2016年10月10日月曜日

ネットワークスペシャリストの勉強メモ16

アイテックの2015年のネットワークスペシャリスト模擬試験の復習です。
・稼働中のVMを別の物理サーバに無停止で移動させる技術のことを、一般にライブマイグレーションという。
・イーサネットで一斉配信フレームが届く範囲のことをブロードキャストドメインという。
・OSPFの等マルチコストパス(ECMP:Equal-Cost Multi-Path)では、通常は5つの情報(送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号)を使ってネットワークフロー(パケット単位ではない!)を識別して、負荷分散を行う。
午後1問1は、7割程度の正答率でした。OSPFとBGPに関する設問は専門知識が必要でした。BGP-4のMED値という用語は初めて目にしました。
・IEEE802.11ac:ギガビットWi-Fi
・WPAのセキュリティプロトコル:TKIP(Temporal Key Integrity Protocol)
・WPA2のセキュリティプロトコル:CCMP(Counter mode with CBC-MAC Protocol)
・端末の電子証明書を用いて認証を行う方式:EAP-TLS
・ユーザーIDとパスワードによってユーザーを認証する方式:EAP-PEAPとEAP-TTLS
午後1問1は、7割程度の正答率でした。
無線LANの規格についてはほぼ抑えているつもりでしたが、セキュリティについては、用語も含めて理解が不完全でした。
・IPv4とIPv6のプロトコル変換を行う方式:IPv4/IPv6トランスレーション
・IPv6では、IPアドレスを自動で設定するために、IPv4で使われてきたDHCPのIPv6版であるDHCPv6の他、RA(Router Advertisement:ルータ広告)による方法が用意されている。
・RAは、デフォルトゲートウェイとなるルーターからIPアドレスの上位64ビットなどのプレフィックスを通知する。RAを受信したホストは、通知された64ビットのプレフィックスにホスト部となる64ビット分を追加して、IPv6アドレスを自動的に生成する。
・リンクローカルユニキャストアドレス:fe80::/64
・IPv6アドレスの逆引きレコードは、IPv4と同様にPTRレコードが用いられるが、ドメイン名はIPv4ではIPアドレスのドットで区切られた8ビットごとのラベルの順序を逆にして、最後にin-addr.arpa.を付けるルールになっていた。これに対して、IPv6では、省略形を元に戻した上で、16 進数で書かれたアドレスの順序を逆にして、4ビットごとにドットで区切り、最後にin6.arpa.をつけるルールになっている。
 例)2001:0db8:0:1::20 → 0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.
午後1問3は、7割程度の正答率でした。
IPv6の用語に関しては、まだ知識不足な点がありました。DNSでのIPv6の扱いについても、AAAAレコードぐらいしか知らなかったので、良い演習になりました。
・PIM:RIP、OSPF、BGPなどのルーティングプロトコルに依存せず、どのユニキャストルーティングプロトコルでも利用でき、経路表の経路情報を利用してマルチキャスト転送機能を実行するという特徴がある。
・IPsecのメインモードでは、応答社が始動者(接続元)のもつIPアドレスによって、接続元のPSKを特定するようにしている。このため、動的なIPアドレスが割り当てられるインターネット接続環境では、接続の都度、IPアドレスが変化するので、通信相手のもつPSKを特定できず、PSK認証を行うことができないという問題が発生する。
・IPsecのアグレッシブモードでは、接続元のIDなどを用いることによって、この問題を解決しようとしているが、接続元が相手に送るIDは暗号化されないまま送信されるので、メインモードに比べると、セキュリティ面で劣ることになる。
午後2問1は、半分程度の正答率でした。
専門知識を求められる設問なので、知らないと解答できないものが多かったです。
知識不足と言われればそれまでですが、本番の過去問では、馴染みのない技術には関しては解説が用意され、基本的な知識の組み合わせで解答できるようになっているので、模試としては、あまり良問とは言えない気もします。
・RLO(Right-to-Left Override):右から左に文字を記述するための制御コードのこと。
 例) example_[RLO]fdp.exe → example_exe.pdf
・DNSSECでは、ZSK(ゾーン証明鍵)が正しいことは、KSK(鍵証明鍵)によって署名されるが、KSKが正しいことは、KSKのハッシュ値をDS(Delegation Signer)という形にして、親のゾーンで公開してもらう形で担保される。
・DNSのメッセージ長は、通常、512バイトに制限されている。このため、512バイトを超えた場合でもDNSを使用するには、EDNS0(Extension Mechanisms for DNS)という規格を使うか、TCPを使う必要がある。
・SMTPで送信者のメールアドレスを指定するコマンドは、"MAIL FROM"、宛先のメールアドレスを指定するコマンドは、"RCPT TO"。
・接続先のWebサイト所有者の名称や所在地の要約と、証明書を発行したCAの名称などがブラウザ上に表示されるのは、EV SSL(Extended Validation SSL)。 ・S/MIMEを利用する際には、すべての利用者が公開鍵証明書(S/MIME)を取得していなければならない。
・メーリングリストサーバにおいて、メールのサブジェクトや本文が修正されることがあるので、DKIMの署名の検証に失敗してしまうことがある。この問題を回避するには、メーリングリストサーバにおいて、投稿者が付与したDKIMの署名を削除し、サブジェクトや本文の修正後にメーリングリストサーバで再署名する必要がある。その際、署名者を確認できるように、"Sender:"ヘッダを付与することが必要となる。
午後2問は、6割強程度の正答率でした。
内容的にはネットワークスペシャリストというよりも、ほとんどセキュリティスペシャリストの試験という感じですね。
アイテックの模試らしく、マニアックな専門知識が必要な設問がありますが、問1に比べれば、一般的な知識で解答できる設問が多かったようにも感じました。

0 件のコメント:

コメントを投稿