resource Reservation Protocol)を使用する。優先制御を行うIPv4のTOSフィールドは、IPv6ではトラフィッククラスという。
IP電話の音声指標でを表す指標:
R値:ノイズ、エコー、遅延などから算出される客観的な評価指標。
MOS(Mean Opinion Source)値:基準となる音声を人間が聞き、その音質の評価として、「非常に良い」から「非常に悪い」までの5段階の評価を行い、その平均値で音声品質を評価する方法。
ジッタ:送信側は基本的に音声パケットを等間隔に送信する。しかし、ネットワークを経由すると、回線の帯域幅やルータなどの処理遅延によって、音声パケットが着信側に届いた時、その到着感覚がバラバラになる。このようなばらつきのことをジッタ、またはゆらぎという。
RTP(Real-Time Transport Protocol):シーケンス番号とタイムスタンプを付加することによって、リアルタイム情報を伝送するパケット間の時間差を保証する。
HIDS(ホスト監視型IDS)は、サーバなどにインストールして、ファイルの改ざんや属性変更などホスト上の異常や攻撃の徴候などを検知する。
DMZ上の公開用Webサーバとしてリバースプロキシサーバを設置し、その参照先のWebサーバを外部からアクセスできない別のDMZに移設することによって、外部から直接Webサーバのコンテンツが改ざんされることを防ぐ。
・無線LANのQoSに関する規格:IEEE802.11e
・優先度に基づくQoSを実現するには、一般に優先度ごとのキューにパケットを蓄積し、優先度の高いキューから順にパケットを発信する。
・無線LANのセキュリティ標準を定める規格:IEEE802.11i
・音声通信は、1対1の対向通信が基本であることから、一つの無線APの配下で通話中の無線IP電話器が何台あるかを把握すれば、音声通信を行っている無線IP電話器の台数がわかる。そこで、音声通話を行っている無線IP電話器の台数が許容限度に達すると、無線APは、無線IP電話器からの発呼要求に対してビジトーンを返すようにしている。そうすれば、一つの無線APに許容限度以上の無線IP電話器を接続できないようになる。
・経路表の参照方法は、宛先IPアドレスとサブネットマスクとの論理積(AND演算)をとって、宛先ネットワークに一致するものを見つけるという方法である。
・プロトコル番号1:ICMP
・IPアドレス"255.255.255.255"は、リミテッドブロードキャストアドレスと呼ばれ、現在接続しているサブネットに限定して送信されるブロードキャスト。DHCP DISCOVERパケットで利用される。
・"192.168.1.255"のようなIPアドレスは、ディレクティドブロードキャストアドレスと呼ばれる。
・IPヘッダのフラグメントオフセットに入れる値は、8バイトを1単位として表示する。
・IPパケットの識別は、送信元IPアドレスを基にし、IPヘッダにあるIdentification(識別子)によって行われる。転送途中でIPパケットの分割が行われても、Identificationは変更されないので、Identificationが同じであれば、同じIPパケットであることを示す。このため、受信ホストでは、同じIdentificationのIPパケットを一つのIPパケットに再構成することができる。
・IPパケットのフラグフィールドにある分割禁止(DF:Don't Fragment)ビットをオンして、途中のルーターで元のIPパケットの分割が発生する場合、そのルーターは送信元に対して、ICMPのエラーメッセージ(コード=3:Destination Unreachableとコード4=Fragment needed and DF set)を返す。
・TCPでは、期待しているシーケンス番号よりも大きなシーケンス番号を持つセグメントが先に到着した場合、受信側は期待しているシーケンス番号を持つACKセグメントを送信する。このように、受信側が同じシーケンス番号を持つACKセグメントを送信することを重複ACKという。
・MACアドレスの上位24ビットは、OUI(Organizationally Unique Identifier)と呼ばれ、IEEEが製造メーカーなどに対して割り当てる識別子である。先頭のビットから7ビット目は、U/Lビットと表示され、ユニバーサルアドレス(グローバルアドレス)かローカルアドレスかを示す。7ビット目が0の場合はユニバーサルアドレスを示すので、IPv6のインタフェースIDとして使用する場合、ユニバーサルアドレスからローカルアドレスに変更して使用する必要がある。
・IPv6の重複検査では、NDP(Neighbor Discovery Protocol)の近隣要請メッセージ(Neighbor Solicitation Message)をマルチキャストすることによって行う。
・SIPプロキシのタイプには、セッション確立から開放までの時間を管理したり、電話端末がどのようなステータスにあるかなどを管理するかによって、コールステートフルとステートレスに分けられる。
オートネゴシエーションを行う場合は、最初に最も速い通信速度、全二重通信モードが選択できるかどうかを折衝していく。
OSPFで使用されるIPマルチキャストは、"224.0.0/24"の範囲内のローカルマルチキャストアドレスが使用される。つまり、ルータを越えることができないので、OSPFのルーティング情報を交換するには、L3SW相互がOSI基本参照モデルのデータリンク層によって通信できる必要がある。
IKEではユーザ名とパスワードを使用した認証を行う手段がなかったため、XAUTH(Extended Authentication within IKE)という仕組みが提案された。

2016年10月10日月曜日

ネットワークスペシャリストの勉強メモ17

2016 徹底解説 ネットワークスペシャリスト 本試験問題 」の特典で、2012年の過去問のダウンロードができるようになっているので、午後問題だけやってみました。

午後1問1は、既に見たことのある問題で、8割ほどの正答率でした。
基本的に一通り理解はできていて、後は解答の書き方の問題で部分点という感じです。 設問3(2)は、答え難い問題です。SLB-M間の通信によって起きた影響なので、機器の負荷に着目して解答しまいまいしたが、「インターネット接続回線の帯域圧迫」が正解とのことです。
設問3(3)は、別解の余地がいろいろあるのではないかとも思います。セッションの継続時間が長ければ、サーバ側で長時間処理を行っていると推測できますし、LB側でサーバのCPU稼働率などを知る手段があれば、サーバの実際の負荷状況を確認した上で分散することもできると思われます。

午後1問2も、見覚えのある問題で、ほぼ正解でした。
しかしながら、設問1の穴埋め問題は、PoEの規格のIEEE802の小数点の部分の数字が何だったのか迷いました。無線LANも含めて、規格の名前は本番前に再度復習が必要ですね。
設問3(2)は、BC内のAPだけでなく、本社のAPの通信も考慮に入れると、WLCとL3SW1の間ではなく、「広域イーサ網の帯域」がボトルネックになりますね。今回、唯一間違えた問題でした。
・IEEE802.11nのmixed modeでは、フレームの先頭にIEEE802.11gと同じプリアンブルを付加して通信のタイミングを取り、同時利用を可能にしている。
・Webアプリケーションがブラウザに送るURLに、パラメタを埋め込む方法は、一般にURLリライティングと呼ばれている。
・フレームアグリゲーションを行うと、一つの無線フレームの大きさが通常の無線フレームよりも長くなる。その結果、無線チャネルの占有時間が長くなるため、他の通信は、その無線チャネルが開放されるまで通信を待たされる。
午後1問3も、やったことのある問題でしたが、正解率は6割程度でした。要復習な内容です。
設問1のイは、現時点では600Mbpsが出ているので、既に古くなってしまった設問ですね。
設問2(3)は、ファイルサーバとSWの間はすぐにわかりましたが、SWとAPの間は、APがたくさんあることを考慮してしまったので、解答できませんでした。
設問3(2)は、普通に考えればRPサーバですが、その場合、外部からのWebアクセスには対応できないと考えて、FWと解答してしまいました。図をよく見ると、Webサーバは社内ネットワークに置かれていて、社外からのアクセスはありません。したがって、RPサーバで十分ということになりますね。ケアレスミスです。
設問3(4)は、SIDを予測困難なものにするという観点で解答してしまいました。正解は、「非SSLの状態からSSLを利用する際は、SIDを振り直す」でした。

午後2問1は、2回目の解答で7割の正解率でした。
初見の時にFCの話やフレームのフォーマット等が出てきたときにはゲンナリしましたが、問題文をしっかり読み込めば専門知識がなくても解答できる良問だと思います。OpenFlowの時もそうでしたが、新技術を扱う問題の方が難易度は低めかもしれないので、本番の時にも恐れずチャレンジしてみる方が良いかもしれません。
設問2(2)は、HCの値が減産され、0になると廃棄されてしまうので、最大ホップ+1と考えてしまいましたが、減産されるのはあくまでRBを通過する時点なので、目的RBに到達すれば、その時点で0になっても問題はなく、最大ホップ数と同じ値で良いということになりますね。
設問2(3)は、ファブリックポートの方は毎回宛先が変わるので、MACアドレスを学習するのはエッジポートに決まっていると最初に思いつきましたが、複数のVLANのパケットが流れること等を考え過ぎて、ファブブリックポートと解答してしまいました。
設問2(6)は、「隣接宛先RBのMACアドレス」と解答してしまいました。隣のRBのMACアドレスは、わざわざ各RBのMACアドレステーブルを集めて共通のMACアドレステーブルを作る必要がないので、最終的な宛先となる「ファブリックの出口RB名」が正解でした。
設問3(1)は、最終的な宛先になる「FCoEストレージ」と解答してしまいました。そもそも、イーサネットフレームはIPパケットと違ってエンドツーエンドではないので、最終目的地のMACアドレスはわかりません。最も近い距離のNICを持つ装置を解答すべきでした。「ログインしたFCF」という表現を導き出すのは少々難しいですが、問題文をしっかり読めば解答できなくはない問題でした。

午後2問2は、2回目の解答で8割強の正解率でした。
STP、IPv6ともに基礎知識はほぼ問題ありませんでしたが、記述式の解答はポイントを抑えないと減点されてしまいますので、2012年の午後2としては、問1を選んでおいた方がリスクは少なそうです。
設問3(3)は、しょうもない計算ミスでIPv6形式に変換した後のアドレスを間違えてしまいました。IPv4の形式で書いても間違いではないようなので、本番でもし出たら、無理にIPv6の形式にしなくても良さそうです。
設問4(1)は、BPDUが受信できなくなったという観点で解答をしてしまいました。そうではなく、「MACアドレステーブルがクリアされたから」というのが正解でした。確かにその通りですが、当たり前過ぎて逆に解答が難しい設問です。
設問5(2)は、設置場所と配線が詳細設計の項目に列挙されていたので、具体的な機器名を結びつけて解答しましたが、正解では、「機器への詳細な設定情報」のようになっていました。部分点はもらえると思いますが、「設計書の項目名」という観点では、一般名を書いておくべきかもしれません。
設問3(3)は、逆に、方式設計とのことなので、「サーバのアクティブLANポート」という粒度ではなく、通信経路の制御方法、ポートの優先度の設定規則、というような観点で解答してしまいました。このあたりはサジ加減が難しいですね。

ネットワークスペシャリストの勉強メモ16

アイテックの2015年のネットワークスペシャリスト模擬試験の復習です。
・稼働中のVMを別の物理サーバに無停止で移動させる技術のことを、一般にライブマイグレーションという。
・イーサネットで一斉配信フレームが届く範囲のことをブロードキャストドメインという。
・OSPFの等マルチコストパス(ECMP:Equal-Cost Multi-Path)では、通常は5つの情報(送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号)を使ってネットワークフロー(パケット単位ではない!)を識別して、負荷分散を行う。
午後1問1は、7割程度の正答率でした。OSPFとBGPに関する設問は専門知識が必要でした。BGP-4のMED値という用語は初めて目にしました。
・IEEE802.11ac:ギガビットWi-Fi
・WPAのセキュリティプロトコル:TKIP(Temporal Key Integrity Protocol)
・WPA2のセキュリティプロトコル:CCMP(Counter mode with CBC-MAC Protocol)
・端末の電子証明書を用いて認証を行う方式:EAP-TLS
・ユーザーIDとパスワードによってユーザーを認証する方式:EAP-PEAPとEAP-TTLS
午後1問1は、7割程度の正答率でした。
無線LANの規格についてはほぼ抑えているつもりでしたが、セキュリティについては、用語も含めて理解が不完全でした。
・IPv4とIPv6のプロトコル変換を行う方式:IPv4/IPv6トランスレーション
・IPv6では、IPアドレスを自動で設定するために、IPv4で使われてきたDHCPのIPv6版であるDHCPv6の他、RA(Router Advertisement:ルータ広告)による方法が用意されている。
・RAは、デフォルトゲートウェイとなるルーターからIPアドレスの上位64ビットなどのプレフィックスを通知する。RAを受信したホストは、通知された64ビットのプレフィックスにホスト部となる64ビット分を追加して、IPv6アドレスを自動的に生成する。
・リンクローカルユニキャストアドレス:fe80::/64
・IPv6アドレスの逆引きレコードは、IPv4と同様にPTRレコードが用いられるが、ドメイン名はIPv4ではIPアドレスのドットで区切られた8ビットごとのラベルの順序を逆にして、最後にin-addr.arpa.を付けるルールになっていた。これに対して、IPv6では、省略形を元に戻した上で、16 進数で書かれたアドレスの順序を逆にして、4ビットごとにドットで区切り、最後にin6.arpa.をつけるルールになっている。
 例)2001:0db8:0:1::20 → 0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.
午後1問3は、7割程度の正答率でした。
IPv6の用語に関しては、まだ知識不足な点がありました。DNSでのIPv6の扱いについても、AAAAレコードぐらいしか知らなかったので、良い演習になりました。
・PIM:RIP、OSPF、BGPなどのルーティングプロトコルに依存せず、どのユニキャストルーティングプロトコルでも利用でき、経路表の経路情報を利用してマルチキャスト転送機能を実行するという特徴がある。
・IPsecのメインモードでは、応答社が始動者(接続元)のもつIPアドレスによって、接続元のPSKを特定するようにしている。このため、動的なIPアドレスが割り当てられるインターネット接続環境では、接続の都度、IPアドレスが変化するので、通信相手のもつPSKを特定できず、PSK認証を行うことができないという問題が発生する。
・IPsecのアグレッシブモードでは、接続元のIDなどを用いることによって、この問題を解決しようとしているが、接続元が相手に送るIDは暗号化されないまま送信されるので、メインモードに比べると、セキュリティ面で劣ることになる。
午後2問1は、半分程度の正答率でした。
専門知識を求められる設問なので、知らないと解答できないものが多かったです。
知識不足と言われればそれまでですが、本番の過去問では、馴染みのない技術には関しては解説が用意され、基本的な知識の組み合わせで解答できるようになっているので、模試としては、あまり良問とは言えない気もします。
・RLO(Right-to-Left Override):右から左に文字を記述するための制御コードのこと。
 例) example_[RLO]fdp.exe → example_exe.pdf
・DNSSECでは、ZSK(ゾーン証明鍵)が正しいことは、KSK(鍵証明鍵)によって署名されるが、KSKが正しいことは、KSKのハッシュ値をDS(Delegation Signer)という形にして、親のゾーンで公開してもらう形で担保される。
・DNSのメッセージ長は、通常、512バイトに制限されている。このため、512バイトを超えた場合でもDNSを使用するには、EDNS0(Extension Mechanisms for DNS)という規格を使うか、TCPを使う必要がある。
・SMTPで送信者のメールアドレスを指定するコマンドは、"MAIL FROM"、宛先のメールアドレスを指定するコマンドは、"RCPT TO"。
・接続先のWebサイト所有者の名称や所在地の要約と、証明書を発行したCAの名称などがブラウザ上に表示されるのは、EV SSL(Extended Validation SSL)。 ・S/MIMEを利用する際には、すべての利用者が公開鍵証明書(S/MIME)を取得していなければならない。
・メーリングリストサーバにおいて、メールのサブジェクトや本文が修正されることがあるので、DKIMの署名の検証に失敗してしまうことがある。この問題を回避するには、メーリングリストサーバにおいて、投稿者が付与したDKIMの署名を削除し、サブジェクトや本文の修正後にメーリングリストサーバで再署名する必要がある。その際、署名者を確認できるように、"Sender:"ヘッダを付与することが必要となる。
午後2問は、6割強程度の正答率でした。
内容的にはネットワークスペシャリストというよりも、ほとんどセキュリティスペシャリストの試験という感じですね。
アイテックの模試らしく、マニアックな専門知識が必要な設問がありますが、問1に比べれば、一般的な知識で解答できる設問が多かったようにも感じました。

