2016年9月26日月曜日

ネットワークスペシャリストの勉強メモ11

アイテックのネットワークスペシャリスト通信講座の午前2対策ネットワーク事前テストの復習です。
正答率は20/25=80%でした。
ハミング符号の用途: Bluetooth通信でビット誤りを訂正するために使われている。
RSVP(Resource Reservation Protocol)は、IPネットワークにおけるホスト間通信において、映像配信などのリアルタイム通信を円滑に行うため、ネットワーク資源の予約などを行う帯域制御用のプロトコル。
OSPF:ネットワークをエリアと呼ぶ単位に分割し、エリア間をバックボーンで結ぶ形態を採り、回線速度などを考慮した最小コストルーティングのプロトコル。
・FCoE(Fibre Channel over Ethernet)は、FCフレームを直接イーサネットフレームにカプセル化して伝送する方式である。イーサネットはコネクションレス型の通信を行うので、伝送中にイーサネットフレームが失われると、それを回復する手段がない。そこでFCoEでは、イーサネットの全二重通信方式で利用されているpauseフレームを使ってフロー制御を行い、イーサネットフレームのロスを発生させないようにしている。
・FCフレーム自体は、ANSI X3T11委員会で規定したFCの仕様に基づくものである。TCP/IPとは別プロトコルであることから、UDPあるいはTCPは使用されない。IP-SANのiSCSIでは、SCSIフレームをTCPにカプセル化してIPネットワークに転送するが、これはFCoEとは異なるものである。
通信を開始する前にネットワークに対して帯域などのリソースを要求し、確保の状況に応じて通信を制御することをアドミッション制御という。
・IPv6プロトコルスタックしかもたないホストとIPv4プロトコルスタックしかもたないホストとの間で通信を行うには、両者の間にIPv4プロトコルとIPv6プロトコルの変換を行う装置が必要となる。このような機能をもった装置をIPv4/IPv6トランスレータ,そうした技術のことをIPv4/IPv6トランスレーションと呼ぶ。
・6to4:IPv6 over IPv4トンネル方式の一つで、RFC 3056(Connection of IPv6 Domains via IPv4 Clouds)として規定されている。IPv4ネットワークに接続された6to4対応ホストは、IPv4ネットワークによって6to4中継ルータまでIPv6パケットをカプセル化したIPv4パケットを送信する。そして,6to4中継ルータで、IPv6パケットを取り出して、IPv6ネットワークに接続されたIPv6ホストと通信するという方式である。
・Teredo:IPv6 over IPv4トンネル方式の一つで,RFC 4380(Teredo:Tunneling IPv6 over UDP through Network Address Translations)などで規定されている。IPv6パケットをIPv4のUDPパケットにカプセル化し,複数のIPv4 NATを越えてIPv6の通信を可能とするようにした方式である。
TCPヘッダにあるウィンドウサイズは,受信側からの確認応答なしで連続して送信できるデータ長の最大値をバイト数で表示するためのフィールドである。
OSPFのRouter-LSAは、エリア内の全ルータが作成し、エリア内部だけに伝播される。
アイテックのネットワークスペシャリスト通信講座の午前2対策セキュティ事前テストの復習です。

正答率は17/25=68%でした。

合格ラインには達していますが、ネットワークよりは低い得点なので、まだ基礎知識補充の必要がありそうです。
暗号化アルゴリズムの危殆化とは、計算能力の向上などによって、鍵の推定が可能となり、暗号の安全性が低下することが該当する。
情報システムにおけるコンティンジェンシープランとは、緊急時対応計画,非常事態対応計画などと呼ばれ、災害などで情報システムに不測の事態が起こった場合の対応計画である。緊急事態には組織体が大きな損失を受ける可能性があるので、あらかじめ、何らかの対応を準備し、いざという場合の行動基準を定めておく。この場合、企業の全てのシステムを考える必要はなく、システムの重要度(緊急事態発生時の予想損害額)と対策コストを考慮して対象を選択し、できるだけ有効性の高い対策を検討する。
WAF(Web Application Firewall)のブラックリストは、問題がある通信データパターンを定義したものであり、該当する通信を遮断するか又は無害化する。
認証局は、有効期限内のディジタル証明書をCRL(Certificate Revocation List)に登録することがある。
TPM(Trusted Platform Module)は,PCのマザーボードなどに搭載されるセキュリティチップのことで、一般に秘密鍵と公開鍵の鍵ペアを生成したり、乱数を発生させて共通鍵を作成したり、チップ内でデータを暗号化したりするほか、耐タンパ性を有するなどの特徴をもつ。
・CVE(Common Vulnerabilities and Exposures;共通脆弱性識別子)は、個別製品中の脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子である。CVE識別番号は「CVE-西暦-連番」という形式で、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家が、報告のあった脆弱性を評価し割り当て作業を行っている。
・JVN(Japan Vulnerability Notes)は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性対策ポータルサイトで、JPCERT/CCとIPAが共同で運営している。JVNでは独自の脆弱性識別番号に加えて、CVE識別子も採用して情報を提供している。
標準化団体OASIS(Organization for the Advancement of Structured Information Standards)が策定した、Webサイト間で認証,属性及び認可の情報を安全に交換するフレームワークはSAML(Security Assertion Markup Language)である。
テンペスト(TEMPEST;Transient Electromagnetic Pulse Surveillance Technology)攻撃とは、パソコンや周辺機器などから放射される電磁波を観測し解析することをいう。パソコンなど電子機器本体は,電磁シールドされているが、本体と周辺機器を接続するケーブル、コネクタがアンテナとなって電磁波が漏えいする。

