2016年9月22日木曜日
ネットワークスペシャリストの勉強メモ9
「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSLのハンドシェイクプロトコルでは、最初にクライアントからサーバに対してClientHelloメッセージを送り、乱数の他、クライアントが使用できる暗号スイートのリストなどをサーバに通知する。
・IDS(Intrusion Detection System;侵入検知システム)には、不正パケットに関する一定のルールやパターンを使って侵入を検知するシグネチャ型と、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなすアノマリ型がある。
・ハッシュ値の衝突が発生する可能性を更に低くする方法としては、ハッシュ値だけではなく、他のチェック方法と合わせて使用することが必要になる。具体的には、CRC(Cyclic Redundancy Check)によるチェックビットを付加し、ハッシュ値とCRCの両方を比較する。
・受信したデータ中に不適切な言葉や文字列が含まれていた時に通信を遮断する機能は、コンテンツフィルタリング。
ローミングが行われるたびに再認証が行われると、処理時間が長くなることから、最近ではPMK(Pairwise Mater Key)キャッシュという仕組みを使って、再認証の処理を行わないようにしている。PMKとは、暗号化鍵を生成する基になるデータのことで、PCがIEEE802.1Xの認証に成功すると、WLC(または認証サーバ)から複数APに対してPMKを配布し、同じPMKを事前に持たせておくことによってIEEE802.Xの認証を再度行わないようにしている。
・主系から副系にフェイルオーバーした後も通信を継続させるためには、主系が管理している情報を副系が引き継ぐ必要がある。このように、FWで管理している情報の整合性を図りながら、主系から副系にフェイルオーバーすることを、ステートフルフェイルオーバーという。
2016年9月19日月曜日
ネットワークスペシャリストの勉強メモ8
9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。
午後試験は採点で部分点がどれだけもらえるかによって結構点数が違ってくるので、実際に返却されるまではわかりませんが、合格ラインはクリアできているような感じです。ただ、問題によって得手不得手がどうしてもあるので、試験本番までのあと1ヶ月間、粛々と問題演習をこなしてゆくのみです。
▽検疫ネットワークの方式
・サプリカント:認証要求を行い、認証結果を受信するためのソフトウェア。
・オーセンティケータ:サプリカントから送信された認証要求を認証サーバ(RADIUSサーバ)に転送する認証スイッチのこと。
・WPS(Wi-Fi Protected Setup):プッシュボタン方式、またはPIN方式によって、無線LAN機器の接続やセキュリティの設定を容易に行うことができる機能。
・外部から自社のゾーン情報に対する問い合わせに回答するDNSサーバをコンテンツサーバ、または権威サーバという。
・HTTPのように、一回の通信の内容がリクエストとレスポンスで完結し、その通信以外の通信の「状態」を保持していない通信のことをステートレスな通信という。
午後試験は採点で部分点がどれだけもらえるかによって結構点数が違ってくるので、実際に返却されるまではわかりませんが、合格ラインはクリアできているような感じです。ただ、問題によって得手不得手がどうしてもあるので、試験本番までのあと1ヶ月間、粛々と問題演習をこなしてゆくのみです。
▽検疫ネットワークの方式
| 隔離のための方式 | 説明 |
| 認証スイッチ方式 | IEEE802.1X認証を利用したL2SWを使用し、ユーザ認証後にポートに検疫VLANを割り当て、検疫VLANに隔離し検証する。 ※VLANポートの変更が可能なダイナミックVLANという機能が実装されている必要がある。 |
| DHCP方式 | DHCPで動的にIPアドレスを割り当てることによって、検疫LANに隔離し検査する。 |
| 認証ゲートウェイ方式 | PCが配置されているセグメントと業務LANの境界に配置する装置であるゲートウェイにインストールされた検疫ソフトウェアで認証、検査し、治療が必要な場合は隔離する。 |
| パーソナルファイアーウォール方式 | PCにインストールされた検疫エージェント(パーソナルファイアーウォール)で検査し、治療が必要な場合は隔離する。 |
・オーセンティケータ:サプリカントから送信された認証要求を認証サーバ(RADIUSサーバ)に転送する認証スイッチのこと。
・WPS(Wi-Fi Protected Setup):プッシュボタン方式、またはPIN方式によって、無線LAN機器の接続やセキュリティの設定を容易に行うことができる機能。
・チャネルの両端には、干渉防止のために未使用とするガードバンドと呼ばれる周波数帯がある。チャネルボンディングの技術で2チャネル分を束ねて利用する場合は、周波数が下のチャネルの上端と上のチャネルの上端の干渉を考慮する必要がなくなり、そのガードバンドとなっていた周波数を4本のサブキャリアとして使用できるようになる。