2016年10月9日日曜日

ネットワークスペシャリストの勉強メモ15

ネスペ 27 礎 -ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。

・SSOにおいて、通信を中継する方式:リバースプロキシ方式
・WebサーバがPCにCookieを渡す方法:Set-Cookie
平成27年の午後1問1は7割強の正答率でした。
設問1の知識の穴埋め問題で全問正解できなかったのは痛いですね。まだ基礎知識が足りていないのかもしれません。
設問3(1)は、先にSSOサーバにアクセスすることから、「sso.a-sha.example.jp」と解答してしまいましたが、正解は「a-sha.example.jp」でした。SSOサーバだけでなく、他のサーバにもCookieを持ち回らなければなりませんので、確かにもっと広い範囲のドメインを指定する必要がありますね。

平成27年の午後1問2は2度目の解答でしたが、9割の正答率でした。
設問1(ウ)は、「フェイルオーバー」と解答してしまいました。意味的には間違っていないと思いましが、正解は「維持」ですね。
設問2(1)は、IPアドレスはエンドツーエンドということがわかっていたのですが、機器bではなく送信元の機器aを答えてしまいました。ケアレスミスなので、本番では絶対しないようにしたいです。
・フォールスポジティブ:正常な通信を誤って不正と検知してしまうこと。
・フォールスネガティブ:不正な通信を見逃してしまうこと。
平成27年の午後1問3は2度目の解答でしたが、ほぼ満点でした。
記述式は多少減点される可能性があることと、設問2(1)は正解がわかっていたにもかかわらず、ケアレスミス(図の見間違い)で誤答してしまいました。

平成27年の午後2問1はギリギリ6割ぐらいの正答率です。HTTP1.1の前提知識が必要で、かつ過去問で出てこなかった目新しい内容なので、難易度が高く感じました。
午後2は問題を見て得意な方を選べば良いのですが、苦手に感じた問題でも安定して7割程度は解答できるようにしておかないと少々不安です。
設問1(1)は、「同一セグメント」と書いてあったので考えすぎて「MACアドレス」と解答してしまいました。ロードバランサはワンアーム構成ではなく通常の構成で、しかも、そのことは設問1(3)と(4)でも問われています。素直に「送信元IPアドレス」とすべきでした。惜しいです。
設問2(1)は、PCから見ると新業務サーバがリバースプロキシになっているように見えますが、そうではないようです。また、シーケンス図を見ると、中継装置の方が手前に位置しているので、こちらの方がリバースプロキシのようにも見えますが、中継サーバはあくまでリクエストに応じて代理で情報を取得しているのに対して、通信アダプタの方は、単独でHTTPヘッダ「If-Modified-Since:x」を付加したリクエストを設備へ送信しているので、リバースプロキシということですね。解説を読めば何となくわかったような気もしますが、今ひとつスッキリしません。
設問2(5)は、正解の方の一つの「設備とTCPコネクションが確立できない場合」は、通信アダプタが落ちていることを想定して、同様の解答ができましたが、「設備がNot Modifiedを応答した場合」の方は解答できませんでした。設問2(4)で、多くの場合に通信アダプタがのキャッシュの方が中継サーバのキャッシュよりも新しいので、その場合は設備への通信を行わないという風に解答しましたが、そうではなく、通信アダプタに限定した解答を求められていました。しかしながら、設備も状況というのは、常に変動しているはずなので、設備側の状況が更新されていないというケースは少ないのではないかという気もしますが、深読みしすぎでしょうか。
設問2(6)は、前問の不正解を引きずってしまいました。通信アダプタのキャッシュが新しい場合は、オンデマンドで設備への通信を行う必要がないので、通信間隔を大きくすると、設備への通信が発生する機会が増えるので、レスポンスが悪くなるという解答をしましたが、正解はそうではなく、「電源断などで設備との通信ができない場合の稼働情報が古くなる」とのことでした。理由としては確かに納得できるものです。
設問3(2)は、イーサネットフレームのデータ部分とあったので、フレームの末端のチェックサム部分を解答してしまいました。IPヘッダとUDPヘッダは、イーサネットフレームの中ではデータ部分に格納されるものですね。
設問4(3)のイは、毎秒トランザクション30件×通信アダプタの稼働率0.8=24と解答してしまいました。コネクションの保持時間を計算に入れる必要があるので、正しくは、毎秒トランザクション30件×コネクションの保持時間3秒×通信アダプタの稼働率0.8=72になりますね。
設問4(5)は、HTTP1.1にkeepaliveの機能があることは知っていましたが、この設問では、クローズ処理について聞かれています。しかも、「クローズ処理オプション」と書いてあるので、専門知識がないと解答ができないように思わされます。解説を読めば、コネクション数を減らすために後続がなければ切断するという、やや当たり前の内容になっていますが、この解答をすんなり導き出せた人はいるのでしょうか?
設問4(6)は、パイプラインを有効に使うために、URLをまとめなければならないというところまではわかりましたが、通信アダプタにFQDNを付与するという点までは思い至りませんでした。難しいですね。 
・IPsecの送信側では、認証データを含むAHヘッダを付与する。認証データは、元のパケットを元に計算した値となる。受信側では、受信したパケットから認証データを再計算する。それと、送られてきた認証データが一致すれば、正規の送信者であるという認証が行なえ、同時に改ざんがないことも確認できる。 
・IPsecの通信は、ESPプロトコルによる暗号化通信の前に、IKEプロコトルを使って鍵計算を行う。IKEはフェーズ1とフェーズ2に分かれ、フェーズ1では、ISAKMP SAと呼ばれる制御用のセッションを確立する。このIKE(ISAKMP)で使うポート番号が500番である。 ・ESPヘッダにはポート番号が存在しない。
平成27年の午後2問2は2度目で7割強の正答率です。VXLANは頻出なので、ほぼ正答できていましたが、他の部分はまだまだ理解が不十分なようです。
設問1のeは、「マルチキャストIPアドレスを基に生成」とあったので、「マルチキャストグループ」と解答してしまいました。「フレーム」とあるので、データリンク層のことを聞かれていると気づくべきでした。
設問2(1)は、ネットワーク構成図に他の顧客宅のCPEが書いてあったので、「CPEで使用しているIPアドレスの重複」を書いてしまいました。よく考えれば、CPEのアドレスを割り振るのはISPなので重複はありえず、重複があるとすれば、ユーザー側で自由にネットワークアドレスを決められるPC〜CPEの間とISPが管理しているCPE〜CGNの間ということになりますね。
設問2(2)は、今回はシェアードアドレスが題材になっているということで、「グローバルIPアドレスとシェアードIPアドレスとアクセス日時」を解答しましたが、正解はもっとシンプルで、「送信元IPアドレスと送信元ポート番号とアクセス時刻」でした。
設問3(1)は、ほぼ解答できていましたが、設問中に「認証対象に着目して」とあるので、「IPヘッダの内容が書き換えられる」と明記すべきでした。減点対象となったかもしれません。
設問4(1)は、解説を読めば納得ですが、2回目でも、「マルチキャストMACアドレスが送信元アドレスになることはない」というアイデアは浮かんできませんでした。難しいです。
設問4(2)は、ビデオサーバではなくルータ2に着目して、IGMPの制御がないことから、「ビデオサーバから送られたパケットをそのまま中継するから」という解答にしました。正解に近い部分点はもらえるのではないかと思いますが、正解の「ビデオサーバは、マルチキャストパケットを送信する側だから」というのは、当たり前過ぎて書きにくい解答だと思います。

2016年10月8日土曜日

ネットワークスペシャリストの勉強メモ14

ネスペ 26 道 -ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。

平成26年の午後1問1は2回目でも7割程度の正答率でした。
設問2(1)は、問われている内容は理解できていましたが、仮想ルータという言葉が出てきませんでした。
設問2(2)は、OSPFの経路集約の概念がまったく理解できていませんでした。問題文中の「プレフィックスが最も短くなる」というのは、サブネットのビット数が小さくなるという意味も理解できていませんでした。
設問2(3)は、L2SWに対してたすき掛けになっている部分の考慮が抜けて、余計なルータを記入してしまいました。PCから通信した場合はVRRPの仮想IPアドレス宛に通信を行っても、ルータからの通信の場合は、ルータの元々のIPアドレスに対して行うという状況も理解が難しかったです。

平成26年の午後1問2は比較的最近解いたこともあって、全問正解でした。
内容もきちんと理解できていました。このレベルの問題が本番でも出てくれると良いですね。
DNSキャッシュサーバの主な目的
1. DNS問い合わせの迅速化
2. DNS問い合わせトラフィックの減少→WAN回線の使用帯域を減らす。
3. コンテンツサーバを分けて、セキュリティを高める。
・C&C(Command and Control)サーバ:インターネットからPCのマルウェアに対してコマンドを送って、遠隔でControlするサーバのこと。
平成26年の午後1問3は2回目で8割程度の正答率でした。
設問2(2)は、「断片化されたエコーパケット」という表現が思い浮かびませんでした。確かにその通りですが、FWで特定のサイズ以上のICMPパケットを廃棄する機能もあるのではないかと思います。
設問3(3)は、いわゆるボット攻撃の対処方法を聞かれていると思ったので、回答が1つしかできませんでした。「内部から外部への通信に対する遮断ルールの設定」というのは、FWである以上は当然とも思いますが、言われてみれば確かにその通りです。
設問4(2)は、評価と見直し、いわゆるPDCAサイクルのCとAに該当する行動ですが、きちんと回答できませんでした。将来担当者が変わった場合に対処方法をドキュメント化する、という観点を回答してしまいました。

平成26年の午後2問1は2回目で7割程度の正答率でした。
設問1(c)は、IPアドレスは詐称可能なので、ホスト名と解答してしまいました。よく考えれば、TCPであれば3ハンドシェイクになるので、送信元のIPアドレスは詐称することはできません。
設問2(2)の回答例の「メールの送信元のMTAのIPアドレス」という言葉を導き出すのは難しいですね。メールのヘッダー情報に送信元のIPアドレスが含まれているということがわかれば解答できる問題ではありますが、難しいです。
設問2(3)は、中継サーバの役割は理解できていたのですが、「社外に送信されるメールの送信元IPアドレスになる」という表現が導き出せませんでした。設問2(4)の正解となる「社外とのメール送受信がメール中継サーバを経由するから」と解答してしまいました。
設問3(2)は、サーバ証明書の妥当性を確認するには、証明書を作成した認証局のルート証明書が必要ということが解答できませんでした。証明書なので、復号に使用する公開鍵を解答してしまいました。復号するのは比較のためのハッシュ値を求めるためなので、比較対象の証明書が必要ということですね。
設問3(3)は、正解自体はシンプルな表現ですが、メカニズムは少々複雑です。プリマスタシークレットを復号するのは、元々の通信相手であるWebサーバの公開鍵が必要で、本問の場合は、間にプロキシサーバが入っているので、公開鍵がないために復号できないということですね。
設問4(1)は、ポートは正しく指定できましたが、INとOUTを間違えてしまいました。慎重に考えれば正解できた問題でした。惜しいです。
設問5(1)は、SSLで暗号化された通信内容を確認できるという解答はすぐ思い浮かびましたが、60文字近くまで引っ張るのが難しいです。もう一方の回答例の「プロキシサーバの認証に連続して失敗したことが記録されたログから、マルウェアの活動と推測できる情報が取得できる」は出てきませんでした。

