2016年10月15日土曜日

ネットワークスペシャリスト試験の前日を迎えて

いよいよ明日がネットワークスペシャリスト試験の本番です。

平成21~27年までの過去問も解いたし、アイテックの通信講座も受けたし、合格ゼミという対面の講座にも行ってきたし、模試もアイテックとTACの両方受けて、一応合格ラインには達しています。



ちなみに、TACの模試は午後2が94点で、244人中1位という結果でした。模試とはいえ、1位が取れたのはちょっと自慢です。これで本番に落ちたら逆に恥ずかしいですが。

試験は水モノなので、実際にやってみないとどうなるかわかりません。もし落ちたら、来年春は情報安全確保支援士を受ける予定なので、その知識+実機での検証の経験を積んで、また秋に再挑戦します。

ネットワークスペシャリストの勉強メモ18

極選分析 ネットワークスペシャリスト 予想問題集」の復習用メモです。
IPv6もIPv4も、資源予約を行うためには、RSVP(Resource Reservation Protocol)を使用する。優先制御を行うIPv4のTOSフィールドは、IPv6ではトラフィッククラスという。
IP電話の音声指標でを表す指標:
R値:ノイズ、エコー、遅延などから算出される客観的な評価指標。
MOS(Mean Opinion Source)値:基準となる音声を人間が聞き、その音質の評価として、「非常に良い」から「非常に悪い」までの5段階の評価を行い、その平均値で音声品質を評価する方法。
ジッタ:送信側は基本的に音声パケットを等間隔に送信する。しかし、ネットワークを経由すると、回線の帯域幅やルータなどの処理遅延によって、音声パケットが着信側に届いた時、その到着感覚がバラバラになる。このようなばらつきのことをジッタ、またはゆらぎという。
RTP(Real-Time Transport Protocol):シーケンス番号とタイムスタンプを付加することによって、リアルタイム情報を伝送するパケット間の時間差を保証する。
HIDS(ホスト監視型IDS)は、サーバなどにインストールして、ファイルの改ざんや属性変更などホスト上の異常や攻撃の徴候などを検知する。
DMZ上の公開用Webサーバとしてリバースプロキシサーバを設置し、その参照先のWebサーバを外部からアクセスできない別のDMZに移設することによって、外部から直接Webサーバのコンテンツが改ざんされることを防ぐ。
・無線LANのQoSに関する規格:IEEE802.11e
・優先度に基づくQoSを実現するには、一般に優先度ごとのキューにパケットを蓄積し、優先度の高いキューから順にパケットを発信する。
・無線LANのセキュリティ標準を定める規格:IEEE802.11i
・音声通信は、1対1の対向通信が基本であることから、一つの無線APの配下で通話中の無線IP電話器が何台あるかを把握すれば、音声通信を行っている無線IP電話器の台数がわかる。そこで、音声通話を行っている無線IP電話器の台数が許容限度に達すると、無線APは、無線IP電話器からの発呼要求に対してビジトーンを返すようにしている。そうすれば、一つの無線APに許容限度以上の無線IP電話器を接続できないようになる。
・経路表の参照方法は、宛先IPアドレスとサブネットマスクとの論理積(AND演算)をとって、宛先ネットワークに一致するものを見つけるという方法である。
・プロトコル番号1:ICMP
・IPアドレス"255.255.255.255"は、リミテッドブロードキャストアドレスと呼ばれ、現在接続しているサブネットに限定して送信されるブロードキャスト。DHCP DISCOVERパケットで利用される。
・"192.168.1.255"のようなIPアドレスは、ディレクティドブロードキャストアドレスと呼ばれる。
・IPヘッダのフラグメントオフセットに入れる値は、8バイトを1単位として表示する。
・IPパケットの識別は、送信元IPアドレスを基にし、IPヘッダにあるIdentification(識別子)によって行われる。転送途中でIPパケットの分割が行われても、Identificationは変更されないので、Identificationが同じであれば、同じIPパケットであることを示す。このため、受信ホストでは、同じIdentificationのIPパケットを一つのIPパケットに再構成することができる。
・IPパケットのフラグフィールドにある分割禁止(DF:Don't Fragment)ビットをオンして、途中のルーターで元のIPパケットの分割が発生する場合、そのルーターは送信元に対して、ICMPのエラーメッセージ(コード=3:Destination Unreachableとコード4=Fragment needed and DF set)を返す。
・TCPでは、期待しているシーケンス番号よりも大きなシーケンス番号を持つセグメントが先に到着した場合、受信側は期待しているシーケンス番号を持つACKセグメントを送信する。このように、受信側が同じシーケンス番号を持つACKセグメントを送信することを重複ACKという。
・MACアドレスの上位24ビットは、OUI(Organizationally Unique Identifier)と呼ばれ、IEEEが製造メーカーなどに対して割り当てる識別子である。先頭のビットから7ビット目は、U/Lビットと表示され、ユニバーサルアドレス(グローバルアドレス)かローカルアドレスかを示す。7ビット目が0の場合はユニバーサルアドレスを示すので、IPv6のインタフェースIDとして使用する場合、ユニバーサルアドレスからローカルアドレスに変更して使用する必要がある。
・IPv6の重複検査では、NDP(Neighbor Discovery Protocol)の近隣要請メッセージ(Neighbor Solicitation Message)をマルチキャストすることによって行う。
・SIPプロキシのタイプには、セッション確立から開放までの時間を管理したり、電話端末がどのようなステータスにあるかなどを管理するかによって、コールステートフルとステートレスに分けられる。
オートネゴシエーションを行う場合は、最初に最も速い通信速度、全二重通信モードが選択できるかどうかを折衝していく。
OSPFで使用されるIPマルチキャストは、"224.0.0/24"の範囲内のローカルマルチキャストアドレスが使用される。つまり、ルータを越えることができないので、OSPFのルーティング情報を交換するには、L3SW相互がOSI基本参照モデルのデータリンク層によって通信できる必要がある。
IKEではユーザ名とパスワードを使用した認証を行う手段がなかったため、XAUTH(Extended Authentication within IKE)という仕組みが提案された。