・外部から自社のゾーン情報に対する問い合わせに回答するDNSサーバをコンテンツサーバ、または権威サーバという。
・再帰問い合わせを受けたDNSサーバは反復問い合わせを行い、必要に応じてルートサーバから順々に問い合わせをする。このDNSサーバのプログラムのことをフルサービスリゾルバという。
・DNSコンテンツサーバでDNSコンテンツサーバ応答にディジタル署名を追加し、問い合わせたDNSキャッシュサーバで正当性を検証するDNSのセキュリティの拡張方式をDNSSECという。DNSSECを導入すれば、偽の回答を検出することが可能となるが、鍵管理の煩雑さなど運用上の課題が残されており、広く普及するまでには至っていない。
・セカンダリサーバは、SOA(Start of Authority)レコードに設定されているリフレッシュ間隔ごとにプライマリサーバのSOAレコードを確認する。前回確認した時点よりも、SOAレコードのシリアル番号が大きくなっていた場合、リソースレコードが変更されていると判断し、リソースレコードを同期させるためのゾーン転送を行う。
・複数台のメールサーバを設定した場合、MXレコードのプレファレンス値が小さい方のメールサーバが優先される。
・MXレコードとNSレコードに設定されるドメイン名(ホスト名)は、別名であってはならない。(RFC2181)
・DNSキャッシュポイズニングの対策としては、DNSSECや再帰問い合わせを受け付けるIPアドレスを制限する以外に、送信元ポート番号をランダムに割り当てる、DNSメッセージのIDをランダムに割り当てる、という対策も考えられる。
一般的にNAPTルータは、プライベートネットワーク側からの接続要求があった場合にその要求に対応したIPアドレスとポート番号の転送設定を動的に定義し、通信がクローズしたりタイムアウトした場合にその転送設定を削除する。インターネット側からプライベートネットワーク内のホストへの接続を行うためには、NAPTルータでIPアドレスとポート番号の設定を明示的に定義する必要がある。
・HTTPのように、一回の通信の内容がリクエストとレスポンスで完結し、その通信以外の通信の「状態」を保持していない通信のことをステートレスな通信という。
・スイッチの通常の物理ポートは宛先以外の他の物理ポートにパケットを流さない。パケットモニタリングを行うためには、他の物理ポートに流れているパケットをコピーして流す、ミラーポートに接続しなければならない。
ネットワークスペシャリストの勉強メモ7
9/18(日)のTACのネットワークスペシャリスト模擬試験の復習です。
午前2は自己採点で19/25=76%でした。問題用紙に「?」マークをつけた問題も少なくなく、まだまだ自信が持てるレベルではありませんが、一応合格ラインをクリアできる実力には達していそうです。
・IEEE802.11nでは、20MHzと40MHzのチャネル幅に対応している。
呼量(アーラン)=単位時間あたりの通話回数×通話時間÷単位時間=延べ通話時間÷観測時間
・OSPF(Open Shortest Path First)は、AS内部のルーティングに用いるリンクステート型のプロトコルである。OSPFでは、ネットワークトポロジーやコストの情報が含まれるLSA(リンクステート広告)を隣接するルータ同士で交換し、各ルータはその情報をLSDBと呼ばれるデータベースに格納する。そして、LSDBの情報を元にSPFアルゴリズム(ダイクストラアルゴリズム)に従って最短経路を選択する。大規模なネットワークでは、交換されるLSAの数やLSDBのサイズが増大することによって、SPFアルゴリズムによる計算量も増大し、ルータに大きな負荷がかかる。そこで、ネットワークをエリアと呼ばれる論理的な単位に分割することによって、LSAを交換する範囲を小さくし、ルータの負荷を軽減することが可能となる。
・IPv6では、マルチキャストを利用するノード(リスナ)は、マルチキャストリスナ探索(Multicast Listener Discovery)という仕組みを利用して、参加するマルチキャストグループをルータに通知する。この通知は、ICMPv6(Internet Control Message Protocol version 6)のメッセージを利用して行われる。
・OSCP(Online Certificate Status Protocol)は、ディジタル証明書の失効状態をリアルタイムで問い合わせて確認するためのプロトコルである。OSCPクライアント(リクエスタ)がディジタル証明書のシリアル番号などを指定したOSCPリクエストを送信すると、OSCPサーバ(レスポンダ)は有効/失効/不明のいずれかをOSCPレスポンスとして返す。
・ディジタルフォレンジックス:電子データを収集/分析して犯罪調査や法的紛争における法的に有効な証拠書類とする技術。
・DKIM(DomainKeys Identified Mail)では、送信側はDNSサーバのTXTレコードに公開鍵を登録しておき、電子メール送信時にメールヘッダフィールドにディジタル署名を付加して送信する。受信側は送信ドメインを管理するDNSサーバのTXTレコードから公開鍵を取得し、そのディジタル証明を検証することによって送信ドメインを認証する。