平成26年の午後2問2は2回目で6割強程度の正答率でした。
設問2(3)は、エンドツーエンドの通信について問われていると読んだので、NAPTによるポート番号のことを解答しましたが、SBCが仲介するのは公衆電話網のSIPサーバとIP-PBXの間までなので、単にVoIP-GW上でプライベートIPアドレスをグローバルIPアドレスに変換するというのが正解でした。
設問3(1)は、ロガーの仮想NICと仮想スイッチの動作については理解できていたつもりでしたが、正解の「仮想スイッチのポートに該当するVLANのフレームを出力し、仮想NIC側でそれらを全て取り込む動作」という表現は、2回目でも出てきませんでした。利用ごとにVLANを分けて余計なフレームを流さないとうのは理解できていましたが、トランク接続でつながっている仮想NICにすべてのフレームを流すという部分まで解答するのは難しいです。
設問3(2)は、「送信元MACアドレスがポート1に設定されるので、戻りのパケットがポート3に到達できない」と解答しましたが、理解が不十分でした。ポート1からポート3にパケットがミラーされた時点で、ポート3が送信元になり、ポート7から届いた戻りのパケットも直接ポート3に配送しようとするため、破棄されてしまったということになります。解説を何度も読んでも難しい設問です。
設問4(5)は、設問3が解答できてないと自動的に不正解になりますね。キツイです。

2016年10月2日日曜日

ネットワークスペシャリストの勉強メモ13

ネスペの剣 25-ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。
・IEEE802.11a:5GHz帯。
・IEEE802.11g:2.4GHz帯。
・IEEE802.11n:2.4GHz帯と5Ghz帯。
・IEEE802.11ac:5Ghz帯。
(H25 午後1 問3)
平成25年の午後1問1は初見で7割程度の正答率でした。一応合格ラインはクリアしていますが、安定して8割程度は得点できるようにしておきたいです。
設問2(1)でIEEE802.11aの周波数帯を間違えてしまいました。無線LANの周波数は頻出なので、完全に丸暗記が必要です。
設問2(3)のBBルータのポートは落ち着いて考えれば正解を得られる問題でした。
設問3(3)のブロードキャストフレームの折り返しは、解説を順を追って読めば理解できますが、試験中の限られた時間内で全て見通して正解を得るのは難しいですね。捨て問題にしても良い問題だと思います。

平成25年の午後1問2の2回目はほぼほぼ正解でしたが、設問1のイでブロードキャストアドレスを除かずに「127.255.255.255」と解答してしまいました。
また、設問3のDMZ→社内LANのFWのフィルタリングの空欄はIPアドレスではなくポート番号を解答してしまいました。
この種のケアレスミスは絶対に避けなければなりません。
・QinQ:IEEE802.1QのVLANタグの中にさらにIEEE802.1QのVLANタグを入れる規格。
・チャレンジレスポンス方式では、送信された乱数(チャレンジ)からハッシュ関数により暗号化されたレスポンスを生成して返信する。
(H25 午後1 問3)
平成25年の午後1問3の正答率は7割ほどでした。
VLANのIDは最大4096個ということは知っていましたが、12ビットではなく、16ビットと解答してしまいました。
設問2の宛先MACアドレスと送信元MACアドレスは、トンネル化しているという設問の意味をちゃんとできずに通常のデータリンク間のMACアドレスを書いてしまいました。
設問3の(3)は正解を読めば納得ですが、これは試験中に考えられそうにありません。満点を取る必要はないので、難問はあまりこだわらずに、潔く捨てるようにしたいです。
・無線LANの最初の標準規格:IEEE802.11
・チャレンジレスポンス方式では、送信された乱数(チャレンジ)からハッシュ関数により暗号化されたレスポンスを生成して返信する。
・WEPとWPAで利用する暗号化アルゴリズムはRC4。WPA2ではAES。
・サーバ側のNICにチーミングの設定がされている場合は、スイッチ側でリンクアグリゲーションの設定が必要となる。
・他のホストの代理でARP応答する仕組み:プロキシARP
(H25 午後2 問1)
平成25年の午後2問1もSTPとVRRP関連の設問はほぼ正解できていますが、無線LANの設置に関する設問は2回目でもなかなか解答できませんでした。なんとなく理解はできているつもりですが、正解の文章に近い言葉を自力で書き出すのは難しいですね。

平成25年の午後2問2はOpenFlowの出題だったので印象に残っていましたが、2回目の解答でもそれほど6割強の正答率でした。解答には深い理解が求められています。解説の内容も2回目でようやく腑に落ちた感じがします。

ネットワークスペシャリストの勉強メモ12

ネスぺ23 本物のネットワークスペシャリストになるための最も詳しい過去問解説と合格のコツ」の復習用メモです。
・搬送波の変調および復調によってデータ伝送を行うのはブロードバンド伝送方式。
・波長850nmのマルチモード光ファイバは1000BASE-SX。
・ディジタルデータの著作権を保護し、その利用や複製を制御し、制限するのは、DRM(Digital Rights Management)。
・フロー(flow)とは、個々のパケットではなく、送信元と宛先が同じ組み合わせのパケットを、まとめて「一連の流れ」として識別したもの。
・インターネット回線の混雑時には、特定のフローが帯域を占有しないよう、各フローの帯域が均等になるようにルータで制御する。キューイングには、次のようなものがある。
1.PQ(Priority Queuing):パケットの優先度によって優先制御をする。
2.FQ(Flow-based or Fair Queuing):フローを基準として、ユーザ(またはPC)ごとにパケットを均等に流す。
3.WFQ(Weighted Fair Queuing):FQのように均等ではなく、優先度に応じた重み付けをする。
・PC1台が利用できる通信帯域=1フローあたりの帯域×フロー数
(H23 午後1 問1)
平成23年の午後1問1を解くのは2回目でしたが、 正答率は半分以下でした。物理層が中心の設問は馴染みがないこともあって難しいですね。もう一度ぐらい復習する必要がありそうです。
・待ち行列におけるM/M/1は、「到着する数はランダム/サービス時間は指数分布/窓口は一つ」を意味する。
・利用率(ρ)が1を超えると、待ち行列βにM/M/1モデルは適用できない。
・ディジタル署名の目的は、1)改ざん防止、2)なりすまし防止、3)否認防止の3つある。
・平均待ち時間=利用率(ρ)÷(1-利用率(ρ))×平均処理時間
・平均応答時間=1÷(1-利用率(ρ))×平均処理時間
(H23 午後1 問2)
平成23年の午後1問2も2回目でしたが、 ディジタル署名の目的と待ち行列の最後の計算問題以外は正解でした。やはり計算問題の方が確実に得点ができますね。
・ファイアーウォールにアンチスパム、IDS/IPS、VPN、Webフィルタリング、ウィルスチェックなど複数のセキュリティ機能を持たせた装置:UTM(Unified Threat Management;統合脅威管理)。
・簡易型ファイル転送用プロトコル:TFTP(Trivial File Transfer Protocol)。
・ディジタル署名の目的は、1)改ざん防止、2)なりすまし防止、3)否認防止の3つある。
(H23 午後1 問3)
平成23年の午後1問3も2回目なので、 ほぼ正解でした。ただ最初に解いた時にはなかなか解答できず、IPAの解答例に意外性があったので印象に残っていたからというのもあります。初見ではなかなか正解を導くのが難しい問題だと思います。
・アソシエーション:対向先との接続。IPSecにおけるSA(Security Association)のこと。
(H23 午後2 問1)
平成23年の午後2問1は知識的には特に問題はありませんでしたが、2回目でも非常に難しく、正答率は60%ギリギリかどうかという状況です。ネスペ23の解説では、解答がわからなくても問題文をじっくり読むと答えを導き出せるようですが、本番の緊張感の中でそんな芸当ができるかどうかですね。

平成23年の午後2問2はVRRPの設定を含めて知識的には問題なく、2回目の解答ではほぼ正解できました。同じ傾向の問題がまた本番で出ることを期待したいです。

2016年9月26日月曜日

ネットワークスペシャリストの勉強メモ11

アイテックのネットワークスペシャリスト通信講座の午前2対策ネットワーク事前テストの復習です。
正答率は20/25=80%でした。
ハミング符号の用途: Bluetooth通信でビット誤りを訂正するために使われている。
RSVP(Resource Reservation Protocol)は、IPネットワークにおけるホスト間通信において、映像配信などのリアルタイム通信を円滑に行うため、ネットワーク資源の予約などを行う帯域制御用のプロトコル。
OSPF:ネットワークをエリアと呼ぶ単位に分割し、エリア間をバックボーンで結ぶ形態を採り、回線速度などを考慮した最小コストルーティングのプロトコル。
・FCoE(Fibre Channel over Ethernet)は、FCフレームを直接イーサネットフレームにカプセル化して伝送する方式である。イーサネットはコネクションレス型の通信を行うので、伝送中にイーサネットフレームが失われると、それを回復する手段がない。そこでFCoEでは、イーサネットの全二重通信方式で利用されているpauseフレームを使ってフロー制御を行い、イーサネットフレームのロスを発生させないようにしている。
・FCフレーム自体は、ANSI X3T11委員会で規定したFCの仕様に基づくものである。TCP/IPとは別プロトコルであることから、UDPあるいはTCPは使用されない。IP-SANのiSCSIでは、SCSIフレームをTCPにカプセル化してIPネットワークに転送するが、これはFCoEとは異なるものである。
通信を開始する前にネットワークに対して帯域などのリソースを要求し、確保の状況に応じて通信を制御することをアドミッション制御という。
・IPv6プロトコルスタックしかもたないホストとIPv4プロトコルスタックしかもたないホストとの間で通信を行うには、両者の間にIPv4プロトコルとIPv6プロトコルの変換を行う装置が必要となる。このような機能をもった装置をIPv4/IPv6トランスレータ,そうした技術のことをIPv4/IPv6トランスレーションと呼ぶ。
・6to4:IPv6 over IPv4トンネル方式の一つで、RFC 3056(Connection of IPv6 Domains via IPv4 Clouds)として規定されている。IPv4ネットワークに接続された6to4対応ホストは、IPv4ネットワークによって6to4中継ルータまでIPv6パケットをカプセル化したIPv4パケットを送信する。そして,6to4中継ルータで、IPv6パケットを取り出して、IPv6ネットワークに接続されたIPv6ホストと通信するという方式である。
・Teredo:IPv6 over IPv4トンネル方式の一つで,RFC 4380(Teredo:Tunneling IPv6 over UDP through Network Address Translations)などで規定されている。IPv6パケットをIPv4のUDPパケットにカプセル化し,複数のIPv4 NATを越えてIPv6の通信を可能とするようにした方式である。
TCPヘッダにあるウィンドウサイズは,受信側からの確認応答なしで連続して送信できるデータ長の最大値をバイト数で表示するためのフィールドである。
OSPFのRouter-LSAは、エリア内の全ルータが作成し、エリア内部だけに伝播される。
アイテックのネットワークスペシャリスト通信講座の午前2対策セキュティ事前テストの復習です。

正答率は17/25=68%でした。

合格ラインには達していますが、ネットワークよりは低い得点なので、まだ基礎知識補充の必要がありそうです。
暗号化アルゴリズムの危殆化とは、計算能力の向上などによって、鍵の推定が可能となり、暗号の安全性が低下することが該当する。
情報システムにおけるコンティンジェンシープランとは、緊急時対応計画,非常事態対応計画などと呼ばれ、災害などで情報システムに不測の事態が起こった場合の対応計画である。緊急事態には組織体が大きな損失を受ける可能性があるので、あらかじめ、何らかの対応を準備し、いざという場合の行動基準を定めておく。この場合、企業の全てのシステムを考える必要はなく、システムの重要度(緊急事態発生時の予想損害額)と対策コストを考慮して対象を選択し、できるだけ有効性の高い対策を検討する。
WAF(Web Application Firewall)のブラックリストは、問題がある通信データパターンを定義したものであり、該当する通信を遮断するか又は無害化する。
認証局は、有効期限内のディジタル証明書をCRL(Certificate Revocation List)に登録することがある。
TPM(Trusted Platform Module)は,PCのマザーボードなどに搭載されるセキュリティチップのことで、一般に秘密鍵と公開鍵の鍵ペアを生成したり、乱数を発生させて共通鍵を作成したり、チップ内でデータを暗号化したりするほか、耐タンパ性を有するなどの特徴をもつ。
・CVE(Common Vulnerabilities and Exposures;共通脆弱性識別子)は、個別製品中の脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子である。CVE識別番号は「CVE-西暦-連番」という形式で、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家が、報告のあった脆弱性を評価し割り当て作業を行っている。
・JVN(Japan Vulnerability Notes)は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性対策ポータルサイトで、JPCERT/CCとIPAが共同で運営している。JVNでは独自の脆弱性識別番号に加えて、CVE識別子も採用して情報を提供している。
標準化団体OASIS(Organization for the Advancement of Structured Information Standards)が策定した、Webサイト間で認証,属性及び認可の情報を安全に交換するフレームワークはSAML(Security Assertion Markup Language)である。
テンペスト(TEMPEST;Transient Electromagnetic Pulse Surveillance Technology)攻撃とは、パソコンや周辺機器などから放射される電磁波を観測し解析することをいう。パソコンなど電子機器本体は,電磁シールドされているが、本体と周辺機器を接続するケーブル、コネクタがアンテナとなって電磁波が漏えいする。