2016年9月25日日曜日

ネットワークスペシャリストの勉強メモ10

アイテックのネットワークスペシャリスト通信講座の午後1総まとめテストの復習です。
・IPv4とIPv6を共存させる技術のうち、IPv4とIPv6の両方のプロトコルに対応させる方式のことをデュアルスタックという。
・IPv6プロトコルとIPv4プロトコルの変換を行う装置は、トランスレータと呼ばれる。トランスレータは、当初NAT-PT方式が主流であったが、現在はNAT64/DNS64方式が主流となっている。NAT64は、IPv6ネットワークからIPv4サーバへの接続性を提供するため、特定のプレフィックス宛てのIPv6パケットをIPv4パケットに変換することであり、DNS64は、IPv4サーバ(AAAAレコードを持っていないホスト)に対してAAAAレコード(NAT64によってIPv6-IPv4変換されたIPv6アドレス)の名前解決をIPv6ネットワークに提供する機能のことである。
・LBからWebサーバに対して送信元IPアドレスを追加するには、通常、X-Forwarded-Forフィールドが使用される。X-Forwarded-ForヘッダはHTTPの標準ヘッダではなく、多くの製品で使われているデファクトスタンダードである。現在、正式なヘッダの標準化作業が進んでいる。
・IPv4用のOSPFv2に対してIPv6用のOSPFv3があり、同様にIPv4用のRIPv2に対してIPv6用のRIPngがある。デュアルスタック環境では、IPv4用のOSPFv2とIPv6用のOSPFv3を、IPv4用のRIPv2とIPv6用のRIPngをともに動作させることが必要となる。
・利用者がアクセスするのは、CDN内に設置されたキャッシュサーバ(エッジサーバともいう)である。一般に、キャッシュサーバはリバースプロキシとして動作するため、そこで、IP通信はいったん終端する。このため、IPv4ネットワークに接続されたオリジンサーバは、キャッシュサーバとの間でIPv4によって通信するが、キャッシュサーバでIPv4とIPv6の変換を行えば、キャッシュサーバと利用者の間ではIPv6によって通信することができる。
・個々の機器が持つ時刻が一致していなければ、ログの照合作業が大変になるので、NTPサーバなどを利用して時刻を正確に合わせておくことが必要となる。
・IPv6のユニークローカルアドレスでは、企業同士の統合などによってネットワークが統合されてもアドレスのバッティングが発生しないように、40ビットのグローバルIDに乱数を使用している。
・RA(Router Advertisement)は、ICMPv6のメッセージの一つであり、レイヤ3で動作する範囲のもの、例えば、ルータのインタフェースのIPv6アドレスや、プレフィックスなどを通知することはできるが、それ以外の情報は通知できない。つまり、IPv4では DHCPで通知されていたDNSサーバのIPアドレスや、NTPサーバのIPアドレスなどは、RAでは通知されない。
2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
これでどうにか一冊完了です。
・iSCSIでは、サーバで稼働し、SCSIコマンドを発行して処理を要求するイニシエータと、ストレージ装置で稼働して、その処理を実行するターゲット間で、ブロックデータの入出力を実現させている。
・仮想サーバは、一つの物理サーバ上に複数構成される。このため、一つの仮想サーバが物理サーバの持つハードウェア資源全体を消費するような処理を行うと、他の仮想サーバは処理ができなくなる。そこで、稼働している仮想サーバの稼動状態だけではなく、物理サーバの処理能力の何%程度で稼働しているかなどといった物理サーバの稼動状態と対比して監視することが必要となる。
・システム切り替えスケジュールの立案において明確にすべき事項としては、「データ移行時に予測できる問題を事前に明確化して対応策を作っておく」と「システム切り替えを断念する時の判断基準と、それを決定する時間を明確化する」となる。
ネスぺ21 本物のネットワークスペシャリストになるための最も詳しい過去問解説と合格のコツ」の復習用メモです。
・スパニングツリープロトコルで利用する制御フレーム:BPDU(Bridge Protocol Data Unit)。
・接続機器のポートの属性を識別して、自ポートの結線をストレートまたはクロスに自動的に切り替える機能:Auto MDI(Medium Dependent Interface)/MDI-X。
(H21 午後1 問1)
・SMTP-SUBMISSION:ポート番号587
・IMAPS:ポート番号993
・POP3S:ポート番号995
・Webメールで利用するHTTPSでは、PCはCONNECTメソッドを利用してプロキシサーバへ接続先を指定し、SSLセッションをASPサーバとの間で確立する。そのため、プロキシサーバでのウィルスチェック機能は効果がない。
(H21 午後1 問2)
・IEEE802.11i:AESの暗号化アルゴリズム+TKIPの鍵交換管理+802.1X認証
・EAP(Extensible Authentication Protocol):PPPの拡張プロトコル。PPPではPAPかCHAPの簡単な認証のみだが、EAPでは証明書を使えるTLSやPEAPなどの高度な認証が可能となる。
・EAP-TLS(EAP-Transport Layer Protocol):サーバ・クライアントの両方電子証明書を用いるEAP認証方式。5
・有線LANはCSMA/CDで無線LANはCSMA/CA。CDはCollision Detection(検知)で、CAはCollision Avoidance(回避)。
・アソシエーション:PCが無線APと論理的に接続すること。
・無線LANでは、無線APにてPCを一台一台アソシエーションしているので、有線LANのようにHUB配下のPCがアクセスするような問題が発生しない。
・電子証明書を無効にするためには、失効リスト(Certificate Revocation List:CRL)を利用する。
(H21 午後2 問1)
H21 午後2 問1は難しくて歯が立ちませんでした。解説を読んで無線LANとセキュリティ系の知識は得られたような気がするので、少し時間を置いてからもう一度問題を解いて知識を定着させたいと思います。

