ネットワークスペシャリストの勉強メモ9

「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。

・SSLのハンドシェイクプロトコルでは、最初にクライアントからサーバに対してClientHelloメッセージを送り、乱数の他、クライアントが使用できる暗号スイートのリストなどをサーバに通知する。
・IPv4のループバックアドレスは127.0.0.0/8であり、ホストに割り当てることができる範囲は、127.0.0.1〜127.255.255.254 である。
・サーバ証明書の正当性は、証明書が信頼できる認証機関である第三者認証局から発行されていることを、クライアント側で検証することで確認される。
・SSLのポートフォワード方式は、通信中にサーバ側のポート番号が変わるアプリケーションには使用できないという制限がある。
・SSLセッションのキャッシュ時間を延ばす設定を行えば、SSLのセッションIDの有効期間が長くなる(再使用できる期間も長くなる)ので、SSLセッション確立に伴う処理負荷を軽減させることができる。
・クライアント証明書の管理に必要な情報としては、クライアント証明書の有効期限がある。
・SSLVPN装置へのログイン時にJavaアプレットが持つべき機能としては、ウィルス対策ソフトの定義ファイルの適用状態を確認する機能があり、ログアウト時に持つべき機能としては、PCからリモート接続時のキャッシュ情報や履歴情報を削除する機能がある。
(H25 午後1 問1)

・IDS(Intrusion Detection System；侵入検知システム)には、不正パケットに関する一定のルールやパターンを使って侵入を検知するシグネチャ型と、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなすアノマリ型がある。
・プロミスキャスモード：NICの動作モードの一つであり、宛先がどのようなMACアドレスであっても、そのフレームを受信するように動作すること。
・UDPのポートスキャンなどが行われると、対象ポートが閉じられていることを示すために、ICMPのport unreachable(ポート到達不能)というメッセージをパケットの送信元に返せば、攻撃者は攻撃対象となるサービスが起動していないと判断するので、更なる攻撃を抑止することができる。
・IDSが検知した送信元アドレスからの不正な接続をFWで遮断するには、FWのフィルタリングルール、つまりACL(Access Control List)に不正な送信元のアドレスを動的に追加して、それ以降の接続を遮断する必要がある。
・UDPの場合はTCPとは違ってコネクションを確立しないので、攻撃者は送信元アドレスとして偽装したIPアドレスを使っても不正なパケットを送ることができる。
・管理用PCを用いてIDSやIPSで取得したログの分析を行い、フォールスポジティブやフォールスネガティブの発生をできるだけ減らし、不正アクセスへの対応を最適化していくことが、セキュリティレベルの継続的な向上につながっていくことになる。
(H27 午後1 問3)

・ハッシュ値の衝突が発生する可能性を更に低くする方法としては、ハッシュ値だけではなく、他のチェック方法と合わせて使用することが必要になる。具体的には、CRC(Cyclic Redundancy Check)によるチェックビットを付加し、ハッシュ値とCRCの両方を比較する。
・データを2分割し、それぞれのハッシュ値を生成して、それらをつなぎ合わせて比較するという方法もある。
(H22 午後2 問1)

・受信したデータ中に不適切な言葉や文字列が含まれていた時に通信を遮断する機能は、コンテンツフィルタリング。
・PCがプロキシサーバにTCPデータをそのまま接続先まで転送することを要求する場合は、HTTPのconnectメソッドを利用する。この場合、プロキシサーバはPCとWebサーバの間におけるSSL通信には関与しない。
(H26 午後2 問1)

ローミングが行われるたびに再認証が行われると、処理時間が長くなることから、最近ではPMK(Pairwise Mater Key)キャッシュという仕組みを使って、再認証の処理を行わないようにしている。PMKとは、暗号化鍵を生成する基になるデータのことで、PCがIEEE802.1Xの認証に成功すると、WLC(または認証サーバ)から複数APに対してPMKを配布し、同じPMKを事前に持たせておくことによってIEEE802.Xの認証を再度行わないようにしている。
(H24 午後1 問2)

・主系から副系にフェイルオーバーした後も通信を継続させるためには、主系が管理している情報を副系が引き継ぐ必要がある。このように、FWで管理している情報の整合性を図りながら、主系から副系にフェイルオーバーすることを、ステートフルフェイルオーバーという。
・一般に、SWのLEDランプは、接続したLANケーブルが物理レベルで正常に動作するかというリンクの完全性のテストが行われ、問題がなければ点灯する。
・主系と副系のFWの間にSWを挟む構成にすると、一方のポート故障による対向のリンク断を防ぎ、どちらのFWの障害かを特定するのが容易になる。 ・SWで学習したMACアドレスと接続ポートの組は、MACアドレステーブルに保存される。(※IPアドレスとMACアドレスの組はARPテーブル！)
(H26 午後1 問2)