2016年9月25日日曜日

ネットワークスペシャリストの勉強メモ10

アイテックのネットワークスペシャリスト通信講座の午後1総まとめテストの復習です。
・IPv4とIPv6を共存させる技術のうち、IPv4とIPv6の両方のプロトコルに対応させる方式のことをデュアルスタックという。
・IPv6プロトコルとIPv4プロトコルの変換を行う装置は、トランスレータと呼ばれる。トランスレータは、当初NAT-PT方式が主流であったが、現在はNAT64/DNS64方式が主流となっている。NAT64は、IPv6ネットワークからIPv4サーバへの接続性を提供するため、特定のプレフィックス宛てのIPv6パケットをIPv4パケットに変換することであり、DNS64は、IPv4サーバ(AAAAレコードを持っていないホスト)に対してAAAAレコード(NAT64によってIPv6-IPv4変換されたIPv6アドレス)の名前解決をIPv6ネットワークに提供する機能のことである。
・LBからWebサーバに対して送信元IPアドレスを追加するには、通常、X-Forwarded-Forフィールドが使用される。X-Forwarded-ForヘッダはHTTPの標準ヘッダではなく、多くの製品で使われているデファクトスタンダードである。現在、正式なヘッダの標準化作業が進んでいる。
・IPv4用のOSPFv2に対してIPv6用のOSPFv3があり、同様にIPv4用のRIPv2に対してIPv6用のRIPngがある。デュアルスタック環境では、IPv4用のOSPFv2とIPv6用のOSPFv3を、IPv4用のRIPv2とIPv6用のRIPngをともに動作させることが必要となる。
・利用者がアクセスするのは、CDN内に設置されたキャッシュサーバ(エッジサーバともいう)である。一般に、キャッシュサーバはリバースプロキシとして動作するため、そこで、IP通信はいったん終端する。このため、IPv4ネットワークに接続されたオリジンサーバは、キャッシュサーバとの間でIPv4によって通信するが、キャッシュサーバでIPv4とIPv6の変換を行えば、キャッシュサーバと利用者の間ではIPv6によって通信することができる。
・個々の機器が持つ時刻が一致していなければ、ログの照合作業が大変になるので、NTPサーバなどを利用して時刻を正確に合わせておくことが必要となる。
・IPv6のユニークローカルアドレスでは、企業同士の統合などによってネットワークが統合されてもアドレスのバッティングが発生しないように、40ビットのグローバルIDに乱数を使用している。
・RA(Router Advertisement)は、ICMPv6のメッセージの一つであり、レイヤ3で動作する範囲のもの、例えば、ルータのインタフェースのIPv6アドレスや、プレフィックスなどを通知することはできるが、それ以外の情報は通知できない。つまり、IPv4では DHCPで通知されていたDNSサーバのIPアドレスや、NTPサーバのIPアドレスなどは、RAでは通知されない。
2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
これでどうにか一冊完了です。
・iSCSIでは、サーバで稼働し、SCSIコマンドを発行して処理を要求するイニシエータと、ストレージ装置で稼働して、その処理を実行するターゲット間で、ブロックデータの入出力を実現させている。
・仮想サーバは、一つの物理サーバ上に複数構成される。このため、一つの仮想サーバが物理サーバの持つハードウェア資源全体を消費するような処理を行うと、他の仮想サーバは処理ができなくなる。そこで、稼働している仮想サーバの稼動状態だけではなく、物理サーバの処理能力の何%程度で稼働しているかなどといった物理サーバの稼動状態と対比して監視することが必要となる。
・システム切り替えスケジュールの立案において明確にすべき事項としては、「データ移行時に予測できる問題を事前に明確化して対応策を作っておく」と「システム切り替えを断念する時の判断基準と、それを決定する時間を明確化する」となる。
ネスぺ21 本物のネットワークスペシャリストになるための最も詳しい過去問解説と合格のコツ」の復習用メモです。
・スパニングツリープロトコルで利用する制御フレーム:BPDU(Bridge Protocol Data Unit)。
・接続機器のポートの属性を識別して、自ポートの結線をストレートまたはクロスに自動的に切り替える機能:Auto MDI(Medium Dependent Interface)/MDI-X。
(H21 午後1 問1)
・SMTP-SUBMISSION:ポート番号587
・IMAPS:ポート番号993
・POP3S:ポート番号995
・Webメールで利用するHTTPSでは、PCはCONNECTメソッドを利用してプロキシサーバへ接続先を指定し、SSLセッションをASPサーバとの間で確立する。そのため、プロキシサーバでのウィルスチェック機能は効果がない。
(H21 午後1 問2)
・IEEE802.11i:AESの暗号化アルゴリズム+TKIPの鍵交換管理+802.1X認証
・EAP(Extensible Authentication Protocol):PPPの拡張プロトコル。PPPではPAPかCHAPの簡単な認証のみだが、EAPでは証明書を使えるTLSやPEAPなどの高度な認証が可能となる。
・EAP-TLS(EAP-Transport Layer Protocol):サーバ・クライアントの両方電子証明書を用いるEAP認証方式。5
・有線LANはCSMA/CDで無線LANはCSMA/CA。CDはCollision Detection(検知)で、CAはCollision Avoidance(回避)。
・アソシエーション:PCが無線APと論理的に接続すること。
・無線LANでは、無線APにてPCを一台一台アソシエーションしているので、有線LANのようにHUB配下のPCがアクセスするような問題が発生しない。
・電子証明書を無効にするためには、失効リスト(Certificate Revocation List:CRL)を利用する。
(H21 午後2 問1)
H21 午後2 問1は難しくて歯が立ちませんでした。解説を読んで無線LANとセキュリティ系の知識は得られたような気がするので、少し時間を置いてからもう一度問題を解いて知識を定着させたいと思います。

2016年9月22日木曜日

ネットワークスペシャリストの勉強メモ9

2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSLのハンドシェイクプロトコルでは、最初にクライアントからサーバに対してClientHelloメッセージを送り、乱数の他、クライアントが使用できる暗号スイートのリストなどをサーバに通知する。
・IPv4のループバックアドレスは127.0.0.0/8であり、ホストに割り当てることができる範囲は、127.0.0.1〜127.255.255.254 である。
・サーバ証明書の正当性は、証明書が信頼できる認証機関である第三者認証局から発行されていることを、クライアント側で検証することで確認される。
・SSLのポートフォワード方式は、通信中にサーバ側のポート番号が変わるアプリケーションには使用できないという制限がある。
・SSLセッションのキャッシュ時間を延ばす設定を行えば、SSLのセッションIDの有効期間が長くなる(再使用できる期間も長くなる)ので、SSLセッション確立に伴う処理負荷を軽減させることができる。
・クライアント証明書の管理に必要な情報としては、クライアント証明書の有効期限がある。
・SSLVPN装置へのログイン時にJavaアプレットが持つべき機能としては、ウィルス対策ソフトの定義ファイルの適用状態を確認する機能があり、ログアウト時に持つべき機能としては、PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能がある。
(H25 午後1 問1)
・IDS(Intrusion Detection System;侵入検知システム)には、不正パケットに関する一定のルールやパターンを使って侵入を検知するシグネチャ型と、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなすアノマリ型がある。
・プロミスキャスモード:NICの動作モードの一つであり、宛先がどのようなMACアドレスであっても、そのフレームを受信するように動作すること。
・UDPのポートスキャンなどが行われると、対象ポートが閉じられていることを示すために、ICMPのport unreachable(ポート到達不能)というメッセージをパケットの送信元に返せば、攻撃者は攻撃対象となるサービスが起動していないと判断するので、更なる攻撃を抑止することができる。
・IDSが検知した送信元アドレスからの不正な接続をFWで遮断するには、FWのフィルタリングルール、つまりACL(Access Control List)に不正な送信元のアドレスを動的に追加して、それ以降の接続を遮断する必要がある。
・UDPの場合はTCPとは違ってコネクションを確立しないので、攻撃者は送信元アドレスとして偽装したIPアドレスを使っても不正なパケットを送ることができる。
・管理用PCを用いてIDSやIPSで取得したログの分析を行い、フォールスポジティブやフォールスネガティブの発生をできるだけ減らし、不正アクセスへの対応を最適化していくことが、セキュリティレベルの継続的な向上につながっていくことになる。
(H27 午後1 問3)
・ハッシュ値の衝突が発生する可能性を更に低くする方法としては、ハッシュ値だけではなく、他のチェック方法と合わせて使用することが必要になる。具体的には、CRC(Cyclic Redundancy Check)によるチェックビットを付加し、ハッシュ値とCRCの両方を比較する。
・データを2分割し、それぞれのハッシュ値を生成して、それらをつなぎ合わせて比較するという方法もある。
(H22 午後2 問1)
・受信したデータ中に不適切な言葉や文字列が含まれていた時に通信を遮断する機能は、コンテンツフィルタリング。
・PCがプロキシサーバにTCPデータをそのまま接続先まで転送することを要求する場合は、HTTPのconnectメソッドを利用する。この場合、プロキシサーバはPCとWebサーバの間におけるSSL通信には関与しない。
(H26 午後2 問1)
ローミングが行われるたびに再認証が行われると、処理時間が長くなることから、最近ではPMK(Pairwise Mater Key)キャッシュという仕組みを使って、再認証の処理を行わないようにしている。PMKとは、暗号化鍵を生成する基になるデータのことで、PCがIEEE802.1Xの認証に成功すると、WLC(または認証サーバ)から複数APに対してPMKを配布し、同じPMKを事前に持たせておくことによってIEEE802.Xの認証を再度行わないようにしている。
(H24 午後1 問2)
・主系から副系にフェイルオーバーした後も通信を継続させるためには、主系が管理している情報を副系が引き継ぐ必要がある。このように、FWで管理している情報の整合性を図りながら、主系から副系にフェイルオーバーすることを、ステートフルフェイルオーバーという。
・一般に、SWのLEDランプは、接続したLANケーブルが物理レベルで正常に動作するかというリンクの完全性のテストが行われ、問題がなければ点灯する。
・主系と副系のFWの間にSWを挟む構成にすると、一方のポート故障による対向のリンク断を防ぎ、どちらのFWの障害かを特定するのが容易になる。 ・SWで学習したMACアドレスと接続ポートの組は、MACアドレステーブルに保存される。(※IPアドレスとMACアドレスの組はARPテーブル!)
(H26 午後1 問2)

2016年9月19日月曜日

ネットワークスペシャリストの勉強メモ8

9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。


午後試験は採点で部分点がどれだけもらえるかによって結構点数が違ってくるので、実際に返却されるまではわかりませんが、合格ラインはクリアできているような感じです。ただ、問題によって得手不得手がどうしてもあるので、試験本番までのあと1ヶ月間、粛々と問題演習をこなしてゆくのみです。
▽検疫ネットワークの方式
隔離のための方式 説明
認証スイッチ方式 IEEE802.1X認証を利用したL2SWを使用し、ユーザ認証後にポートに検疫VLANを割り当て、検疫VLANに隔離し検証する。
※VLANポートの変更が可能なダイナミックVLANという機能が実装されている必要がある。
DHCP方式 DHCPで動的にIPアドレスを割り当てることによって、検疫LANに隔離し検査する。
認証ゲートウェイ方式 PCが配置されているセグメントと業務LANの境界に配置する装置であるゲートウェイにインストールされた検疫ソフトウェアで認証、検査し、治療が必要な場合は隔離する。
パーソナルファイアーウォール方式 PCにインストールされた検疫エージェント(パーソナルファイアーウォール)で検査し、治療が必要な場合は隔離する。
・サプリカント:認証要求を行い、認証結果を受信するためのソフトウェア。
・オーセンティケータ:サプリカントから送信された認証要求を認証サーバ(RADIUSサーバ)に転送する認証スイッチのこと。
・WPS(Wi-Fi Protected Setup):プッシュボタン方式、またはPIN方式によって、無線LAN機器の接続やセキュリティの設定を容易に行うことができる機能。
・チャネルの両端には、干渉防止のために未使用とするガードバンドと呼ばれる周波数帯がある。チャネルボンディングの技術で2チャネル分を束ねて利用する場合は、周波数が下のチャネルの上端と上のチャネルの上端の干渉を考慮する必要がなくなり、そのガードバンドとなっていた周波数を4本のサブキャリアとして使用できるようになる。
・外部から自社のゾーン情報に対する問い合わせに回答するDNSサーバをコンテンツサーバ、または権威サーバという。
・再帰問い合わせを受けたDNSサーバは反復問い合わせを行い、必要に応じてルートサーバから順々に問い合わせをする。このDNSサーバのプログラムのことをフルサービスリゾルバという。
・DNSコンテンツサーバでDNSコンテンツサーバ応答にディジタル署名を追加し、問い合わせたDNSキャッシュサーバで正当性を検証するDNSのセキュリティの拡張方式をDNSSECという。DNSSECを導入すれば、偽の回答を検出することが可能となるが、鍵管理の煩雑さなど運用上の課題が残されており、広く普及するまでには至っていない。
・セカンダリサーバは、SOA(Start of Authority)レコードに設定されているリフレッシュ間隔ごとにプライマリサーバのSOAレコードを確認する。前回確認した時点よりも、SOAレコードのシリアル番号が大きくなっていた場合、リソースレコードが変更されていると判断し、リソースレコードを同期させるためのゾーン転送を行う。
・複数台のメールサーバを設定した場合、MXレコードのプレファレンス値が小さい方のメールサーバが優先される。
・MXレコードとNSレコードに設定されるドメイン名(ホスト名)は、別名であってはならない。(RFC2181)
・DNSキャッシュポイズニングの対策としては、DNSSECや再帰問い合わせを受け付けるIPアドレスを制限する以外に、送信元ポート番号をランダムに割り当てる、DNSメッセージのIDをランダムに割り当てる、という対策も考えられる。
一般的にNAPTルータは、プライベートネットワーク側からの接続要求があった場合にその要求に対応したIPアドレスとポート番号の転送設定を動的に定義し、通信がクローズしたりタイムアウトした場合にその転送設定を削除する。インターネット側からプライベートネットワーク内のホストへの接続を行うためには、NAPTルータでIPアドレスとポート番号の設定を明示的に定義する必要がある。
・HTTPのように、一回の通信の内容がリクエストとレスポンスで完結し、その通信以外の通信の「状態」を保持していない通信のことをステートレスな通信という。
・スイッチの通常の物理ポートは宛先以外の他の物理ポートにパケットを流さない。パケットモニタリングを行うためには、他の物理ポートに流れているパケットをコピーして流す、ミラーポートに接続しなければならない。