2016年9月22日木曜日

ネットワークスペシャリストの勉強メモ9

2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSLのハンドシェイクプロトコルでは、最初にクライアントからサーバに対してClientHelloメッセージを送り、乱数の他、クライアントが使用できる暗号スイートのリストなどをサーバに通知する。
・IPv4のループバックアドレスは127.0.0.0/8であり、ホストに割り当てることができる範囲は、127.0.0.1〜127.255.255.254 である。
・サーバ証明書の正当性は、証明書が信頼できる認証機関である第三者認証局から発行されていることを、クライアント側で検証することで確認される。
・SSLのポートフォワード方式は、通信中にサーバ側のポート番号が変わるアプリケーションには使用できないという制限がある。
・SSLセッションのキャッシュ時間を延ばす設定を行えば、SSLのセッションIDの有効期間が長くなる(再使用できる期間も長くなる)ので、SSLセッション確立に伴う処理負荷を軽減させることができる。
・クライアント証明書の管理に必要な情報としては、クライアント証明書の有効期限がある。
・SSLVPN装置へのログイン時にJavaアプレットが持つべき機能としては、ウィルス対策ソフトの定義ファイルの適用状態を確認する機能があり、ログアウト時に持つべき機能としては、PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能がある。
(H25 午後1 問1)
・IDS(Intrusion Detection System;侵入検知システム)には、不正パケットに関する一定のルールやパターンを使って侵入を検知するシグネチャ型と、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなすアノマリ型がある。
・プロミスキャスモード:NICの動作モードの一つであり、宛先がどのようなMACアドレスであっても、そのフレームを受信するように動作すること。
・UDPのポートスキャンなどが行われると、対象ポートが閉じられていることを示すために、ICMPのport unreachable(ポート到達不能)というメッセージをパケットの送信元に返せば、攻撃者は攻撃対象となるサービスが起動していないと判断するので、更なる攻撃を抑止することができる。
・IDSが検知した送信元アドレスからの不正な接続をFWで遮断するには、FWのフィルタリングルール、つまりACL(Access Control List)に不正な送信元のアドレスを動的に追加して、それ以降の接続を遮断する必要がある。
・UDPの場合はTCPとは違ってコネクションを確立しないので、攻撃者は送信元アドレスとして偽装したIPアドレスを使っても不正なパケットを送ることができる。
・管理用PCを用いてIDSやIPSで取得したログの分析を行い、フォールスポジティブやフォールスネガティブの発生をできるだけ減らし、不正アクセスへの対応を最適化していくことが、セキュリティレベルの継続的な向上につながっていくことになる。
(H27 午後1 問3)
・ハッシュ値の衝突が発生する可能性を更に低くする方法としては、ハッシュ値だけではなく、他のチェック方法と合わせて使用することが必要になる。具体的には、CRC(Cyclic Redundancy Check)によるチェックビットを付加し、ハッシュ値とCRCの両方を比較する。
・データを2分割し、それぞれのハッシュ値を生成して、それらをつなぎ合わせて比較するという方法もある。
(H22 午後2 問1)
・受信したデータ中に不適切な言葉や文字列が含まれていた時に通信を遮断する機能は、コンテンツフィルタリング。
・PCがプロキシサーバにTCPデータをそのまま接続先まで転送することを要求する場合は、HTTPのconnectメソッドを利用する。この場合、プロキシサーバはPCとWebサーバの間におけるSSL通信には関与しない。
(H26 午後2 問1)
ローミングが行われるたびに再認証が行われると、処理時間が長くなることから、最近ではPMK(Pairwise Mater Key)キャッシュという仕組みを使って、再認証の処理を行わないようにしている。PMKとは、暗号化鍵を生成する基になるデータのことで、PCがIEEE802.1Xの認証に成功すると、WLC(または認証サーバ)から複数APに対してPMKを配布し、同じPMKを事前に持たせておくことによってIEEE802.Xの認証を再度行わないようにしている。
(H24 午後1 問2)
・主系から副系にフェイルオーバーした後も通信を継続させるためには、主系が管理している情報を副系が引き継ぐ必要がある。このように、FWで管理している情報の整合性を図りながら、主系から副系にフェイルオーバーすることを、ステートフルフェイルオーバーという。
・一般に、SWのLEDランプは、接続したLANケーブルが物理レベルで正常に動作するかというリンクの完全性のテストが行われ、問題がなければ点灯する。
・主系と副系のFWの間にSWを挟む構成にすると、一方のポート故障による対向のリンク断を防ぎ、どちらのFWの障害かを特定するのが容易になる。 ・SWで学習したMACアドレスと接続ポートの組は、MACアドレステーブルに保存される。(※IPアドレスとMACアドレスの組はARPテーブル!)
(H26 午後1 問2)