2016年10月10日月曜日

ネットワークスペシャリストの勉強メモ17

2016 徹底解説 ネットワークスペシャリスト 本試験問題 」の特典で、2012年の過去問のダウンロードができるようになっているので、午後問題だけやってみました。

午後1問1は、既に見たことのある問題で、8割ほどの正答率でした。
基本的に一通り理解はできていて、後は解答の書き方の問題で部分点という感じです。 設問3(2)は、答え難い問題です。SLB-M間の通信によって起きた影響なので、機器の負荷に着目して解答しまいまいしたが、「インターネット接続回線の帯域圧迫」が正解とのことです。
設問3(3)は、別解の余地がいろいろあるのではないかとも思います。セッションの継続時間が長ければ、サーバ側で長時間処理を行っていると推測できますし、LB側でサーバのCPU稼働率などを知る手段があれば、サーバの実際の負荷状況を確認した上で分散することもできると思われます。

午後1問2も、見覚えのある問題で、ほぼ正解でした。
しかしながら、設問1の穴埋め問題は、PoEの規格のIEEE802の小数点の部分の数字が何だったのか迷いました。無線LANも含めて、規格の名前は本番前に再度復習が必要ですね。
設問3(2)は、BC内のAPだけでなく、本社のAPの通信も考慮に入れると、WLCとL3SW1の間ではなく、「広域イーサ網の帯域」がボトルネックになりますね。今回、唯一間違えた問題でした。
・IEEE802.11nのmixed modeでは、フレームの先頭にIEEE802.11gと同じプリアンブルを付加して通信のタイミングを取り、同時利用を可能にしている。
・Webアプリケーションがブラウザに送るURLに、パラメタを埋め込む方法は、一般にURLリライティングと呼ばれている。
・フレームアグリゲーションを行うと、一つの無線フレームの大きさが通常の無線フレームよりも長くなる。その結果、無線チャネルの占有時間が長くなるため、他の通信は、その無線チャネルが開放されるまで通信を待たされる。
午後1問3も、やったことのある問題でしたが、正解率は6割程度でした。要復習な内容です。
設問1のイは、現時点では600Mbpsが出ているので、既に古くなってしまった設問ですね。
設問2(3)は、ファイルサーバとSWの間はすぐにわかりましたが、SWとAPの間は、APがたくさんあることを考慮してしまったので、解答できませんでした。
設問3(2)は、普通に考えればRPサーバですが、その場合、外部からのWebアクセスには対応できないと考えて、FWと解答してしまいました。図をよく見ると、Webサーバは社内ネットワークに置かれていて、社外からのアクセスはありません。したがって、RPサーバで十分ということになりますね。ケアレスミスです。
設問3(4)は、SIDを予測困難なものにするという観点で解答してしまいました。正解は、「非SSLの状態からSSLを利用する際は、SIDを振り直す」でした。