ネットワークスペシャリストの勉強メモ7

9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。

午前2は自己採点で19/25=76%でした。問題用紙に「?」マークをつけた問題も少なくなく、まだまだ自信が持てるレベルではありませんが、一応合格ラインをクリアできる実力には達していそうです。
UTPケーブルの1対のより線で250Mbpsのデータ送受信を同時に行い、4対同時で1Gbpsの全二重通信をするのが1000BASE-T、1対のより線で500Mbpsの通信を行い、2対を送信に、残りの2対を受信に利用するのが1000BASE-TX。
・IEEE802.11nでは、20MHzと40MHzのチャネル幅に対応している。
・MIMOは、複数のアンテナで信号ストリームを同時に送信し、複数のアンテナで受信することによって高速化を図る技術。複数のフレームをまとめて送信することによって高速化を図る技術は、フレームアグリゲーション。
呼量(アーラン)=単位時間あたりの通話回数×通話時間÷単位時間=延べ通話時間÷観測時間
=電話機台数×単位時間あたりの1台の通話回数×平均回線保留時間÷単位時間
・OSPF(Open Shortest Path First)は、AS内部のルーティングに用いるリンクステート型のプロトコルである。OSPFでは、ネットワークトポロジーやコストの情報が含まれるLSA(リンクステート広告)を隣接するルータ同士で交換し、各ルータはその情報をLSDBと呼ばれるデータベースに格納する。そして、LSDBの情報を元にSPFアルゴリズム(ダイクストラアルゴリズム)に従って最短経路を選択する。大規模なネットワークでは、交換されるLSAの数やLSDBのサイズが増大することによって、SPFアルゴリズムによる計算量も増大し、ルータに大きな負荷がかかる。そこで、ネットワークをエリアと呼ばれる論理的な単位に分割することによって、LSAを交換する範囲を小さくし、ルータの負荷を軽減することが可能となる。
・OSPFでは、ネットワーク構成に変更が生じた場合、更新情報をマルチキャスト(ブロードキャストではない!)で通知する。
・IPv6では、マルチキャストを利用するノード(リスナ)は、マルチキャストリスナ探索(Multicast Listener Discovery)という仕組みを利用して、参加するマルチキャストグループをルータに通知する。この通知は、ICMPv6(Internet Control Message Protocol version 6)のメッセージを利用して行われる。
・IPv4においては、マルチキャストグループをルータに通知する際にはIGMP(Internet Group Management Protocol)が利用される。
・IPアドレスの重複検出を行う場合にIPv4ではGARP(Gratuitous Address Resolution Protocol)を用いるが、IPv6では、ICMPv6を用いる。
TCPでは、コネクションの確立を1対1で行うため、ブロードキャスト通信やマルチキャスト通信などの、同報性が必要な通信は行うことができない。
FTPSはSSL/TLSを用いて暗号化した通信経路上でファイル転送を行う。SFTPやSCPではSSHを利用する。
・OSCP(Online Certificate Status Protocol)は、ディジタル証明書の失効状態をリアルタイムで問い合わせて確認するためのプロトコルである。OSCPクライアント(リクエスタ)がディジタル証明書のシリアル番号などを指定したOSCPリクエストを送信すると、OSCPサーバ(レスポンダ)は有効/失効/不明のいずれかをOSCPレスポンスとして返す。
・CMP(Certificate Management Protocol):ディジタル証明書の発行や管理を行うプロトコル。
・SAML(Security Assertion Markup Language):ドメインをまたがるシングルサインオンを実現するために利用されるプロトコル。
・ディジタルフォレンジックス:電子データを収集/分析して犯罪調査や法的紛争における法的に有効な証拠書類とする技術。
・ステガノグラフィ:不正利用されることを防ぐために、データを他のデータに埋め込んで存在そのものを隠す技術。
ファジング(fuzzing)とは、ソフトウェア製品の脆弱性やバグを検出する手法の一つである。ソースコードを解析するのではなく、問題を引き起こしそうなテストデータを大量に自動的に生成して送り込み、その応答や動作を監視して、脆弱性やバグを検出するブラックボックス検査である。
・DKIM(DomainKeys Identified Mail)では、送信側はDNSサーバのTXTレコードに公開鍵を登録しておき、電子メール送信時にメールヘッダフィールドにディジタル署名を付加して送信する。受信側は送信ドメインを管理するDNSサーバのTXTレコードから公開鍵を取得し、そのディジタル証明を検証することによって送信ドメインを認証する。
・Sender IDでは、電子メールのヘッダ情報(から割り出したPRA:Purported Responsible Address)から取得した送信ドメインのメールサーバのIPアドレスで送信ドメインを認証する。
・SPF(Sender Policy Framework)では、DNSサーバのTXTレコードに登録されているSPFレコードのIPアドレスによって送信ドメイン認証を行う。
・送信元がSPFに対応していない場合に"none"という結果が返されるので、必ずしもなりすましメールであるとは限らない。
・CVSS(Common Vulnerability Scoring System;共通脆弱性評価システム)は、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)の3つの基準でIT製品のセキュリティ脆弱性の深刻度を評価し、0(低)、10.0(高)の数値で表す。CVSSによって、ベンダに依存しない共通の基準で脆弱性の深刻度を定量的に評価できる。
・CSIRT(Computer Security Incident Response Team):情報セキュリティインシデントに専門に対応する組織の総称。
・CVE(Common Vulnerabilities and Exposures;共通脆弱性識別子):個別の製品に含まれる脆弱性を識別するための共通の識別子。
・J-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan):IPAが情報の集約点となり、参加組織間でサイバー攻撃に関する情報共有を行い、サイバー攻撃対策につなげる取り組み。

2016年9月18日日曜日

ネットワークスペシャリストの勉強メモ6

9/11(日)のアイテックのネットワークスペシャリスト模擬試験の復習です。

午後1と午後2に関しては、合格ラインに達しているかどうか微妙な状況です。

IEEE802.3at(PoE Plus):IEEE802.3af(PoE)の拡張版。PoE Plusに用いるケーブルには、カテゴリ5e以上の性能が要求される。
・クロスサイトリクエストフォージェリ(CSRF;Cross Site Request Forgery):Webブラウザから偽装したHTTPリクエストメッセージを送信させてWebサーバを操作する攻撃。
・フォールスポジティブ:正しい通信を攻撃と誤判定する事象。
・クライアントとWebサーバ間で確立したコネクションをRSTパケットによって切断するには、クライアントから送信したように見せかけたRSTパケットをWAFからWebサーバに送信する。
・PPTP(Point-to-Point Tunneling Protocol):PPP(Point-to-Point Protocol)フレームのカプセル化にGRE(Generic Routing Encapsulation)を用いるもの。
・L2TP(Layer 2 Tunneling Protocol):PPTPとL2F(Layer 2 Forwarding)を統合したプロトコル。L2TP自体には暗号化の機能がないため、セキュアなVPN通信を行うためにIPSecと組み合わせたL2TP/IPSec(L2TP over IPSec)として使用されることが多い。この場合、PPPフレームはL2TPヘッダ、UDPヘッダ、ESPヘッダ、そして最後にトンネルIPヘッダでカプセル化される。
・GREやESP(Encapsulating Security Payload)によってカプセル化されたパケットでは、GREやESPがポート番号を持たないことから、NAPTを超えることができないという問題がある。そこで、ルータではVPNパススルー機能を有効にして、ポート番号の変換を行わずに、IPアドレスとGREヘッダ内のコールID、あるいは、ESPヘッダ内のSPI(Security Parameter Index)との組み合わせでVPN通信を識別する。
・ポリシーベースルーティング(Policy-Based Routing;PBR):送信元のIPアドレスも指定したルーティング設定。送信元を指定することによって、許可する通信を必要最小限に制限できるメリットがある。ポリシーベースルーティングでは、送信元のIPアドレス範囲以外にも、プロトコル種別や送信元や宛先のポート番号によって、異なるネクストホップルータやパケット送出先インタフェースを定義することも可能になる。
・全てのスイッチがOF方式に対応しているのであれば、VLAN IDやMACアドレスに重複があったとしても、受信物理ポートの違いによって制御できる。
・OF方式の特徴は、全てのOFSをOFCで一元管理できることである。新たなOFSの設定はOFCに対して設定を行うことで対応可能である。例えば遠隔地のOFSをメンテナンスする場合でも、ある程度OFCからの対応が可能である。
プロトコル IEEE802.11a IEEE802.11g IEEE802.11n IEEE802.11ac
利用周波数帯 5GHz帯 2.4GHz帯 2.4GHz帯
5GHz帯
5GHz帯
変調方式 64QAM 64QAM 64QAM 256QAM
チャンネルボンディング 不可 不可
チャンネル帯域幅 20MHz 20MHz 最大40MHz 最大160MHz
MIMO 不可 不可
空間ストリーム数 1 1 最大4 最大8
最大スループット 54Mbps 54Mbps 最大600Mbps 最大6.93Gbps
・IEEE802.11acのWave2仕様では、IEEE802.11nのSU-MIMO(Single User MIMO)機能に代わって、MU-MIMO(Multi User MIMO)機能に対応している。
・5GHz帯は、5.2GHz帯、5.3GHz帯、5.6GHz帯という3つの周波数帯に分かれており、5.3GHz帯と5.6GHz帯は気象レーダなどと同じ周波数帯を使用する。
・無線LANで使用するためには、気象レーダからの電波を検知すると、DFS(Dynamic Frequency Change)と呼ばれる機能によって、別のチャネルに切り替えることが必要となる。なお、電波干渉を回避するために、TPC(Transmit Power Control)と呼ばれることによって、無線の出力を低減させる仕組みも備わっている。
WPA(Wi-Fi Protected Access)ではTKIP(Temporal Key Integrity Protocol)、WPA2ではCCMP(Counter Mode with CBC-MAC Protocol)という暗号化プロトコルを使用して暗号化用のセッション鍵を動的に変更できるようにしている。
2.4GHz帯のISMバンド(Industry-Science-Medical Bands)は、産業、科学、医療用の機器に割り当てられている周波数帯である。これらの機器が無線LANと同じ周波数帯を用いていた場合、電波の干渉によって通信が不安定になったり、パフォーマンスが大きく低下したりする可能性がある。機器の例としては、電子レンジやマイクロ波加熱装置などがある。
・WEPにおけるICV(Integrity Check Value)は、CRC32というアルゴリズムを使用してチェックサムを計算するだけなので、WEPキーなどの秘密の情報を知らなくても計算することができる。そのため、第三者がデータを改ざんし、改ざんしたデータに対してICVを再計算して付与することができてしまう。
・WPAやWPA2では、秘密の暗号鍵を用いてMIC(Message Integrity Code)、あるいは、MAC(Message Authentication Code)を計算するため、第三者がデータを改ざんしても、MICやMACを再計算することができないので、改ざんを検知することができる。
・TKIPやCCMPでは、フレームにシーケンス番号を含めて、受信済みの値よりも小さかった場合は、リプレイ攻撃(再使用攻撃/再送攻撃)の疑いがあるとしてフレームを破棄する。
・TLSやIPSecなどのセキュアプロトコルでも、同様にシーケンス番号によるリプレイ攻撃への対策機能を提供している。
PSK(Pre-Shared Key)は各家庭などにおいて個人的に利用するためのモードであり、企業向けでの利用は想定していない。それは、全てのユーザーに対して同じPSKを設定する必要があり、利用者や端末を特定する方式ではないからである。
電波は、低周波ほど遠くまで到達し、高周波は遠くまで到達しないという性質を持つ。また、低周波ほど障害物を回り込んで到達し、高周波は直進性が高く、障害物による減衰も大きいために、回り込みにくいという性質がある。
マルチホップ通信では、RPL(IPv6 Routing Protocol for Low Power and Lossy Network)などの経路制御プログラムを使用して、他の920MHz帯無線機を経由して通信をすることが可能である。これによって、スマートメータなどの広い範囲で設置されているセンサと直接通信可能な範囲に親機を設置する必要がなく、親機の数を減らすことができるというメリットがある。