2016年9月19日月曜日

ネットワークスペシャリストの勉強メモ8

9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。


午後試験は採点で部分点がどれだけもらえるかによって結構点数が違ってくるので、実際に返却されるまではわかりませんが、合格ラインはクリアできているような感じです。ただ、問題によって得手不得手がどうしてもあるので、試験本番までのあと1ヶ月間、粛々と問題演習をこなしてゆくのみです。
▽検疫ネットワークの方式
隔離のための方式 説明
認証スイッチ方式 IEEE802.1X認証を利用したL2SWを使用し、ユーザ認証後にポートに検疫VLANを割り当て、検疫VLANに隔離し検証する。
※VLANポートの変更が可能なダイナミックVLANという機能が実装されている必要がある。
DHCP方式 DHCPで動的にIPアドレスを割り当てることによって、検疫LANに隔離し検査する。
認証ゲートウェイ方式 PCが配置されているセグメントと業務LANの境界に配置する装置であるゲートウェイにインストールされた検疫ソフトウェアで認証、検査し、治療が必要な場合は隔離する。
パーソナルファイアーウォール方式 PCにインストールされた検疫エージェント(パーソナルファイアーウォール)で検査し、治療が必要な場合は隔離する。
・サプリカント:認証要求を行い、認証結果を受信するためのソフトウェア。
・オーセンティケータ:サプリカントから送信された認証要求を認証サーバ(RADIUSサーバ)に転送する認証スイッチのこと。
・WPS(Wi-Fi Protected Setup):プッシュボタン方式、またはPIN方式によって、無線LAN機器の接続やセキュリティの設定を容易に行うことができる機能。
・チャネルの両端には、干渉防止のために未使用とするガードバンドと呼ばれる周波数帯がある。チャネルボンディングの技術で2チャネル分を束ねて利用する場合は、周波数が下のチャネルの上端と上のチャネルの上端の干渉を考慮する必要がなくなり、そのガードバンドとなっていた周波数を4本のサブキャリアとして使用できるようになる。
・外部から自社のゾーン情報に対する問い合わせに回答するDNSサーバをコンテンツサーバ、または権威サーバという。
・再帰問い合わせを受けたDNSサーバは反復問い合わせを行い、必要に応じてルートサーバから順々に問い合わせをする。このDNSサーバのプログラムのことをフルサービスリゾルバという。
・DNSコンテンツサーバでDNSコンテンツサーバ応答にディジタル署名を追加し、問い合わせたDNSキャッシュサーバで正当性を検証するDNSのセキュリティの拡張方式をDNSSECという。DNSSECを導入すれば、偽の回答を検出することが可能となるが、鍵管理の煩雑さなど運用上の課題が残されており、広く普及するまでには至っていない。
・セカンダリサーバは、SOA(Start of Authority)レコードに設定されているリフレッシュ間隔ごとにプライマリサーバのSOAレコードを確認する。前回確認した時点よりも、SOAレコードのシリアル番号が大きくなっていた場合、リソースレコードが変更されていると判断し、リソースレコードを同期させるためのゾーン転送を行う。
・複数台のメールサーバを設定した場合、MXレコードのプレファレンス値が小さい方のメールサーバが優先される。
・MXレコードとNSレコードに設定されるドメイン名(ホスト名)は、別名であってはならない。(RFC2181)
・DNSキャッシュポイズニングの対策としては、DNSSECや再帰問い合わせを受け付けるIPアドレスを制限する以外に、送信元ポート番号をランダムに割り当てる、DNSメッセージのIDをランダムに割り当てる、という対策も考えられる。
一般的にNAPTルータは、プライベートネットワーク側からの接続要求があった場合にその要求に対応したIPアドレスとポート番号の転送設定を動的に定義し、通信がクローズしたりタイムアウトした場合にその転送設定を削除する。インターネット側からプライベートネットワーク内のホストへの接続を行うためには、NAPTルータでIPアドレスとポート番号の設定を明示的に定義する必要がある。
・HTTPのように、一回の通信の内容がリクエストとレスポンスで完結し、その通信以外の通信の「状態」を保持していない通信のことをステートレスな通信という。
・スイッチの通常の物理ポートは宛先以外の他の物理ポートにパケットを流さない。パケットモニタリングを行うためには、他の物理ポートに流れているパケットをコピーして流す、ミラーポートに接続しなければならない。

ネットワークスペシャリストの勉強メモ7

9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。

午前2は自己採点で19/25=76%でした。問題用紙に「?」マークをつけた問題も少なくなく、まだまだ自信が持てるレベルではありませんが、一応合格ラインをクリアできる実力には達していそうです。
UTPケーブルの1対のより線で250Mbpsのデータ送受信を同時に行い、4対同時で1Gbpsの全二重通信をするのが1000BASE-T、1対のより線で500Mbpsの通信を行い、2対を送信に、残りの2対を受信に利用するのが1000BASE-TX。
・IEEE802.11nでは、20MHzと40MHzのチャネル幅に対応している。
・MIMOは、複数のアンテナで信号ストリームを同時に送信し、複数のアンテナで受信することによって高速化を図る技術。複数のフレームをまとめて送信することによって高速化を図る技術は、フレームアグリゲーション。
呼量(アーラン)=単位時間あたりの通話回数×通話時間÷単位時間=延べ通話時間÷観測時間
=電話機台数×単位時間あたりの1台の通話回数×平均回線保留時間÷単位時間
・OSPF(Open Shortest Path First)は、AS内部のルーティングに用いるリンクステート型のプロトコルである。OSPFでは、ネットワークトポロジーやコストの情報が含まれるLSA(リンクステート広告)を隣接するルータ同士で交換し、各ルータはその情報をLSDBと呼ばれるデータベースに格納する。そして、LSDBの情報を元にSPFアルゴリズム(ダイクストラアルゴリズム)に従って最短経路を選択する。大規模なネットワークでは、交換されるLSAの数やLSDBのサイズが増大することによって、SPFアルゴリズムによる計算量も増大し、ルータに大きな負荷がかかる。そこで、ネットワークをエリアと呼ばれる論理的な単位に分割することによって、LSAを交換する範囲を小さくし、ルータの負荷を軽減することが可能となる。
・OSPFでは、ネットワーク構成に変更が生じた場合、更新情報をマルチキャスト(ブロードキャストではない!)で通知する。
・IPv6では、マルチキャストを利用するノード(リスナ)は、マルチキャストリスナ探索(Multicast Listener Discovery)という仕組みを利用して、参加するマルチキャストグループをルータに通知する。この通知は、ICMPv6(Internet Control Message Protocol version 6)のメッセージを利用して行われる。
・IPv4においては、マルチキャストグループをルータに通知する際にはIGMP(Internet Group Management Protocol)が利用される。
・IPアドレスの重複検出を行う場合にIPv4ではGARP(Gratuitous Address Resolution Protocol)を用いるが、IPv6では、ICMPv6を用いる。
TCPでは、コネクションの確立を1対1で行うため、ブロードキャスト通信やマルチキャスト通信などの、同報性が必要な通信は行うことができない。
FTPSはSSL/TLSを用いて暗号化した通信経路上でファイル転送を行う。SFTPやSCPではSSHを利用する。
・OSCP(Online Certificate Status Protocol)は、ディジタル証明書の失効状態をリアルタイムで問い合わせて確認するためのプロトコルである。OSCPクライアント(リクエスタ)がディジタル証明書のシリアル番号などを指定したOSCPリクエストを送信すると、OSCPサーバ(レスポンダ)は有効/失効/不明のいずれかをOSCPレスポンスとして返す。
・CMP(Certificate Management Protocol):ディジタル証明書の発行や管理を行うプロトコル。
・SAML(Security Assertion Markup Language):ドメインをまたがるシングルサインオンを実現するために利用されるプロトコル。
・ディジタルフォレンジックス:電子データを収集/分析して犯罪調査や法的紛争における法的に有効な証拠書類とする技術。
・ステガノグラフィ:不正利用されることを防ぐために、データを他のデータに埋め込んで存在そのものを隠す技術。
ファジング(fuzzing)とは、ソフトウェア製品の脆弱性やバグを検出する手法の一つである。ソースコードを解析するのではなく、問題を引き起こしそうなテストデータを大量に自動的に生成して送り込み、その応答や動作を監視して、脆弱性やバグを検出するブラックボックス検査である。
・DKIM(DomainKeys Identified Mail)では、送信側はDNSサーバのTXTレコードに公開鍵を登録しておき、電子メール送信時にメールヘッダフィールドにディジタル署名を付加して送信する。受信側は送信ドメインを管理するDNSサーバのTXTレコードから公開鍵を取得し、そのディジタル証明を検証することによって送信ドメインを認証する。
・Sender IDでは、電子メールのヘッダ情報(から割り出したPRA:Purported Responsible Address)から取得した送信ドメインのメールサーバのIPアドレスで送信ドメインを認証する。
・SPF(Sender Policy Framework)では、DNSサーバのTXTレコードに登録されているSPFレコードのIPアドレスによって送信ドメイン認証を行う。
・送信元がSPFに対応していない場合に"none"という結果が返されるので、必ずしもなりすましメールであるとは限らない。
・CVSS(Common Vulnerability Scoring System;共通脆弱性評価システム)は、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)の3つの基準でIT製品のセキュリティ脆弱性の深刻度を評価し、0(低)、10.0(高)の数値で表す。CVSSによって、ベンダに依存しない共通の基準で脆弱性の深刻度を定量的に評価できる。
・CSIRT(Computer Security Incident Response Team):情報セキュリティインシデントに専門に対応する組織の総称。
・CVE(Common Vulnerabilities and Exposures;共通脆弱性識別子):個別の製品に含まれる脆弱性を識別するための共通の識別子。
・J-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan):IPAが情報の集約点となり、参加組織間でサイバー攻撃に関する情報共有を行い、サイバー攻撃対策につなげる取り組み。

