ネットワークスペシャリストの勉強メモ8

9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。


午後試験は採点で部分点がどれだけもらえるかによって結構点数が違ってくるので、実際に返却されるまではわかりませんが、合格ラインはクリアできているような感じです。ただ、問題によって得手不得手がどうしてもあるので、試験本番までのあと1ヶ月間、粛々と問題演習をこなしてゆくのみです。

▽検疫ネットワークの方式

隔離のための方式	説明
認証スイッチ方式	IEEE802.1X認証を利用したL2SWを使用し、ユーザ認証後にポートに検疫VLANを割り当て、検疫VLANに隔離し検証する。 ※VLANポートの変更が可能なダイナミックVLANという機能が実装されている必要がある。
DHCP方式	DHCPで動的にIPアドレスを割り当てることによって、検疫LANに隔離し検査する。
認証ゲートウェイ方式	PCが配置されているセグメントと業務LANの境界に配置する装置であるゲートウェイにインストールされた検疫ソフトウェアで認証、検査し、治療が必要な場合は隔離する。
パーソナルファイアーウォール方式	PCにインストールされた検疫エージェント(パーソナルファイアーウォール)で検査し、治療が必要な場合は隔離する。

・サプリカント：認証要求を行い、認証結果を受信するためのソフトウェア。
・オーセンティケータ：サプリカントから送信された認証要求を認証サーバ(RADIUSサーバ)に転送する認証スイッチのこと。

・WPS(Wi-Fi Protected Setup)：プッシュボタン方式、またはPIN方式によって、無線LAN機器の接続やセキュリティの設定を容易に行うことができる機能。
・チャネルの両端には、干渉防止のために未使用とするガードバンドと呼ばれる周波数帯がある。チャネルボンディングの技術で2チャネル分を束ねて利用する場合は、周波数が下のチャネルの上端と上のチャネルの上端の干渉を考慮する必要がなくなり、そのガードバンドとなっていた周波数を4本のサブキャリアとして使用できるようになる。

・外部から自社のゾーン情報に対する問い合わせに回答するDNSサーバをコンテンツサーバ、または権威サーバという。
・再帰問い合わせを受けたDNSサーバは反復問い合わせを行い、必要に応じてルートサーバから順々に問い合わせをする。このDNSサーバのプログラムのことをフルサービスリゾルバという。
・DNSコンテンツサーバでDNSコンテンツサーバ応答にディジタル署名を追加し、問い合わせたDNSキャッシュサーバで正当性を検証するDNSのセキュリティの拡張方式をDNSSECという。DNSSECを導入すれば、偽の回答を検出することが可能となるが、鍵管理の煩雑さなど運用上の課題が残されており、広く普及するまでには至っていない。
・セカンダリサーバは、SOA(Start of Authority)レコードに設定されているリフレッシュ間隔ごとにプライマリサーバのSOAレコードを確認する。前回確認した時点よりも、SOAレコードのシリアル番号が大きくなっていた場合、リソースレコードが変更されていると判断し、リソースレコードを同期させるためのゾーン転送を行う。
・複数台のメールサーバを設定した場合、MXレコードのプレファレンス値が小さい方のメールサーバが優先される。
・MXレコードとNSレコードに設定されるドメイン名(ホスト名)は、別名であってはならない。(RFC2181)
・DNSキャッシュポイズニングの対策としては、DNSSECや再帰問い合わせを受け付けるIPアドレスを制限する以外に、送信元ポート番号をランダムに割り当てる、DNSメッセージのIDをランダムに割り当てる、という対策も考えられる。

一般的にNAPTルータは、プライベートネットワーク側からの接続要求があった場合にその要求に対応したIPアドレスとポート番号の転送設定を動的に定義し、通信がクローズしたりタイムアウトした場合にその転送設定を削除する。インターネット側からプライベートネットワーク内のホストへの接続を行うためには、NAPTルータでIPアドレスとポート番号の設定を明示的に定義する必要がある。

・HTTPのように、一回の通信の内容がリクエストとレスポンスで完結し、その通信以外の通信の「状態」を保持していない通信のことをステートレスな通信という。
・スイッチの通常の物理ポートは宛先以外の他の物理ポートにパケットを流さない。パケットモニタリングを行うためには、他の物理ポートに流れているパケットをコピーして流す、ミラーポートに接続しなければならない。