2016年9月17日土曜日

ネットワークスペシャリストの勉強メモ5

アイテックのネットワークスペシャリスト通信講座の午後1総まとめテストの復習です。
・サーバ側で公開鍵と秘密鍵の鍵ペアを作成し、認証局に対してCSR(Certified Signing Request:証明書署名要求)というメッセージを送る。
・サーバ証明書の失効処理を行うには、CAのCRL(Certificate Revocation List:証明書失効リスト)にサーバ証明書のシリアル番号を登録することが必要になる。
・無線APは通常、ブリッジとして動作する。
・無線IP電話機の接続先となる無線APが切り替わり、端末側で通信ができなくなったことを検知すると、無線IP電話機はDHCPサーバにユニキャストでDHCP REQUESTを送信する。
・DHCPサーバは割り当てるIPアドレスが異なることを通知するためにDHCP NACKを応答する。一般に、否定の応答を行うためには、NAKが使用される。
・DHCPメッセージには、giaddr(gateway ip address)と呼ばれるフィールドがあり、そこにはDHCPパケットをリレーしたエージェントのIPアドレスが設定される。DHCPサーバは、このフィールドを参照しリレーエージェントのIPアドレスが設定されていれば、そのIPアドレスによってクライアントがどのルータのどのインタフェースに接続されているかを認識できる。
・TRILL(Transparent Interconnection of Lots of Links):RFC6325:Routing Bridges(RBridges) Base Protocol:STP(Spanning Tree Protocol)の欠点であるブロッキングポートをなくしてマルチパスに対応した技術。
・VRRPは、インタフェースごとに独立して動作するため、障害時にはインタフェースによってマスタとバックアップが異なることがないように制御しなければ、通信が継続できなくなる場合がある。
・スタッキングはベンダー独自の技術で実現されていることから、一般に同じベンダーの同じタイプの機器同士でないと動作しないという問題がある。
・VRRP広告パケットの送信はマルチキャストアドレスを使って行われる。
・IPv6のリンクローカルアドレスの範囲は「FE80::/10」、リンクローカルマルチキャストアドレスの範囲は「FF00::/8」。それぞれ、FWで別途通過設定を行う必要がある。
9/11(日)にアイテックのネットワークスペシャリスト模擬試験を受けてきたので、その復習です。

午前2は自己採点で18/25=72%でした。不安な問題も結構ありましたが合格ラインは十分クリアできていました。
・10G BASE-T(IEEE802.3an)は、1対のケーブルで2.5Gbpsとなっている。ケーブルの品質としては、カテゴリ6または7(クラスEまたはF)を使用する必要があり、カテゴリ5(クラスD)は使用できない。
・10G BASE-Tでは、全二重しか対応していない。(アクセス制御方式のCSMA/CDは利用できない)
・IEEE802.11nでは、MIMOのアンテナ数は送信アンテナ4本×受信アンテナ4本であったが、IEEE802.11acでは、送信アンテナ8本×受信アンテナ8本(最大8ストリームの同時伝送が可能)に拡張されている。
・IEEE802.11acのチャネルボンディングでは、20Mhz幅を最大8つ重ねた160MHz幅が利用可能となっている。
・IEEE802.11acの変調方式は、OFDM(Orthogonal Frequency Division Multiplexing;直交周波数分割多重)である。
・IEEE802.11acの理論上の最大速度は6.9GBpsである。
・MACフレームのSFD(Start Frame Delimiter)はSFDの直後からMACフレームが続くことを示す区切りである。
・MACフレームの同期を行うためのフィールドは、プリアンブルである。
・IEEE802.1QのVLANタグを付加した場合には、長さ/タイプフィールドの直前に置かれたTPID(Tag Protocol Identifier)とTCI(Tag Control Information)によって識別される。
・経路選択のアルゴリズムとしてパスベクトルを用いているのは、AS(Autonomous System:自律システム)間において経路情報を交換するルーティングプロトコルのBGP(Border Gateway Protocol)である。
・OSPF(Open Shortest Path First)では、経路選択のアルゴリズムとしてリンクステート方式を用いている。
・SANには、ファイバーチャネルを使ったFC-SANと、IPネットワークを使ったIP-SANという2つの方式がある。IP-SANには、FCフレームをIPでカプセル化する方式(FCIP)と、FCフレームを使用せず、SCSIフレームをTCP/IPパケットでそのままカプセル化する方式(iSCSI)がある。
・FCoE(Fiber Channel over Ethernet)は、FCフレームを直接イーサネットにカプセル化して伝送する方式のことである。
・TCPヘッダもUDPヘッダも、それぞれのパケットに伝送誤りがないことを保証するために、チェックサムフィールドを持っている。
・SSLのセッションIDは、送信元および宛先IPアドレス、送信元および宛先ポート番号の組に対応付けられて管理される。このため、SSLは、コネクションを維持するTCPを利用するアプリケーションには利用できるが、UDPを利用するアプリケーションには利用できない。
・TCPは、エンドツーエンド間にコネクションを確立するので、その通信形態はユニキャストに限られる。一方、UDPはコネクションを確立しないので、ユニキャストの他、マルチキャストやブロードキャストの通信ができる。
・HTTP1.1のpersistent connection(持続的接続):HTTPリクエストに対するレスポンスが行われても、TCPコネクションを開放しないでそのまま維持すること。
・HTTP1.1のパイプライン化:一つのTCPコネクションを使って、HTTPリクエストに対するWebサーバからのレスポンスを待たずに、複数のリクエストに送信できること。
・ダウンローダ:攻撃者のサーバから別のウィルスをダウンロードして、活動を拡大させることが特徴のマルウェア。
・ボット:指示を受けた後に実行する処理コードが埋め込まれており、コンピュータが遠隔操作されることが特徴のマルウェア。
・rootkit:不正なソフトウェアのパッケージで、自身の存在や活動を隠蔽することが特徴のマルウェア。
・IPsecのESP(Encapsulating Security Payload)は、IPパケットの暗号化と、IPパケットの改ざんを検出するためにメッセージ認証用のデータ(オプション)を付加し、パケットを安全に転送するためのプロトコル。
・事前共有秘密鍵(PSK:Pre-Shared Key)は、鍵交換プロセスのうち、通信相手の相互認証を行うために使用されるものである。このため、PSK認証の後にESPで使用する暗号化鍵や認証鍵を、送受信者間で共有するプロセスが実行される。
・ICMP Flood:pingコマンドを大量に送りつけ、通信経路のトラフィックを過負荷状態にして正常な通信を妨害する。
・SYN Flood:TCPコネクション確立要求の送信元IPアドレスを偽装して、接続先サーバのリソースを枯渇させる。
・ARPスプーフィング:アドレス解決の要求に対して偽装したMACアドレスを応答し、他人宛ての通信を盗聴する。
・EAP(Extensible Authentication Protocol):IEEE802.1Xで使われる認証プロトコルであり、複数の認証方式を利用できる。
・S/MIME:PKIを利用した電子メールのセキュリティメカニズム。
・OAuth:Webサービス連携において、認可情報を移譲する仕組みを提供するもの。
・RADIUS(Remote Authentication Dial In User Service):無線LANアクセスポイントと認証サーバの間においてIPレベルで認証情報をやり取りするためのプロトコル。
ハミング符号:誤りが高々1ビットであれば、誤りの訂正ができる。
ウォームスタート:電源をオフせずにシステムを再起動させること。

2016年9月10日土曜日

ネットワークスペシャリストの勉強メモ4

2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSOの方式を分類すると、SSOで利用したいサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式と、SSOサーバにおいて全ての通信の中継を行うリバースプロキシ方式がある。
・HTTP応答パケット中のSet-Cookieヘッダには、セッションIDのほか、Domain属性、Secure属性、Expires属性などが含まれる。
・Set-Cookieで"secure"が指定されていると、ブラウザはSSL(HTTP)で暗号化通信を行うときだけ、Webサーバに対してCookie情報を送り返すようになる。
(H27 午後1 問1)
ロードバランサーが利用できるWebサーバの負荷情報として適切なものは、Webサーバの応答時間とWebサーバのデータ通信量。
(H24 午後1 問1)
RTPパケットによって音声通信を行う際には、次のような劣化要因がある。
1.RTPパケットを作成するために必要となる処理による音声遅延。
2.ネットワークの負荷変動やパケット化のための処理時間の変動によるジッタ。
3.転送中におけるパケットロス。
(H23 午後2 問1)
・VLAN用のタグは32ビットから構成され、最初の16ビットがTPID(Tag Protocol Identifier)、次の16ビットがTCI(Tag Control Information)となる。TCIは、プライオリティが3ビット、CFI(Canonical Format Indicator)が1ビット、VID(VLAN ID)が12ビットという構成になっている。
・VRF(Virtual Routing and Forwarding)とは、一つのルータやL3SWに複数の独立した仮想ルータを稼働させる機能。
・同じVLAN内の通信では、L3SWはL2SWとして動作する。
・一般に、二つのL2SWを接続する際に採用される冗長化の方法としては、スパニングツリープロトコル(STP)を動作させる方法と、リンクアグリゲーションを使う方法がある。
(H25 午後1 問3)
・OSPF(Open Shortest Path First)は、それぞれの物理ポートがもつ帯域幅をコストに換算し、コスト最小の経路を選択するルーティングプロトコル。
・一つのOSPFのネットワークは、複数のエリアに分けることができる。エリア番号が0であるエリアはバックボーンエリアと呼ばれ、必ず存在しなければならない。
・ルータのQoSとしては、RFC2474に基いて、IPヘッダのTOS(Type of Service)フィールドをDSフィールドとして再定義して通信の優先評価を行うDiffServモデルが実装されている。
(H26 午後1 問1)
・FCP(Fiber Channel Protocol)のフロー制御では、送信側と受信側の双方で、受信側の空きバッファ数を管理して送信を制御するようにしている。このため、隣接ノード間において発生する局所的なバッファ枯渇にも適切に対処できる。
・SPF(Shortest Path First)では、経路上のコストが同じである場合は、それらの経路を同時に使用してトラフィックを分散できる。同時に複数の経路を使用できるので、パケットの伝送帯域を増加させることができる。
(H23 午後2 問1)
タグVLANのポート規格:IEEE802.1Q
(H24 午後2 問1)
・オーバーレイ方式による仮想化では、サーバに接続するスイッチ側で、接続用のトンネルを終端、もしくは、カプセル化用ヘッダを追加、削除する機能が必要となる。パケットサイズが大きくなることで、中経路でのフラグメンテーションが発生する可能性もある。
(H25 午後2 問2)

2016年9月4日日曜日

ネットワークスペシャリストの勉強メモ3

徹底攻略 ネットワークスペシャリスト教科書 平成28年度」の復習用メモです。

・IPv6のヘッダ長は40バイトで、IPアドレスは128ビット。
・IPv6に用意されているフラグメントヘッダやルーティングヘッダなどは拡張ヘッダと呼ばれ、基本ヘッダに使用頻度の低いフィールドをオプションで追加することができる。
・(IPv6で表せるアドレス数)÷(IPv4で表せるアドレス数)=2^128÷2^32=2^96
・DNSサーバに追加するAAAAレコード:IPv4アドレスのAレコード
・IPv4アドレスをIPv6アドレスに変換するには、まずIPv4アドレスを2進数に変換して、その後、16進数に変換する。これに、与えられたIPv6のプレフィックスを連結する。
・STPでのツリーの再構成後は、MACアドレステーブルも再学習が必要になるので、テーブルの内容がクリアされる。
・タグVLAN:IEEE 802.1Q
(H24 午後2 問2)
・RFC3550:
 RTP(A Transport Protocol for Real-Time Applications):音声や動画などのデータストリームをリアルタイムに転送するためのプロトコル。
 RTCP(Real-Time Transport Control Protocol):RTPのフロー制御をするときの制御情報を提供するプロトコル。
・プロトコル番号50:ESP(Encapsulating Security Payload):IPsecのプロトコル
 ESPはネットワーク層のプロトコルのため、トランスポートの層のポート番号は存在しない。
・SSL-VPNレイヤー2フォワード方式では、ネットワーク層の中継を行わないため、同じネットワークに属する必要がある。
(H26 午後2 問2)

基礎的な知識習得は一応完了して、新しいテキスト、「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」に移行したため、以下、その復習用メモです。
・ブロードバンド伝送:搬送波の変調及び復調によってデータ伝送を行う方式。
・ベースバンド伝送:端末からのデータ信号をディジタル信号のまま、つまり変調をしないで伝送する方式。
(H23 午後1 問1)
・帯域幅が20MHzから40MHzになると、48の搬送波が単純に2倍になるのではなく、108の搬送波がデータ通信用に使用できる。そのため、チャネルボンディングを行うことによって、帯域幅20MHzの2倍に当たる288Mbps以上の300Mbpsを実現できる。
・無線LANフレームの先には、プリアンブルが付加され、それによって同期が取られるようになっている。
・フレームアグリゲーションを利用する場合でも、複数のフレームの宛先が同じでなければ、フレームの送信時間と確認応答の回数を減らすことはできない。
・フレームアグリゲーションを利用すると、無線チャネルの占有期間が長くなり、その間は他の通信が待たされることになる。
(H24 午後1 問3)
・WEPキーなどの共有鍵を用いて相手認証を行うには、通信相手から送られてきた乱数を共有鍵で暗号化して返送するチャレンジレスポンス方式がよく利用される。
・WEPでは、RC4という暗号アルゴリズムが使用される。
・GARP:同一サブネット内のIPノードがもつARPキャッシュを更新させる。
(H25 午後2 問1)
・DHCPリレーエージェント:DHCP DISCOVERパケットを別のネットワークセグメントに中継する機能。
・IPアドレスとMACアドレスの対応を保持したテーブル:ARPテーブル(ARPキャッシュ)
・MACアドレスの上位24ビット:OUI(Organizationally Unique Identifier):IEEEが製造メーカー(製造者)になどに対して割り当てた一意の番号。
・IEEE802.11a規格の無線LANでは5GHz帯の電波を使用。
(H25 午後1 問2)
・プライベートIPアドレスともグローバルIPアドレスともバッティングしないアドレスとして、シェアードアドレス(ISP Shared Address)がRFC6598とし定義された。
・MACアドレスの学習機能は、イーサネットフレームにある送信元MACアドレスを学習するもの。
・マルチキャストMACアドレスは、送信元MACアドレスとして使用されることはない。
(H25 午後2 問2)