2016年9月18日日曜日

ネットワークスペシャリストの勉強メモ6

9/11(日)のアイテックのネットワークスペシャリスト模擬試験の復習です。

午後1と午後2に関しては、合格ラインに達しているかどうか微妙な状況です。

IEEE802.3at(PoE Plus):IEEE802.3af(PoE)の拡張版。PoE Plusに用いるケーブルには、カテゴリ5e以上の性能が要求される。
・クロスサイトリクエストフォージェリ(CSRF;Cross Site Request Forgery):Webブラウザから偽装したHTTPリクエストメッセージを送信させてWebサーバを操作する攻撃。
・フォールスポジティブ:正しい通信を攻撃と誤判定する事象。
・クライアントとWebサーバ間で確立したコネクションをRSTパケットによって切断するには、クライアントから送信したように見せかけたRSTパケットをWAFからWebサーバに送信する。
・PPTP(Point-to-Point Tunneling Protocol):PPP(Point-to-Point Protocol)フレームのカプセル化にGRE(Generic Routing Encapsulation)を用いるもの。
・L2TP(Layer 2 Tunneling Protocol):PPTPとL2F(Layer 2 Forwarding)を統合したプロトコル。L2TP自体には暗号化の機能がないため、セキュアなVPN通信を行うためにIPSecと組み合わせたL2TP/IPSec(L2TP over IPSec)として使用されることが多い。この場合、PPPフレームはL2TPヘッダ、UDPヘッダ、ESPヘッダ、そして最後にトンネルIPヘッダでカプセル化される。
・GREやESP(Encapsulating Security Payload)によってカプセル化されたパケットでは、GREやESPがポート番号を持たないことから、NAPTを超えることができないという問題がある。そこで、ルータではVPNパススルー機能を有効にして、ポート番号の変換を行わずに、IPアドレスとGREヘッダ内のコールID、あるいは、ESPヘッダ内のSPI(Security Parameter Index)との組み合わせでVPN通信を識別する。
・ポリシーベースルーティング(Policy-Based Routing;PBR):送信元のIPアドレスも指定したルーティング設定。送信元を指定することによって、許可する通信を必要最小限に制限できるメリットがある。ポリシーベースルーティングでは、送信元のIPアドレス範囲以外にも、プロトコル種別や送信元や宛先のポート番号によって、異なるネクストホップルータやパケット送出先インタフェースを定義することも可能になる。
・全てのスイッチがOF方式に対応しているのであれば、VLAN IDやMACアドレスに重複があったとしても、受信物理ポートの違いによって制御できる。
・OF方式の特徴は、全てのOFSをOFCで一元管理できることである。新たなOFSの設定はOFCに対して設定を行うことで対応可能である。例えば遠隔地のOFSをメンテナンスする場合でも、ある程度OFCからの対応が可能である。
プロトコル IEEE802.11a IEEE802.11g IEEE802.11n IEEE802.11ac
利用周波数帯 5GHz帯 2.4GHz帯 2.4GHz帯
5GHz帯
5GHz帯
変調方式 64QAM 64QAM 64QAM 256QAM
チャンネルボンディング 不可 不可
チャンネル帯域幅 20MHz 20MHz 最大40MHz 最大160MHz
MIMO 不可 不可
空間ストリーム数 1 1 最大4 最大8
最大スループット 54Mbps 54Mbps 最大600Mbps 最大6.93Gbps
・IEEE802.11acのWave2仕様では、IEEE802.11nのSU-MIMO(Single User MIMO)機能に代わって、MU-MIMO(Multi User MIMO)機能に対応している。
・5GHz帯は、5.2GHz帯、5.3GHz帯、5.6GHz帯という3つの周波数帯に分かれており、5.3GHz帯と5.6GHz帯は気象レーダなどと同じ周波数帯を使用する。
・無線LANで使用するためには、気象レーダからの電波を検知すると、DFS(Dynamic Frequency Change)と呼ばれる機能によって、別のチャネルに切り替えることが必要となる。なお、電波干渉を回避するために、TPC(Transmit Power Control)と呼ばれることによって、無線の出力を低減させる仕組みも備わっている。
WPA(Wi-Fi Protected Access)ではTKIP(Temporal Key Integrity Protocol)、WPA2ではCCMP(Counter Mode with CBC-MAC Protocol)という暗号化プロトコルを使用して暗号化用のセッション鍵を動的に変更できるようにしている。
2.4GHz帯のISMバンド(Industry-Science-Medical Bands)は、産業、科学、医療用の機器に割り当てられている周波数帯である。これらの機器が無線LANと同じ周波数帯を用いていた場合、電波の干渉によって通信が不安定になったり、パフォーマンスが大きく低下したりする可能性がある。機器の例としては、電子レンジやマイクロ波加熱装置などがある。
・WEPにおけるICV(Integrity Check Value)は、CRC32というアルゴリズムを使用してチェックサムを計算するだけなので、WEPキーなどの秘密の情報を知らなくても計算することができる。そのため、第三者がデータを改ざんし、改ざんしたデータに対してICVを再計算して付与することができてしまう。
・WPAやWPA2では、秘密の暗号鍵を用いてMIC(Message Integrity Code)、あるいは、MAC(Message Authentication Code)を計算するため、第三者がデータを改ざんしても、MICやMACを再計算することができないので、改ざんを検知することができる。
・TKIPやCCMPでは、フレームにシーケンス番号を含めて、受信済みの値よりも小さかった場合は、リプレイ攻撃(再使用攻撃/再送攻撃)の疑いがあるとしてフレームを破棄する。
・TLSやIPSecなどのセキュアプロトコルでも、同様にシーケンス番号によるリプレイ攻撃への対策機能を提供している。
PSK(Pre-Shared Key)は各家庭などにおいて個人的に利用するためのモードであり、企業向けでの利用は想定していない。それは、全てのユーザーに対して同じPSKを設定する必要があり、利用者や端末を特定する方式ではないからである。
電波は、低周波ほど遠くまで到達し、高周波は遠くまで到達しないという性質を持つ。また、低周波ほど障害物を回り込んで到達し、高周波は直進性が高く、障害物による減衰も大きいために、回り込みにくいという性質がある。
マルチホップ通信では、RPL(IPv6 Routing Protocol for Low Power and Lossy Network)などの経路制御プログラムを使用して、他の920MHz帯無線機を経由して通信をすることが可能である。これによって、スマートメータなどの広い範囲で設置されているセンサと直接通信可能な範囲に親機を設置する必要がなく、親機の数を減らすことができるというメリットがある。