午後2問1は、2回目の解答で7割の正解率でした。
初見の時にFCの話やフレームのフォーマット等が出てきたときにはゲンナリしましたが、問題文をしっかり読み込めば専門知識がなくても解答できる良問だと思います。OpenFlowの時もそうでしたが、新技術を扱う問題の方が難易度は低めかもしれないので、本番の時にも恐れずチャレンジしてみる方が良いかもしれません。
設問2(2)は、HCの値が減産され、0になると廃棄されてしまうので、最大ホップ+1と考えてしまいましたが、減産されるのはあくまでRBを通過する時点なので、目的RBに到達すれば、その時点で0になっても問題はなく、最大ホップ数と同じ値で良いということになりますね。
設問2(3)は、ファブリックポートの方は毎回宛先が変わるので、MACアドレスを学習するのはエッジポートに決まっていると最初に思いつきましたが、複数のVLANのパケットが流れること等を考え過ぎて、ファブブリックポートと解答してしまいました。
設問2(6)は、「隣接宛先RBのMACアドレス」と解答してしまいました。隣のRBのMACアドレスは、わざわざ各RBのMACアドレステーブルを集めて共通のMACアドレステーブルを作る必要がないので、最終的な宛先となる「ファブリックの出口RB名」が正解でした。
設問3(1)は、最終的な宛先になる「FCoEストレージ」と解答してしまいました。そもそも、イーサネットフレームはIPパケットと違ってエンドツーエンドではないので、最終目的地のMACアドレスはわかりません。最も近い距離のNICを持つ装置を解答すべきでした。「ログインしたFCF」という表現を導き出すのは少々難しいですが、問題文をしっかり読めば解答できなくはない問題でした。

午後2問2は、2回目の解答で8割強の正解率でした。
STP、IPv6ともに基礎知識はほぼ問題ありませんでしたが、記述式の解答はポイントを抑えないと減点されてしまいますので、2012年の午後2としては、問1を選んでおいた方がリスクは少なそうです。
設問3(3)は、しょうもない計算ミスでIPv6形式に変換した後のアドレスを間違えてしまいました。IPv4の形式で書いても間違いではないようなので、本番でもし出たら、無理にIPv6の形式にしなくても良さそうです。
設問4(1)は、BPDUが受信できなくなったという観点で解答をしてしまいました。そうではなく、「MACアドレステーブルがクリアされたから」というのが正解でした。確かにその通りですが、当たり前過ぎて逆に解答が難しい設問です。
設問5(2)は、設置場所と配線が詳細設計の項目に列挙されていたので、具体的な機器名を結びつけて解答しましたが、正解では、「機器への詳細な設定情報」のようになっていました。部分点はもらえると思いますが、「設計書の項目名」という観点では、一般名を書いておくべきかもしれません。
設問3(3)は、逆に、方式設計とのことなので、「サーバのアクティブLANポート」という粒度ではなく、通信経路の制御方法、ポートの優先度の設定規則、というような観点で解答してしまいました。このあたりはサジ加減が難しいですね。