2016年8月27日土曜日

ネットワークスペシャリストの勉強メモ2

徹底攻略 ネットワークスペシャリスト教科書 平成28年度」の復習用メモです。

順序 パケット シーケンス番号 確認応答番号
1 SYN 11111 なし
2 SYN/ACK 22222 11112
3 ACK 11112 22223
(H23 午前2 問12)
・フォワード誤り訂正方式は、受信側で誤りを検出するが、それを送信側に再送要求することなく、受信側で誤り訂正符号などを用いて訂正する方式。
・データグラム方式は、通信路を確立せず一つ一つのパケットを独立して送る方式。
(H21 午前2 問15)
・TCPのウィンドウサイズは一定の値ではなく、通信回線やホストの状況により臨機応変に変更される。
・TCPの緊急フラグが1となったときの緊急データの長さは、TCPヘッダフィールドの緊急ポインタで指定できる。
・TCPの順序番号は送信データストリーム中のセグメントのオクテット位置を示し、0〜2^32-1の値をとる。
(H19 午前 問30)
チェックサムフィールドは、IPヘッダではヘッダ部分のみのチェックサムを計算する。
TCP、UDPヘッダでは、擬似TCP、UDPヘッダを作成し、ヘッダとデータを含めたすべての部分についてのチェックサムを計算する。
チェックサムの計算は、IPヘッダとTCPヘッダについては必須だが、UDPヘッダについてはオプションであり、計算を省略して0を入れても良い。
(H23 午前2 問14)
・IDS(Intrusion Detection System)のうち、Webサーバなどのホストにインストールする方式は、ホスト型IDS。
・侵入検知の仕組みのうち、不正なパケットに対する一定のルールやパターンを登録したシグネチャを使い、照合していく方式は、シグネチャ型。
(H22 午後1 問3)
ベーシック認証では、利用者IDとパスワードを":"で連結したものを、エンコードせずにAuthorizationヘッダで指定する。
(H22 午後1 問3)
・R値:ノイズ、エコー、遅延などから算出されるもの。
・MOS値:主観的な通話品質の平均値。
・ジッタ:音声の乱れの一因で、パケットの伝送時間が一定しない状況。
(H27 午前2 問15)
国際化ドメイン名(IDN)では、英数字の全角/半角、および大文字/小文字はすべて同じものとして扱われる。
(H26 午前2 問15)
DNS情報を管理しているサーバを権威DNSサーバ(authoritative name server)という。
(H24 午後1 問1)
・S/MIMEやTLSで利用するディジタル証明書の規格は、ITU-T X.509で規定されている。
・認証局が発行するディジタル証明書は、申請者の「公開鍵」に対して認証局がディジタル証明したもの。
・ルート認証局は、下位の認証局の「秘密鍵」にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。
(H26 午前2 問17)
IPv4のIPsecのESPトンネルモードの電文中で、暗号化されるのはオリジナルIPヘッダからESPトレーラまで。
(H24 午前2 問12)
CRL(Certified Revocation List):有効期限内に失効したディジタル証明書のシリアル番号内のリスト。
(H24 午前2 問19)
ウィルス検知手法の一つであるビヘイビア法:検査対象プログラムを動作させてその挙動を観察し、もしウィルスによく見られる行動を起こせばウィルスとして検知する。
(H26 午前2 問20)
・IPSec:AHとESPの機能によって認証と暗号化を実現する。
・WPA2:暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC protocol)を使用する。
・WEP:利用者が設定する秘密鍵と、製品で生成するIV(Initialization Vector)とを連結した数を基に、データをフレームごとにRC4で暗号化する。
(H27 午前2 問17)
・DoS攻撃のうち、多数のコンピュータが集中攻撃するのは、DDoS攻撃(Distributed Denial of Service Attack):分散型DoS攻撃。
・DNSの問い合わせ結果は、送信元のIPアドレスに送られる。送信元のIPアドレスが標的サーバのIPアドレスに詐称して問い合わせを行うと、問い合わせ結果が標的サーバに送られる。問い合わせの流れは、DNSサーバが問い合わせ情報を反射しているように見えるので、この攻撃をDNSリフレクタ(Reflecter)攻撃と呼ぶ。
DNSの問い合わせの情報量に比べて問い合わせ結果の情報量が増えるので、DNSサーバの情報を増幅器に見立ててDNSアンプ(amp)攻撃とも呼ぶ。
(H26 午後1 問3)
・アドミッション制御:通信を開始する前にネットワークに対して帯域などのリソースを要求し、確保の状況に応じて通信を制御すること。
・ポリシング:入力されたトラフィックが規定された最大速度を超過しないか監視し、超過分のパケットを破棄するか優先度を下げる技術。
・シェーピング:パケットの送出間隔を調整することによって、規定された最大速度を超過しないようにトラフィックを平準化する制御。
(H23 午前2 問6)

ネットワークスペシャリストの勉強メモ1

この本(徹底攻略 ネットワークスペシャリスト教科書 平成28年度)で勉強を始めました。



演習問題で間違えたものなどをメモしていきます。


トランスポート層の機能:伝送をつかさどる各種通信網の品質の差を補完し、透過的なデータ転送を行う。(H27 午前2 問3)
プロトコルアナライザは、デジタルデータをキャプチャして取得できるアナライザのこと。そのため、アナログ伝送路ではなく、 D/A変換前、A/D変換前のデジタルデータを取得できる場所に設置する必要がある。(H17 午前 問45)
一般的に、トランスポート層まではバイナリデータ、アプリケーション層ではテキストデータを扱うことが多い。
パリティ専用の磁気ディスク装置があり、ビット単位のストライピングを行うのがRAID3、ブロック単位のストライピングを行うのがRAID4。
プリアンブル:同期用の信号として使うためにフレームの先頭に置かれる。
FCS:フレーム内のデータ誤りを検出するためにフレームの最後に置かれる。
HDLC手順/PPPなどのフラグシーケンス:フレーム内のデータを取り出すためにデータの前後に置かれる。
パディングデータ:フレームの長さを調整するためにフレームの最後に置かれる。(H23 午前2 問8)
無線LANで使用される搬送波感知多重アクセス/衝突回避方式はCSMA/CA。(H22 午前2 問5)
CHAP:PPPのリンク確立後、チャレンジメッセージを繰り返し送ることができ、それに対して相手がハッシュ関数による計算で得た値を返信することによって相手を認証するプロトコル。(H22 午前2 問5)
1000BASE/Tでは、カテゴリ5eのUTPケーブルが用いられており、2本の導線が4対収められている。
1000BASE/TXでは、1本のより対線で500Mビット/秒のデータを片方向づつに送り、全二重通信を実現している。
より対線では2本の導線の電位差で情報を伝えている。均一にせず、一方が他方を吸収するように工夫することで、外部に漏れるノイズを小さくしている。(H22 午前2 問5)
マルチホーミング:同一の宛先に対するパケットを複数の経路に分散させることができる機能。(H25 午前2 問5)
OFDM(Orthogonal Frequency Division Multiplexing):データ通信を複数のサブキャリア(搬送波)に分け、それを複数の周波帯に、互いに干渉しないように配置する方式。
CCK(Complementary Code Keying):4相の位相変調と符号を組み合わせることで多重化を行う方式。IEEE802.11bで利用される。(H25 午前2 問5)
多重化の方式はTDM(時)、FDM(周波数)、CDM(符号の掛け算)。
IEEE 802.11a:5GHz帯を使用。
IEEE 802.11b:変調方式にDSSSを使用。
IEEE 802.11n:20MHzのチャネル幅を2つつなげて使うチャネルボンディングという技術で40MHzのチャネル幅が利用可能。
IEEE 802.11n以降:MIMO(Multiple Input Multiple Output)を使用して複数のアンテナで送受信を行うことが可能。
Bluetooth:2.4GHz帯。
GPS L1:1575.42MHz。
GPS L2:1227.60MHz。
無線LAN(IEEE 802.11a/n/ac):5.15〜5.725GHz帯。
無線LAN(IEEE 802.11b/g/n):2.4〜2.5GHz帯。
第3世代携帯電話:718Mhz〜2170MHz帯。
PoE(Power over Ethernet):IEEE 802.3af
PoEの大電力対応版(30W):IEEE 802.3at
転送されてきたデータグラムを受信したルータが、そのネットワークの最適なルータを送信元に通知して経路の変更を要請するには、ICMP Redirectを使用する。
サブネットマスクから利用可能なホストの数を計算する場合、ブロードキャストアドレス(オール1)の数(1個)を引く。(H26 午前2問13)
IPv6プロトコルスタックしかもたないホストとIPv4プロトコルスタックしかもたないホストの間で通信するための技術は、IPv4/IPv6トランスレーション。
6to4とTeredoはIPv4ネットワーク内でIPv6パケットをルーティングするためのトンネリングという方式のこと。(H25 午前2問9)
RFC2474において、IPヘッダのTOS(Type of Service)フィールドを、通信の優先制御を行うDSフィールドとして定義している。
このDSフィールドを利用して、トラフィックをいくつかのクラスに分け、それらを優先度付けする仕組みのことをDiffServ(Differentiated Services)という。(H26 午後1問1)

2016年6月17日金曜日

データベーススペシャリスト合格!



データベーススペシャリストは無事に合格でした。

午後試験はそれなりに手応えはあったのですが、こうして見てみると結構ギリギリですね。

今回はDB設計の問題を選択したので、もし落ちていたら来年は運用系の問題を選択しようかなどとと考えていました。

試験対策の都合上、運用系の勉強はほとんどできなかったので、これで「データベーススペシャリスト」を名乗るのも少々おこがましいような気もします。

今年の秋季試験はネットワークスペシャリストを受けてみます。

2016年4月3日日曜日

データベーススペシャリストの勉強メモ6

平成24年度春季の午前Ⅱ問題をやりました。
間違えた/間違えそうだった問題のポイントのまとめです。
体現ビューとは、ビューの結果を実表のようにデータベースに格納することで、通常のビューに比べて参照を高速化したビューのこと。体現ビューは通常のビューとは異なり、参照している実表のデータ変更を体現ビューに反映させるために、リフレッシュという作業が必要になる。
2相ロックプロトコルはロック獲得フェーズとロックの開放フェーズを2つに分離することであり、ロックの順番を一定にするわけではないので、デッドロックが発生することがある。
共通フレーム2007の企画プロセスの「システム化構想の立案」は、システム化を進めるにあたって、システム化の目的や方向、効果などを明確にし、経営レベルの実施可否を判断するためのアクティビティである。
そろそろ単純な知識不足による誤答は減ってきました。

7割程度は問題なく得点できるようになってきたので、午前2はほぼ大丈夫かもしれません。

直前でもう1回ぐらい復習するとして、残りの時間は午後問題の演習に費やしたほうが良さそうですね。

2016年4月2日土曜日

データベーススペシャリストの勉強メモ5

平成25年度春季の午前Ⅱ問題をやりました。
間違えた/間違えそうだった問題のポイントのまとめです。
WHERE句はグループ化されたデータに対して適用できない。グループ化された結果に条件を指定する場合は、HAVING句を用いる。SELECT文の一般的な構文は、下記のようになる。
SELECT 列名リスト FROM 表名 WHERE 抽出条件
          GROUP BY グループ化列名リスト HAVING グループの抽出条件
表やデータベースの中で、同じデータ型(デフォルト値、条件指定を含む)が頻繁に利用される場合、それらを新しいデータ型として定義することができる。それをドメインという。ドメインを定義するにはCREATE DOMAIN文を用い、ドメインを削除するにはDROP DOMAIN文を用いる。
CREATE DOMAIN {ドメイン名} [AS] {データ型} [DEFAULT句] [CHECK制約]
READ COMMITTED:
他のトランザクションの行った変更に関しては、常にコミットされたものだけを受け取る。そのため、他のトランザクションによる自身の更新結果の損失(ロストアップデート)、他のトランザクションの処理中の結果の読み込み(ダーティリード)は生じない。しかし、あるトランザクションがデータを複数回読み込む場合、その間に他のトランザクションの変更がコミットされて、読み込むたびに同一データの内容が異なる(アンリピータブルリード)、前回の読み込み時には存在しなかったデータを読み込む(ファントムリード)などの現象が生じる。

READ UNCOMMITTED:
他のトランザクションの行った変更前のデータを読み込む。したがって、ロストアップデートは生じないが、ダーティリード、アンリピータブルリード、ファントムリードが生じる。
REPEATABLE READ:
あるトランザクションが実行されている間は、データが途中で他のトランザクションによって変更されることなく、同じデータを何度読み込んでもその内容は同じである。そのため、ロストアップデート、ダーティリード、アンリピータブルリードは生じないが、ファントムリードが生じる。

SERIALIZABLE:
同時に実行されるすべてのトランザクションが、各トランザクションが順番に実行されたときと同じ結果になるように保障する。そのため、ロストアップデート、ダーティリード、アンリピータブルリード、ファントムリードは発生しない。