2016年9月17日土曜日

ネットワークスペシャリストの勉強メモ5

アイテックのネットワークスペシャリスト通信講座の午後1総まとめテストの復習です。
・サーバ側で公開鍵と秘密鍵の鍵ペアを作成し、認証局に対してCSR(Certified Signing Request:証明書署名要求)というメッセージを送る。
・サーバ証明書の失効処理を行うには、CAのCRL(Certificate Revocation List:証明書失効リスト)にサーバ証明書のシリアル番号を登録することが必要になる。
・無線APは通常、ブリッジとして動作する。
・無線IP電話機の接続先となる無線APが切り替わり、端末側で通信ができなくなったことを検知すると、無線IP電話機はDHCPサーバにユニキャストでDHCP REQUESTを送信する。
・DHCPサーバは割り当てるIPアドレスが異なることを通知するためにDHCP NACKを応答する。一般に、否定の応答を行うためには、NAKが使用される。
・DHCPメッセージには、giaddr(gateway ip address)と呼ばれるフィールドがあり、そこにはDHCPパケットをリレーしたエージェントのIPアドレスが設定される。DHCPサーバは、このフィールドを参照しリレーエージェントのIPアドレスが設定されていれば、そのIPアドレスによってクライアントがどのルータのどのインタフェースに接続されているかを認識できる。
・TRILL(Transparent Interconnection of Lots of Links):RFC6325:Routing Bridges(RBridges) Base Protocol:STP(Spanning Tree Protocol)の欠点であるブロッキングポートをなくしてマルチパスに対応した技術。
・VRRPは、インタフェースごとに独立して動作するため、障害時にはインタフェースによってマスタとバックアップが異なることがないように制御しなければ、通信が継続できなくなる場合がある。
・スタッキングはベンダー独自の技術で実現されていることから、一般に同じベンダーの同じタイプの機器同士でないと動作しないという問題がある。
・VRRP広告パケットの送信はマルチキャストアドレスを使って行われる。
・IPv6のリンクローカルアドレスの範囲は「FE80::/10」、リンクローカルマルチキャストアドレスの範囲は「FF00::/8」。それぞれ、FWで別途通過設定を行う必要がある。
9/11(日)にアイテックのネットワークスペシャリスト模擬試験を受けてきたので、その復習です。