ネットワークスペシャリストの勉強メモ16

アイテックの2015年のネットワークスペシャリスト模擬試験の復習です。
・稼働中のVMを別の物理サーバに無停止で移動させる技術のことを、一般にライブマイグレーションという。
・イーサネットで一斉配信フレームが届く範囲のことをブロードキャストドメインという。
・OSPFの等マルチコストパス(ECMP:Equal-Cost Multi-Path)では、通常は5つの情報(送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号)を使ってネットワークフロー(パケット単位ではない!)を識別して、負荷分散を行う。
午後1問1は、7割程度の正答率でした。OSPFとBGPに関する設問は専門知識が必要でした。BGP-4のMED値という用語は初めて目にしました。
・IEEE802.11ac:ギガビットWi-Fi
・WPAのセキュリティプロトコル:TKIP(Temporal Key Integrity Protocol)
・WPA2のセキュリティプロトコル:CCMP(Counter mode with CBC-MAC Protocol)
・端末の電子証明書を用いて認証を行う方式:EAP-TLS
・ユーザーIDとパスワードによってユーザーを認証する方式:EAP-PEAPとEAP-TTLS
午後1問1は、7割程度の正答率でした。
無線LANの規格についてはほぼ抑えているつもりでしたが、セキュリティについては、用語も含めて理解が不完全でした。
・IPv4とIPv6のプロトコル変換を行う方式:IPv4/IPv6トランスレーション
・IPv6では、IPアドレスを自動で設定するために、IPv4で使われてきたDHCPのIPv6版であるDHCPv6の他、RA(Router Advertisement:ルータ広告)による方法が用意されている。
・RAは、デフォルトゲートウェイとなるルーターからIPアドレスの上位64ビットなどのプレフィックスを通知する。RAを受信したホストは、通知された64ビットのプレフィックスにホスト部となる64ビット分を追加して、IPv6アドレスを自動的に生成する。
・リンクローカルユニキャストアドレス:fe80::/64
・IPv6アドレスの逆引きレコードは、IPv4と同様にPTRレコードが用いられるが、ドメイン名はIPv4ではIPアドレスのドットで区切られた8ビットごとのラベルの順序を逆にして、最後にin-addr.arpa.を付けるルールになっていた。これに対して、IPv6では、省略形を元に戻した上で、16 進数で書かれたアドレスの順序を逆にして、4ビットごとにドットで区切り、最後にin6.arpa.をつけるルールになっている。
 例)2001:0db8:0:1::20 → 0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.
午後1問3は、7割程度の正答率でした。
IPv6の用語に関しては、まだ知識不足な点がありました。DNSでのIPv6の扱いについても、AAAAレコードぐらいしか知らなかったので、良い演習になりました。
・PIM:RIP、OSPF、BGPなどのルーティングプロトコルに依存せず、どのユニキャストルーティングプロトコルでも利用でき、経路表の経路情報を利用してマルチキャスト転送機能を実行するという特徴がある。
・IPsecのメインモードでは、応答社が始動者(接続元)のもつIPアドレスによって、接続元のPSKを特定するようにしている。このため、動的なIPアドレスが割り当てられるインターネット接続環境では、接続の都度、IPアドレスが変化するので、通信相手のもつPSKを特定できず、PSK認証を行うことができないという問題が発生する。
・IPsecのアグレッシブモードでは、接続元のIDなどを用いることによって、この問題を解決しようとしているが、接続元が相手に送るIDは暗号化されないまま送信されるので、メインモードに比べると、セキュリティ面で劣ることになる。
午後2問1は、半分程度の正答率でした。
専門知識を求められる設問なので、知らないと解答できないものが多かったです。
知識不足と言われればそれまでですが、本番の過去問では、馴染みのない技術には関しては解説が用意され、基本的な知識の組み合わせで解答できるようになっているので、模試としては、あまり良問とは言えない気もします。
・RLO(Right-to-Left Override):右から左に文字を記述するための制御コードのこと。
 例) example_[RLO]fdp.exe → example_exe.pdf
・DNSSECでは、ZSK(ゾーン証明鍵)が正しいことは、KSK(鍵証明鍵)によって署名されるが、KSKが正しいことは、KSKのハッシュ値をDS(Delegation Signer)という形にして、親のゾーンで公開してもらう形で担保される。
・DNSのメッセージ長は、通常、512バイトに制限されている。このため、512バイトを超えた場合でもDNSを使用するには、EDNS0(Extension Mechanisms for DNS)という規格を使うか、TCPを使う必要がある。
・SMTPで送信者のメールアドレスを指定するコマンドは、"MAIL FROM"、宛先のメールアドレスを指定するコマンドは、"RCPT TO"。
・接続先のWebサイト所有者の名称や所在地の要約と、証明書を発行したCAの名称などがブラウザ上に表示されるのは、EV SSL(Extended Validation SSL)。 ・S/MIMEを利用する際には、すべての利用者が公開鍵証明書(S/MIME)を取得していなければならない。
・メーリングリストサーバにおいて、メールのサブジェクトや本文が修正されることがあるので、DKIMの署名の検証に失敗してしまうことがある。この問題を回避するには、メーリングリストサーバにおいて、投稿者が付与したDKIMの署名を削除し、サブジェクトや本文の修正後にメーリングリストサーバで再署名する必要がある。その際、署名者を確認できるように、"Sender:"ヘッダを付与することが必要となる。
午後2問は、6割強程度の正答率でした。
内容的にはネットワークスペシャリストというよりも、ほとんどセキュリティスペシャリストの試験という感じですね。
アイテックの模試らしく、マニアックな専門知識が必要な設問がありますが、問1に比べれば、一般的な知識で解答できる設問が多かったようにも感じました。

2016年10月9日日曜日

ネットワークスペシャリストの勉強メモ15

ネスペ 27 礎 -ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。

・SSOにおいて、通信を中継する方式:リバースプロキシ方式
・WebサーバがPCにCookieを渡す方法:Set-Cookie
平成27年の午後1問1は7割強の正答率でした。
設問1の知識の穴埋め問題で全問正解できなかったのは痛いですね。まだ基礎知識が足りていないのかもしれません。
設問3(1)は、先にSSOサーバにアクセスすることから、「sso.a-sha.example.jp」と解答してしまいましたが、正解は「a-sha.example.jp」でした。SSOサーバだけでなく、他のサーバにもCookieを持ち回らなければなりませんので、確かにもっと広い範囲のドメインを指定する必要がありますね。