隔離生水準 ロスト
アップデート
ダーティ
リード
アンリピータブル
リード
ファントム
リード
READ UNCOMMITTED ×
READ COMMITTED × ×
REPEATABLE READ × × ×
SERIALIZABLE × × × ×
トランザクション処理でデータベース更新処理を行う場合、更新結果を定期的にディスクに反映するチェックポイントを設けて、チェックポイント以前に終了したトランザクションの更新処理を保障する。そのため、チェックポイント以前に終了したトランザクションの回復処理は不要である。
トランザクションは、メモリ上のバッファに読み込まれているデータに対して更新処理を行うため、障害が発生した時点で、バッファの内容がデータベースに反映されていない状況が起きる。ログファイルの内容とデータベースの内容が一致していなければ、ログファイルによる障害復旧は困難になる。そこでDBMSでは、バッファのデータの内容をデータベースに反映し、ログファイルの内容とデータベースの内容を一致させるタイミングとして、チェックポイントを設けている。チェックポイントでは、チェックポイントレコードをログに書き出すとともに、バッファのデータをデータベースに書き出す。
デッドロックは、複数の資源を共有している複数の処理において、互いに相手のロックが解除されるのを待って、処理が進まなくなる状態である。それぞれの処理が複数の資源に対し、逆の順番でロックをかけることによって生じる。したがって、それぞれの処理が複数の資源に対して同じ順番でロックをかけるようにしておけば、デッドロックは回避できる。
WAL(Write Ahead Log)プロトコルは、データベースシステムが実行した処理をログファイルに記録する場合に、ログを記録してから処理を実行するというログ先書きの手法である。WALを採用することで、コミット済みのデータをデータベースに書き込む前にDBMSが停止しても、記録してあるログを用いてデータを回復することができる。
セミジョイン法:
2つの表の結合演算において、一方のサイトの表の結合に必要な列(属性)だけをもう一方のサイトに転送し、結合演算した結果を返送してもらい、再度結合する。

入れ子ループ法:
一方の表の行を外側のループとして取り出し、もう一方の表のすべての行を内側のループとして比較照合して結合演算を行う。

ハッシュセミジョイン法:
一方の結合対象列の値をハッシュ関数で変換したハッシュ値をもう一方のサイトに転送し、もう一方のサイトでも結合対象列の値をハッシュ関数で変換し、ハッシュ値同士で結合演算を行う。

マージジョイン法:
2つの表の結合をする前にあらかじめ結合対象列でソートしておく。ソートマージ法ともいう。
ハミング符号:
データを構成するビット列の中に誤りがあったとき、それを検出し訂正できるように構成された誤り訂正符号である。データを構成するビット列(情報ビット)に、それらから作った冗長ビットを追加することによって、2ビットの誤り検出と1ビットの誤り訂正を可能にする。一方、パリティチェック方式は、通常1ビットの誤りは検出できるが、その誤りを訂正することはできない。
シンプロビジョニング:
ストレージ資源を仮想化して割り当てることで、物理容量を削減する技術である。利用者には要求通りの磁気ディスク容量(仮想容量)を提供し、使用時には必要とする物理容量を割り当てる。これによって、ストレージの無駄をなくし、有効活用が可能になる。また、システム使用開始時には、将来的に必要になるであろう容量を割り当てるだけで、実際にその容量が必要になった時点でストレージを増設することができるため、システム開発時の詳細な容量プランニングが不要になり、省力化に貢献できる。

コンソリデーション:
複数のコンピュータやアプリケーション等を整理統合すること。運用・保守費用の低減を実現する。

ライブマイグレーション:
仮想マシン上で動作しているOSやソフトウェアを、停止させることなく異なるコンピュータに移動させること。
カバレージモニタ:
テスト対象となる全経路のうち、どの程度(何%)テストしたかを計測する動的テスト支援ツール。テストの進捗度合いを評価するために使用される。
記号実行ツール:
実行データではなく記号化した形式のデータをテストデータに用い、プログラムの実行シミュレーションを行う静的テスト支援ツール。

コードオーディタ:
プログラミング規約を設定し、その規約に違反してないかを自動検査するコード検査ツール。静的テスト支援ツールの一つ。

2016年3月27日日曜日

データベーススペシャリストの勉強メモ4

平成26年度春季の午前Ⅱ問題をやりました。
間違えた/間違えそうだった問題のポイントのまとめです。
クレジットカードシステムの家族会員情報のように、本会員情報と関連しており、本会員情報が存在しなくなれば、家族会員情報も存在しなくなるような実体を、弱実体(week entity)という。
弱実体に対して、通常の実体を強実体(strong)と呼ぶことがある。
第3正規形において存在する可能性がある関数従属は、従属キーの真部分集合から他の候補キーへの真部分集合への関数従属だけ。
カーソルで示された行の指定された列値を更新する構文は下記のようになる。
UODATE 表名 SET 列名 = 値 WHERE CURRENT OF カーソル名
属性がn個ある関係の異なる射影の数は2^nとなる。
※射影の数をビットで表す。n=4の場合は、0000〜1111。
複数のトランザクションが同時実行された結果と逐次実行された結果が等しい場合、トランザクションの直列可能性(serializability)が保証されているという。直列化可能性は、ACID特性の独立性と同等な性質を意味する。直列化可能性を保証する仕組みとして、2相ロック方式、木制約方式がある。

隔離生水準が低く、トランザクション間の干渉が起こり得る状態は、直列化可能性が保証されていない状態である。直列化可能性が保証されていれば、隔離生水準は高くなる。
ダーティリード(Dirty Read)とは、あるトランザクションが更新したコミット前のデータを別のトランザクションが読むことによって発生する不都合である。トランザクションT1が更新した行をトランザクションT2が読んだ後、T1がロールバックされる。この場合、更新された行は元に戻ってしまい、T2は存在しない値を読んだことになってしまう。
DBMSにおけるデッドロックの検出は、待ちグラフやタイマー監視によって行われる。
資源割当表と時刻印管理表は、デッドロックを回避するために使用されるもので、デッドロックの検出はできない。
トランザクションの優先順位管理表は、トランザクションのスケジューリングに使用するデータ構造であり、デッドロックの検出はできない。
RPO(Recovery Point Objective):目標復旧時点 RTO(Recovery Time Objective):目標復旧時間
必要なDBサーバのコネクション数=最大トランザクション件数(TPS)×Webアプリケーションサーバ内留保時間

2016年3月26日土曜日

データベーススペシャリストの勉強メモ3

TACの平成28年度春季合格目標の公開模試に行ってきました。
午前Ⅱ試験の間違えた問題のポイントのまとめです。
関係モデルは、論理データベースを作成する際に用いられる。
データ構造上の制約条件がほとんどなく、数学的な概念に基いて理論付けされている。
関係演算の除算の結果は、下図のようになる。
B列の値が異なるため、"A=2 / B=c" と "A=3 / B=a"の組み合わせは該当しない。
R
A B
1 a
2 b
2 c
3 a
3 b
4 c
S
A
2
3
R÷S
B
2
2相ロック方式では、トランザクションが獲得するロック数が単調に増加し、単調に減少する。
トランザクション間の干渉許容度は、高い順に下記のようになる。
1. read uncommited
2. read commited
3. repeatable read
4. serializable
パスワードリスト攻撃の被害を防ぐための利用者側の対策としては、インターネットサービスごとに異なるパスワードを設定することが有効。
依存関係のない並列実行可能な処理を一つにまとめて実行できるようにすることで、プロセッサの高速化を実現する技術は、VLIW
上記以外にケアレスミスで間違えた問題が1問あったので、25問中18問正解という結果でした。正答率は72%なので、合格ラインの60%はクリアできています。

午後Ⅰ試験に関しては、記述式なので正確な得点は採点結果が戻ってくるまでわかりませんが、解答を覧る限りでは、選択した問1、問2ともにほぼ満点です。少なくとも、合格ラインの60%はクリアできています。

午後Ⅱ試験も記述式なので、正確な得点はわかりませんが、解答を覧る限りでは、選択した問2の7〜8割は正しく解答できていました。合格ラインの60%はクリアできているように思えます。時間内に完璧な回答を仕上げるのは困難ですが、問題文を丁寧に読み込んで、エンティティタイプ、リレーションシップ、関係スキーマを整理していけば、なんとかなりそうです。

2016年2月21日日曜日

データベーススペシャリストの勉強メモ2

平成27年度春季の午前Ⅱ問題とTACの午前Ⅱ対策実力テストをやりました。
間違えた問題のポイントのまとめです。
R÷Sの関係演算結果は、Sの行値をすべて含むRの行値を抜き出し、その中からSの列を除いたものとなる。
ビットマップインデックスは、その条件を満足するか否かを表したインデックス。ビットマップ間の論理積や論理和の計算は非常に高速に行われるので、不定形の検索に適し、ビットマップインデックスを適切に設定しておくことで、小数の異なる値を持つ列への検索が有効にできる。データウェアハウスやOLAPなどで用いられる。
ダーティリードとは、あるトランザクションが更新したコミット前のデータを他のトランザクションが参照することによって発生する不具合。
複製サイト間で更新内容を厳密に同期させずに、同期の一時的な遅れを許容することが結果整合性。
AESの鍵長は、128ビット/192ビット/256ビットから選択できる。鍵長を任意に指定することはできない。
割込みには、外部割込みと内部割込みがある。
外部割込みは、プログラムの実行とは独立した原因による割込みで、入出力割込み、タイマ割込み、電源異常割込み、各種装置の異常などがある。
内部割込みは、プログラムの実行が原因で発生する割込みで、SVC割込み、モード違反、ページフォールト、オーバフロー、メモリ保護違反などがある。
シェアードエブリシングとは、複数のサーバが同一のデータベースに対して操作する技術のこと。
アクティブ-アクティブ構成では、その複数のサーバを同時に稼働させて並列に処理を行うことができる。
概念データモデルは、企業のモデルから、データベースに格納すべきデータを全体的に整理したデータモデル。
多くのDBMSにおいて、索引は前方一致で利用され、中間一致や後方一致には利用されない。したがって、複合索引においても、先頭の項目からつなげて指定しない場合、有効性は低くなる。
ファイル間接近配置は、複数のテーブル(ファイル)の関連するレコードを、同一テーブルに格納する方法。
ストアドプロシージャの呼び出しは、DBMSの通常機能を用いて行うことができるので、言語に制約されることなく利用できる。
2相コミットメント制御での協調的終結プロセスでは、指揮プロセス(主サイト)からの指示がないまま一定時間経過した関係プロセス(従サイト)が、他の関係プロセスに状態を問い合わせることによって、コミットまたはアボートを決定する。

データベーススペシャリストの勉強メモ1

TACのデータベーススペシャリスト精選問題集のp.1~p.60を勉強しました。
間違えた問題のポイントのまとめです。
情報モデルによって現実世界から抽象化された概念データモデルを、DBMSの表現規約に従って変換したデータモデルのことを、論理データモデルという。
ON DELETE NO ACTION:参照制約が崩れるような削除を行うとエラーになる。
ON DELETE CASCADE:参照しているテーブルの値も同時に更新される。(削除される。)
ON DELETE SET NULL:参照しているテーブルの値がNULLになる。
等結号:=で結びつけた結合演算。片方の表に存在しない行は削除される。
自然結号:等結合であり、2つの表に共通の属性は片方しか含まない。
外結合:片方の表に存在しない項目はNULLになる。
和演算:共通の行は一つの行にまとめられる。
直積演算:2つの表の次数を加えたもの。
トランザクションの正規化:トランザクションを標準データと標準プロセスのカプセル化と対応させて分割すること。
NOT EXISTS:trueとfalseしか返さないため、NULLの行も、存在しない=trueになる。
副問い合わせで*を使うと、複数の属性が同時に選択されるので、NOT INではエラーとなる。
更新可能なVIEW:UNION
更新不可能なVIEW:DISTINCT、GROUP BY、HAVING、副問い合わせ
B+木の特徴:
・実レコードのポインタは葉ページにある。
・葉ページはポインタのみ、実レコードではない。
・動的に更新される。
・逐次アクセスに向いている。
ロストアップデート:トランザクションが更新した値を、別のトランザクションが別の値に更新してしまうこと。
ノンリピータブルリード:トランザクションがコードを参照後、別のトランザクションがレコードを更新してコミットした結果、再度、レコードを参照したときに値が異なること。
再構成機能:データベースの利用法の変化に合わせて、項目の追加や変更、インデックスの追加設計を行うなど、運用中のデータベースのデータ構造を変更して新たにデータベースを構成する機能。
再編成機能:データベースの内部スキーマを変更せず、データの追加、更新、削除で発生したオーバーフロー領域や再利用できない未使用領域を解消し、物理ファイルのアクセス効率をアップする機能。
共有ロック中に専有ロックはできる。
DB単位だけでなく、テーブル単位、ページ単位、レコード単位でロックできる。
直列可能性判定グラフが閉路になっている場合、トランザクションは直列可能にならない。
時刻印アルゴリズム:トランザクションの時刻印と更新時刻印を照合する。
楽観アルゴリズム:更新されていた場合、トランザクションをやり直す。
時刻印アルゴリズムも楽観アルゴリズムもロックをかけない。
2相コミットメントでセキュアを送信しても、いきなりコミットされるわけではない。
セキュア中に指揮プロセスに異常が発生すると、ブロック状態となる。
ACID特性とDBMSの機能の対応:
原子性(Atomicity):ロールバック
一貫性(Consistency):ドメイン制約
独立性(Isolation):2相ロック
耐久性(Durability):バックアップ
情報検索の再現率(Recall Ratio):(検索された中の質問に適合する件数)/(全データベース中の検索した質問に適合する件数)
情報検索の精度(Precision Ratio):(検索された中の質問に適合する件数)/検索された件数)