午前2は自己採点で18/25=72%でした。不安な問題も結構ありましたが合格ラインは十分クリアできていました。
・10G BASE-T(IEEE802.3an)は、1対のケーブルで2.5Gbpsとなっている。ケーブルの品質としては、カテゴリ6または7(クラスEまたはF)を使用する必要があり、カテゴリ5(クラスD)は使用できない。
・10G BASE-Tでは、全二重しか対応していない。(アクセス制御方式のCSMA/CDは利用できない)
・IEEE802.11nでは、MIMOのアンテナ数は送信アンテナ4本×受信アンテナ4本であったが、IEEE802.11acでは、送信アンテナ8本×受信アンテナ8本(最大8ストリームの同時伝送が可能)に拡張されている。
・IEEE802.11acのチャネルボンディングでは、20Mhz幅を最大8つ重ねた160MHz幅が利用可能となっている。
・IEEE802.11acの変調方式は、OFDM(Orthogonal Frequency Division Multiplexing;直交周波数分割多重)である。
・IEEE802.11acの理論上の最大速度は6.9GBpsである。
・MACフレームのSFD(Start Frame Delimiter)はSFDの直後からMACフレームが続くことを示す区切りである。
・MACフレームの同期を行うためのフィールドは、プリアンブルである。
・IEEE802.1QのVLANタグを付加した場合には、長さ/タイプフィールドの直前に置かれたTPID(Tag Protocol Identifier)とTCI(Tag Control Information)によって識別される。
・経路選択のアルゴリズムとしてパスベクトルを用いているのは、AS(Autonomous System:自律システム)間において経路情報を交換するルーティングプロトコルのBGP(Border Gateway Protocol)である。
・OSPF(Open Shortest Path First)では、経路選択のアルゴリズムとしてリンクステート方式を用いている。
・SANには、ファイバーチャネルを使ったFC-SANと、IPネットワークを使ったIP-SANという2つの方式がある。IP-SANには、FCフレームをIPでカプセル化する方式(FCIP)と、FCフレームを使用せず、SCSIフレームをTCP/IPパケットでそのままカプセル化する方式(iSCSI)がある。
・FCoE(Fiber Channel over Ethernet)は、FCフレームを直接イーサネットにカプセル化して伝送する方式のことである。
・TCPヘッダもUDPヘッダも、それぞれのパケットに伝送誤りがないことを保証するために、チェックサムフィールドを持っている。
・SSLのセッションIDは、送信元および宛先IPアドレス、送信元および宛先ポート番号の組に対応付けられて管理される。このため、SSLは、コネクションを維持するTCPを利用するアプリケーションには利用できるが、UDPを利用するアプリケーションには利用できない。
・TCPは、エンドツーエンド間にコネクションを確立するので、その通信形態はユニキャストに限られる。一方、UDPはコネクションを確立しないので、ユニキャストの他、マルチキャストやブロードキャストの通信ができる。
・HTTP1.1のpersistent connection(持続的接続):HTTPリクエストに対するレスポンスが行われても、TCPコネクションを開放しないでそのまま維持すること。
・HTTP1.1のパイプライン化:一つのTCPコネクションを使って、HTTPリクエストに対するWebサーバからのレスポンスを待たずに、複数のリクエストに送信できること。
・ダウンローダ:攻撃者のサーバから別のウィルスをダウンロードして、活動を拡大させることが特徴のマルウェア。
・ボット:指示を受けた後に実行する処理コードが埋め込まれており、コンピュータが遠隔操作されることが特徴のマルウェア。
・rootkit:不正なソフトウェアのパッケージで、自身の存在や活動を隠蔽することが特徴のマルウェア。
・IPsecのESP(Encapsulating Security Payload)は、IPパケットの暗号化と、IPパケットの改ざんを検出するためにメッセージ認証用のデータ(オプション)を付加し、パケットを安全に転送するためのプロトコル。
・事前共有秘密鍵(PSK:Pre-Shared Key)は、鍵交換プロセスのうち、通信相手の相互認証を行うために使用されるものである。このため、PSK認証の後にESPで使用する暗号化鍵や認証鍵を、送受信者間で共有するプロセスが実行される。
・ICMP Flood:pingコマンドを大量に送りつけ、通信経路のトラフィックを過負荷状態にして正常な通信を妨害する。
・SYN Flood:TCPコネクション確立要求の送信元IPアドレスを偽装して、接続先サーバのリソースを枯渇させる。
・ARPスプーフィング:アドレス解決の要求に対して偽装したMACアドレスを応答し、他人宛ての通信を盗聴する。
・EAP(Extensible Authentication Protocol):IEEE802.1Xで使われる認証プロトコルであり、複数の認証方式を利用できる。
・S/MIME:PKIを利用した電子メールのセキュリティメカニズム。
・OAuth:Webサービス連携において、認可情報を移譲する仕組みを提供するもの。
・RADIUS(Remote Authentication Dial In User Service):無線LANアクセスポイントと認証サーバの間においてIPレベルで認証情報をやり取りするためのプロトコル。
ハミング符号:誤りが高々1ビットであれば、誤りの訂正ができる。
ウォームスタート:電源をオフせずにシステムを再起動させること。