平成27年の午後1問2は2度目の解答でしたが、9割の正答率でした。
設問1(ウ)は、「フェイルオーバー」と解答してしまいました。意味的には間違っていないと思いましが、正解は「維持」ですね。
設問2(1)は、IPアドレスはエンドツーエンドということがわかっていたのですが、機器bではなく送信元の機器aを答えてしまいました。ケアレスミスなので、本番では絶対しないようにしたいです。
・フォールスポジティブ:正常な通信を誤って不正と検知してしまうこと。
・フォールスネガティブ:不正な通信を見逃してしまうこと。
平成27年の午後1問3は2度目の解答でしたが、ほぼ満点でした。
記述式は多少減点される可能性があることと、設問2(1)は正解がわかっていたにもかかわらず、ケアレスミス(図の見間違い)で誤答してしまいました。

平成27年の午後2問1はギリギリ6割ぐらいの正答率です。HTTP1.1の前提知識が必要で、かつ過去問で出てこなかった目新しい内容なので、難易度が高く感じました。
午後2は問題を見て得意な方を選べば良いのですが、苦手に感じた問題でも安定して7割程度は解答できるようにしておかないと少々不安です。
設問1(1)は、「同一セグメント」と書いてあったので考えすぎて「MACアドレス」と解答してしまいました。ロードバランサはワンアーム構成ではなく通常の構成で、しかも、そのことは設問1(3)と(4)でも問われています。素直に「送信元IPアドレス」とすべきでした。惜しいです。
設問2(1)は、PCから見ると新業務サーバがリバースプロキシになっているように見えますが、そうではないようです。また、シーケンス図を見ると、中継装置の方が手前に位置しているので、こちらの方がリバースプロキシのようにも見えますが、中継サーバはあくまでリクエストに応じて代理で情報を取得しているのに対して、通信アダプタの方は、単独でHTTPヘッダ「If-Modified-Since:x」を付加したリクエストを設備へ送信しているので、リバースプロキシということですね。解説を読めば何となくわかったような気もしますが、今ひとつスッキリしません。
設問2(5)は、正解の方の一つの「設備とTCPコネクションが確立できない場合」は、通信アダプタが落ちていることを想定して、同様の解答ができましたが、「設備がNot Modifiedを応答した場合」の方は解答できませんでした。設問2(4)で、多くの場合に通信アダプタがのキャッシュの方が中継サーバのキャッシュよりも新しいので、その場合は設備への通信を行わないという風に解答しましたが、そうではなく、通信アダプタに限定した解答を求められていました。しかしながら、設備も状況というのは、常に変動しているはずなので、設備側の状況が更新されていないというケースは少ないのではないかという気もしますが、深読みしすぎでしょうか。
設問2(6)は、前問の不正解を引きずってしまいました。通信アダプタのキャッシュが新しい場合は、オンデマンドで設備への通信を行う必要がないので、通信間隔を大きくすると、設備への通信が発生する機会が増えるので、レスポンスが悪くなるという解答をしましたが、正解はそうではなく、「電源断などで設備との通信ができない場合の稼働情報が古くなる」とのことでした。理由としては確かに納得できるものです。
設問3(2)は、イーサネットフレームのデータ部分とあったので、フレームの末端のチェックサム部分を解答してしまいました。IPヘッダとUDPヘッダは、イーサネットフレームの中ではデータ部分に格納されるものですね。
設問4(3)のイは、毎秒トランザクション30件×通信アダプタの稼働率0.8=24と解答してしまいました。コネクションの保持時間を計算に入れる必要があるので、正しくは、毎秒トランザクション30件×コネクションの保持時間3秒×通信アダプタの稼働率0.8=72になりますね。
設問4(5)は、HTTP1.1にkeepaliveの機能があることは知っていましたが、この設問では、クローズ処理について聞かれています。しかも、「クローズ処理オプション」と書いてあるので、専門知識がないと解答ができないように思わされます。解説を読めば、コネクション数を減らすために後続がなければ切断するという、やや当たり前の内容になっていますが、この解答をすんなり導き出せた人はいるのでしょうか?
設問4(6)は、パイプラインを有効に使うために、URLをまとめなければならないというところまではわかりましたが、通信アダプタにFQDNを付与するという点までは思い至りませんでした。難しいですね。 
・IPsecの送信側では、認証データを含むAHヘッダを付与する。認証データは、元のパケットを元に計算した値となる。受信側では、受信したパケットから認証データを再計算する。それと、送られてきた認証データが一致すれば、正規の送信者であるという認証が行なえ、同時に改ざんがないことも確認できる。 
・IPsecの通信は、ESPプロトコルによる暗号化通信の前に、IKEプロコトルを使って鍵計算を行う。IKEはフェーズ1とフェーズ2に分かれ、フェーズ1では、ISAKMP SAと呼ばれる制御用のセッションを確立する。このIKE(ISAKMP)で使うポート番号が500番である。 ・ESPヘッダにはポート番号が存在しない。
平成27年の午後2問2は2度目で7割強の正答率です。VXLANは頻出なので、ほぼ正答できていましたが、他の部分はまだまだ理解が不十分なようです。
設問1のeは、「マルチキャストIPアドレスを基に生成」とあったので、「マルチキャストグループ」と解答してしまいました。「フレーム」とあるので、データリンク層のことを聞かれていると気づくべきでした。
設問2(1)は、ネットワーク構成図に他の顧客宅のCPEが書いてあったので、「CPEで使用しているIPアドレスの重複」を書いてしまいました。よく考えれば、CPEのアドレスを割り振るのはISPなので重複はありえず、重複があるとすれば、ユーザー側で自由にネットワークアドレスを決められるPC〜CPEの間とISPが管理しているCPE〜CGNの間ということになりますね。
設問2(2)は、今回はシェアードアドレスが題材になっているということで、「グローバルIPアドレスとシェアードIPアドレスとアクセス日時」を解答しましたが、正解はもっとシンプルで、「送信元IPアドレスと送信元ポート番号とアクセス時刻」でした。
設問3(1)は、ほぼ解答できていましたが、設問中に「認証対象に着目して」とあるので、「IPヘッダの内容が書き換えられる」と明記すべきでした。減点対象となったかもしれません。
設問4(1)は、解説を読めば納得ですが、2回目でも、「マルチキャストMACアドレスが送信元アドレスになることはない」というアイデアは浮かんできませんでした。難しいです。
設問4(2)は、ビデオサーバではなくルータ2に着目して、IGMPの制御がないことから、「ビデオサーバから送られたパケットをそのまま中継するから」という解答にしました。正解に近い部分点はもらえるのではないかと思いますが、正解の「ビデオサーバは、マルチキャストパケットを送信する側だから」というのは、当たり前過ぎて書きにくい解答だと思います。

2016年10月8日土曜日

ネットワークスペシャリストの勉強メモ14

ネスペ 26 道 -ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。

平成26年の午後1問1は2回目でも7割程度の正答率でした。
設問2(1)は、問われている内容は理解できていましたが、仮想ルータという言葉が出てきませんでした。
設問2(2)は、OSPFの経路集約の概念がまったく理解できていませんでした。問題文中の「プレフィックスが最も短くなる」というのは、サブネットのビット数が小さくなるという意味も理解できていませんでした。
設問2(3)は、L2SWに対してたすき掛けになっている部分の考慮が抜けて、余計なルータを記入してしまいました。PCから通信した場合はVRRPの仮想IPアドレス宛に通信を行っても、ルータからの通信の場合は、ルータの元々のIPアドレスに対して行うという状況も理解が難しかったです。

平成26年の午後1問2は比較的最近解いたこともあって、全問正解でした。
内容もきちんと理解できていました。このレベルの問題が本番でも出てくれると良いですね。
DNSキャッシュサーバの主な目的
1. DNS問い合わせの迅速化
2. DNS問い合わせトラフィックの減少→WAN回線の使用帯域を減らす。
3. コンテンツサーバを分けて、セキュリティを高める。
・C&C(Command and Control)サーバ:インターネットからPCのマルウェアに対してコマンドを送って、遠隔でControlするサーバのこと。
平成26年の午後1問3は2回目で8割程度の正答率でした。
設問2(2)は、「断片化されたエコーパケット」という表現が思い浮かびませんでした。確かにその通りですが、FWで特定のサイズ以上のICMPパケットを廃棄する機能もあるのではないかと思います。
設問3(3)は、いわゆるボット攻撃の対処方法を聞かれていると思ったので、回答が1つしかできませんでした。「内部から外部への通信に対する遮断ルールの設定」というのは、FWである以上は当然とも思いますが、言われてみれば確かにその通りです。
設問4(2)は、評価と見直し、いわゆるPDCAサイクルのCとAに該当する行動ですが、きちんと回答できませんでした。将来担当者が変わった場合に対処方法をドキュメント化する、という観点を回答してしまいました。