2016年9月10日土曜日

ネットワークスペシャリストの勉強メモ4

2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSOの方式を分類すると、SSOで利用したいサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式と、SSOサーバにおいて全ての通信の中継を行うリバースプロキシ方式がある。
・HTTP応答パケット中のSet-Cookieヘッダには、セッションIDのほか、Domain属性、Secure属性、Expires属性などが含まれる。
・Set-Cookieで"secure"が指定されていると、ブラウザはSSL(HTTP)で暗号化通信を行うときだけ、Webサーバに対してCookie情報を送り返すようになる。
(H27 午後1 問1)
ロードバランサーが利用できるWebサーバの負荷情報として適切なものは、Webサーバの応答時間とWebサーバのデータ通信量。
(H24 午後1 問1)
RTPパケットによって音声通信を行う際には、次のような劣化要因がある。
1.RTPパケットを作成するために必要となる処理による音声遅延。
2.ネットワークの負荷変動やパケット化のための処理時間の変動によるジッタ。
3.転送中におけるパケットロス。
(H23 午後2 問1)
・VLAN用のタグは32ビットから構成され、最初の16ビットがTPID(Tag Protocol Identifier)、次の16ビットがTCI(Tag Control Information)となる。TCIは、プライオリティが3ビット、CFI(Canonical Format Indicator)が1ビット、VID(VLAN ID)が12ビットという構成になっている。
・VRF(Virtual Routing and Forwarding)とは、一つのルータやL3SWに複数の独立した仮想ルータを稼働させる機能。
・同じVLAN内の通信では、L3SWはL2SWとして動作する。
・一般に、二つのL2SWを接続する際に採用される冗長化の方法としては、スパニングツリープロトコル(STP)を動作させる方法と、リンクアグリゲーションを使う方法がある。
(H25 午後1 問3)
・OSPF(Open Shortest Path First)は、それぞれの物理ポートがもつ帯域幅をコストに換算し、コスト最小の経路を選択するルーティングプロトコル。
・一つのOSPFのネットワークは、複数のエリアに分けることができる。エリア番号が0であるエリアはバックボーンエリアと呼ばれ、必ず存在しなければならない。
・ルータのQoSとしては、RFC2474に基いて、IPヘッダのTOS(Type of Service)フィールドをDSフィールドとして再定義して通信の優先評価を行うDiffServモデルが実装されている。
(H26 午後1 問1)
・FCP(Fiber Channel Protocol)のフロー制御では、送信側と受信側の双方で、受信側の空きバッファ数を管理して送信を制御するようにしている。このため、隣接ノード間において発生する局所的なバッファ枯渇にも適切に対処できる。
・SPF(Shortest Path First)では、経路上のコストが同じである場合は、それらの経路を同時に使用してトラフィックを分散できる。同時に複数の経路を使用できるので、パケットの伝送帯域を増加させることができる。
(H23 午後2 問1)
タグVLANのポート規格:IEEE802.1Q
(H24 午後2 問1)
・オーバーレイ方式による仮想化では、サーバに接続するスイッチ側で、接続用のトンネルを終端、もしくは、カプセル化用ヘッダを追加、削除する機能が必要となる。パケットサイズが大きくなることで、中経路でのフラグメンテーションが発生する可能性もある。
(H25 午後2 問2)

2016年9月4日日曜日

ネットワークスペシャリストの勉強メモ3

徹底攻略 ネットワークスペシャリスト教科書 平成28年度」の復習用メモです。

・IPv6のヘッダ長は40バイトで、IPアドレスは128ビット。
・IPv6に用意されているフラグメントヘッダやルーティングヘッダなどは拡張ヘッダと呼ばれ、基本ヘッダに使用頻度の低いフィールドをオプションで追加することができる。
・(IPv6で表せるアドレス数)÷(IPv4で表せるアドレス数)=2^128÷2^32=2^96
・DNSサーバに追加するAAAAレコード:IPv4アドレスのAレコード
・IPv4アドレスをIPv6アドレスに変換するには、まずIPv4アドレスを2進数に変換して、その後、16進数に変換する。これに、与えられたIPv6のプレフィックスを連結する。
・STPでのツリーの再構成後は、MACアドレステーブルも再学習が必要になるので、テーブルの内容がクリアされる。
・タグVLAN:IEEE 802.1Q
(H24 午後2 問2)
・RFC3550:
 RTP(A Transport Protocol for Real-Time Applications):音声や動画などのデータストリームをリアルタイムに転送するためのプロトコル。
 RTCP(Real-Time Transport Control Protocol):RTPのフロー制御をするときの制御情報を提供するプロトコル。
・プロトコル番号50:ESP(Encapsulating Security Payload):IPsecのプロトコル
 ESPはネットワーク層のプロトコルのため、トランスポートの層のポート番号は存在しない。
・SSL-VPNレイヤー2フォワード方式では、ネットワーク層の中継を行わないため、同じネットワークに属する必要がある。
(H26 午後2 問2)

基礎的な知識習得は一応完了して、新しいテキスト、「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」に移行したため、以下、その復習用メモです。
・ブロードバンド伝送:搬送波の変調及び復調によってデータ伝送を行う方式。
・ベースバンド伝送:端末からのデータ信号をディジタル信号のまま、つまり変調をしないで伝送する方式。
(H23 午後1 問1)
・帯域幅が20MHzから40MHzになると、48の搬送波が単純に2倍になるのではなく、108の搬送波がデータ通信用に使用できる。そのため、チャネルボンディングを行うことによって、帯域幅20MHzの2倍に当たる288Mbps以上の300Mbpsを実現できる。
・無線LANフレームの先には、プリアンブルが付加され、それによって同期が取られるようになっている。
・フレームアグリゲーションを利用する場合でも、複数のフレームの宛先が同じでなければ、フレームの送信時間と確認応答の回数を減らすことはできない。
・フレームアグリゲーションを利用すると、無線チャネルの占有期間が長くなり、その間は他の通信が待たされることになる。
(H24 午後1 問3)
・WEPキーなどの共有鍵を用いて相手認証を行うには、通信相手から送られてきた乱数を共有鍵で暗号化して返送するチャレンジレスポンス方式がよく利用される。
・WEPでは、RC4という暗号アルゴリズムが使用される。
・GARP:同一サブネット内のIPノードがもつARPキャッシュを更新させる。
(H25 午後2 問1)
・DHCPリレーエージェント:DHCP DISCOVERパケットを別のネットワークセグメントに中継する機能。
・IPアドレスとMACアドレスの対応を保持したテーブル:ARPテーブル(ARPキャッシュ)
・MACアドレスの上位24ビット:OUI(Organizationally Unique Identifier):IEEEが製造メーカー(製造者)になどに対して割り当てた一意の番号。
・IEEE802.11a規格の無線LANでは5GHz帯の電波を使用。
(H25 午後1 問2)
・プライベートIPアドレスともグローバルIPアドレスともバッティングしないアドレスとして、シェアードアドレス(ISP Shared Address)がRFC6598とし定義された。
・MACアドレスの学習機能は、イーサネットフレームにある送信元MACアドレスを学習するもの。
・マルチキャストMACアドレスは、送信元MACアドレスとして使用されることはない。
(H25 午後2 問2)