平成26年の午後2問1は2回目で7割程度の正答率でした。
設問1(c)は、IPアドレスは詐称可能なので、ホスト名と解答してしまいました。よく考えれば、TCPであれば3ハンドシェイクになるので、送信元のIPアドレスは詐称することはできません。
設問2(2)の回答例の「メールの送信元のMTAのIPアドレス」という言葉を導き出すのは難しいですね。メールのヘッダー情報に送信元のIPアドレスが含まれているということがわかれば解答できる問題ではありますが、難しいです。
設問2(3)は、中継サーバの役割は理解できていたのですが、「社外に送信されるメールの送信元IPアドレスになる」という表現が導き出せませんでした。設問2(4)の正解となる「社外とのメール送受信がメール中継サーバを経由するから」と解答してしまいました。
設問3(2)は、サーバ証明書の妥当性を確認するには、証明書を作成した認証局のルート証明書が必要ということが解答できませんでした。証明書なので、復号に使用する公開鍵を解答してしまいました。復号するのは比較のためのハッシュ値を求めるためなので、比較対象の証明書が必要ということですね。
設問3(3)は、正解自体はシンプルな表現ですが、メカニズムは少々複雑です。プリマスタシークレットを復号するのは、元々の通信相手であるWebサーバの公開鍵が必要で、本問の場合は、間にプロキシサーバが入っているので、公開鍵がないために復号できないということですね。
設問4(1)は、ポートは正しく指定できましたが、INとOUTを間違えてしまいました。慎重に考えれば正解できた問題でした。惜しいです。
設問5(1)は、SSLで暗号化された通信内容を確認できるという解答はすぐ思い浮かびましたが、60文字近くまで引っ張るのが難しいです。もう一方の回答例の「プロキシサーバの認証に連続して失敗したことが記録されたログから、マルウェアの活動と推測できる情報が取得できる」は出てきませんでした。

平成26年の午後2問2は2回目で6割強程度の正答率でした。
設問2(3)は、エンドツーエンドの通信について問われていると読んだので、NAPTによるポート番号のことを解答しましたが、SBCが仲介するのは公衆電話網のSIPサーバとIP-PBXの間までなので、単にVoIP-GW上でプライベートIPアドレスをグローバルIPアドレスに変換するというのが正解でした。
設問3(1)は、ロガーの仮想NICと仮想スイッチの動作については理解できていたつもりでしたが、正解の「仮想スイッチのポートに該当するVLANのフレームを出力し、仮想NIC側でそれらを全て取り込む動作」という表現は、2回目でも出てきませんでした。利用ごとにVLANを分けて余計なフレームを流さないとうのは理解できていましたが、トランク接続でつながっている仮想NICにすべてのフレームを流すという部分まで解答するのは難しいです。
設問3(2)は、「送信元MACアドレスがポート1に設定されるので、戻りのパケットがポート3に到達できない」と解答しましたが、理解が不十分でした。ポート1からポート3にパケットがミラーされた時点で、ポート3が送信元になり、ポート7から届いた戻りのパケットも直接ポート3に配送しようとするため、破棄されてしまったということになります。解説を何度も読んでも難しい設問です。
設問4(5)は、設問3が解答できてないと自動的に不正解になりますね。キツイです。

2016年10月2日日曜日

ネットワークスペシャリストの勉強メモ13

ネスペの剣 25-ネットワークスペシャリストの最も詳しい過去問解説」の復習用メモです。
・IEEE802.11a:5GHz帯。
・IEEE802.11g:2.4GHz帯。
・IEEE802.11n:2.4GHz帯と5Ghz帯。
・IEEE802.11ac:5Ghz帯。
(H25 午後1 問3)
平成25年の午後1問1は初見で7割程度の正答率でした。一応合格ラインはクリアしていますが、安定して8割程度は得点できるようにしておきたいです。
設問2(1)でIEEE802.11aの周波数帯を間違えてしまいました。無線LANの周波数は頻出なので、完全に丸暗記が必要です。
設問2(3)のBBルータのポートは落ち着いて考えれば正解を得られる問題でした。
設問3(3)のブロードキャストフレームの折り返しは、解説を順を追って読めば理解できますが、試験中の限られた時間内で全て見通して正解を得るのは難しいですね。捨て問題にしても良い問題だと思います。

平成25年の午後1問2の2回目はほぼほぼ正解でしたが、設問1のイでブロードキャストアドレスを除かずに「127.255.255.255」と解答してしまいました。
また、設問3のDMZ→社内LANのFWのフィルタリングの空欄はIPアドレスではなくポート番号を解答してしまいました。
この種のケアレスミスは絶対に避けなければなりません。
・QinQ:IEEE802.1QのVLANタグの中にさらにIEEE802.1QのVLANタグを入れる規格。
・チャレンジレスポンス方式では、送信された乱数(チャレンジ)からハッシュ関数により暗号化されたレスポンスを生成して返信する。
(H25 午後1 問3)
平成25年の午後1問3の正答率は7割ほどでした。
VLANのIDは最大4096個ということは知っていましたが、12ビットではなく、16ビットと解答してしまいました。
設問2の宛先MACアドレスと送信元MACアドレスは、トンネル化しているという設問の意味をちゃんとできずに通常のデータリンク間のMACアドレスを書いてしまいました。
設問3の(3)は正解を読めば納得ですが、これは試験中に考えられそうにありません。満点を取る必要はないので、難問はあまりこだわらずに、潔く捨てるようにしたいです。
・無線LANの最初の標準規格:IEEE802.11
・チャレンジレスポンス方式では、送信された乱数(チャレンジ)からハッシュ関数により暗号化されたレスポンスを生成して返信する。
・WEPとWPAで利用する暗号化アルゴリズムはRC4。WPA2ではAES。
・サーバ側のNICにチーミングの設定がされている場合は、スイッチ側でリンクアグリゲーションの設定が必要となる。
・他のホストの代理でARP応答する仕組み:プロキシARP
(H25 午後2 問1)
平成25年の午後2問1もSTPとVRRP関連の設問はほぼ正解できていますが、無線LANの設置に関する設問は2回目でもなかなか解答できませんでした。なんとなく理解はできているつもりですが、正解の文章に近い言葉を自力で書き出すのは難しいですね。

平成25年の午後2問2はOpenFlowの出題だったので印象に残っていましたが、2回目の解答でもそれほど6割強の正答率でした。解答には深い理解が求められています。解説の内容も2回目でようやく腑に落ちた感じがします。

ネットワークスペシャリストの勉強メモ12

ネスぺ23 本物のネットワークスペシャリストになるための最も詳しい過去問解説と合格のコツ」の復習用メモです。
・搬送波の変調および復調によってデータ伝送を行うのはブロードバンド伝送方式。
・波長850nmのマルチモード光ファイバは1000BASE-SX。
・ディジタルデータの著作権を保護し、その利用や複製を制御し、制限するのは、DRM(Digital Rights Management)。
・フロー(flow)とは、個々のパケットではなく、送信元と宛先が同じ組み合わせのパケットを、まとめて「一連の流れ」として識別したもの。
・インターネット回線の混雑時には、特定のフローが帯域を占有しないよう、各フローの帯域が均等になるようにルータで制御する。キューイングには、次のようなものがある。
1.PQ(Priority Queuing):パケットの優先度によって優先制御をする。
2.FQ(Flow-based or Fair Queuing):フローを基準として、ユーザ(またはPC)ごとにパケットを均等に流す。
3.WFQ(Weighted Fair Queuing):FQのように均等ではなく、優先度に応じた重み付けをする。
・PC1台が利用できる通信帯域=1フローあたりの帯域×フロー数
(H23 午後1 問1)
平成23年の午後1問1を解くのは2回目でしたが、 正答率は半分以下でした。物理層が中心の設問は馴染みがないこともあって難しいですね。もう一度ぐらい復習する必要がありそうです。
・待ち行列におけるM/M/1は、「到着する数はランダム/サービス時間は指数分布/窓口は一つ」を意味する。
・利用率(ρ)が1を超えると、待ち行列βにM/M/1モデルは適用できない。
・ディジタル署名の目的は、1)改ざん防止、2)なりすまし防止、3)否認防止の3つある。
・平均待ち時間=利用率(ρ)÷(1-利用率(ρ))×平均処理時間
・平均応答時間=1÷(1-利用率(ρ))×平均処理時間
(H23 午後1 問2)
平成23年の午後1問2も2回目でしたが、 ディジタル署名の目的と待ち行列の最後の計算問題以外は正解でした。やはり計算問題の方が確実に得点ができますね。
・ファイアーウォールにアンチスパム、IDS/IPS、VPN、Webフィルタリング、ウィルスチェックなど複数のセキュリティ機能を持たせた装置:UTM(Unified Threat Management;統合脅威管理)。
・簡易型ファイル転送用プロトコル:TFTP(Trivial File Transfer Protocol)。
・ディジタル署名の目的は、1)改ざん防止、2)なりすまし防止、3)否認防止の3つある。
(H23 午後1 問3)
平成23年の午後1問3も2回目なので、 ほぼ正解でした。ただ最初に解いた時にはなかなか解答できず、IPAの解答例に意外性があったので印象に残っていたからというのもあります。初見ではなかなか正解を導くのが難しい問題だと思います。
・アソシエーション:対向先との接続。IPSecにおけるSA(Security Association)のこと。
(H23 午後2 問1)
平成23年の午後2問1は知識的には特に問題はありませんでしたが、2回目でも非常に難しく、正答率は60%ギリギリかどうかという状況です。ネスペ23の解説では、解答がわからなくても問題文をじっくり読むと答えを導き出せるようですが、本番の緊張感の中でそんな芸当ができるかどうかですね。

平成23年の午後2問2はVRRPの設定を含めて知識的には問題なく、2回目の解答ではほぼ正解できました。同じ傾向の問題がまた本番で出ることを期待したいです。