・CVSS(Common Vulnerability Scoring System;共通脆弱性評価システム)は、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)の3つの基準でIT製品のセキュリティ脆弱性の深刻度を評価し、0(低)、10.0(高)の数値で表す。CVSSによって、ベンダに依存しない共通の基準で脆弱性の深刻度を定量的に評価できる。
午前2は自己採点で19/25=76%でした。問題用紙に「?」マークをつけた問題も少なくなく、まだまだ自信が持てるレベルではありませんが、一応合格ラインをクリアできる実力には達していそうです。
UTPケーブルの1対のより線で250Mbpsのデータ送受信を同時に行い、4対同時で1Gbpsの全二重通信をするのが1000BASE-T、1対のより線で500Mbpsの通信を行い、2対を送信に、残りの2対を受信に利用するのが1000BASE-TX。
・IEEE802.11nでは、20MHzと40MHzのチャネル幅に対応している。
・MIMOは、複数のアンテナで信号ストリームを同時に送信し、複数のアンテナで受信することによって高速化を図る技術。複数のフレームをまとめて送信することによって高速化を図る技術は、フレームアグリゲーション。
呼量(アーラン)=単位時間あたりの通話回数×通話時間÷単位時間=延べ通話時間÷観測時間
=電話機台数×単位時間あたりの1台の通話回数×平均回線保留時間÷単位時間
・OSPF(Open Shortest Path First)は、AS内部のルーティングに用いるリンクステート型のプロトコルである。OSPFでは、ネットワークトポロジーやコストの情報が含まれるLSA(リンクステート広告)を隣接するルータ同士で交換し、各ルータはその情報をLSDBと呼ばれるデータベースに格納する。そして、LSDBの情報を元にSPFアルゴリズム(ダイクストラアルゴリズム)に従って最短経路を選択する。大規模なネットワークでは、交換されるLSAの数やLSDBのサイズが増大することによって、SPFアルゴリズムによる計算量も増大し、ルータに大きな負荷がかかる。そこで、ネットワークをエリアと呼ばれる論理的な単位に分割することによって、LSAを交換する範囲を小さくし、ルータの負荷を軽減することが可能となる。
・OSPFでは、ネットワーク構成に変更が生じた場合、更新情報をマルチキャスト(ブロードキャストではない!)で通知する。
・IPv6では、マルチキャストを利用するノード(リスナ)は、マルチキャストリスナ探索(Multicast Listener Discovery)という仕組みを利用して、参加するマルチキャストグループをルータに通知する。この通知は、ICMPv6(Internet Control Message Protocol version 6)のメッセージを利用して行われる。
・IPv4においては、マルチキャストグループをルータに通知する際にはIGMP(Internet Group Management Protocol)が利用される。
・IPアドレスの重複検出を行う場合にIPv4ではGARP(Gratuitous Address Resolution Protocol)を用いるが、IPv6では、ICMPv6を用いる。
TCPでは、コネクションの確立を1対1で行うため、ブロードキャスト通信やマルチキャスト通信などの、同報性が必要な通信は行うことができない。
FTPSはSSL/TLSを用いて暗号化した通信経路上でファイル転送を行う。SFTPやSCPではSSHを利用する。
・OSCP(Online Certificate Status Protocol)は、ディジタル証明書の失効状態をリアルタイムで問い合わせて確認するためのプロトコルである。OSCPクライアント(リクエスタ)がディジタル証明書のシリアル番号などを指定したOSCPリクエストを送信すると、OSCPサーバ(レスポンダ)は有効/失効/不明のいずれかをOSCPレスポンスとして返す。
・CMP(Certificate Management Protocol):ディジタル証明書の発行や管理を行うプロトコル。
・SAML(Security Assertion Markup Language):ドメインをまたがるシングルサインオンを実現するために利用されるプロトコル。
・ディジタルフォレンジックス:電子データを収集/分析して犯罪調査や法的紛争における法的に有効な証拠書類とする技術。
・ステガノグラフィ:不正利用されることを防ぐために、データを他のデータに埋め込んで存在そのものを隠す技術。
ファジング(fuzzing)とは、ソフトウェア製品の脆弱性やバグを検出する手法の一つである。ソースコードを解析するのではなく、問題を引き起こしそうなテストデータを大量に自動的に生成して送り込み、その応答や動作を監視して、脆弱性やバグを検出するブラックボックス検査である。
・DKIM(DomainKeys Identified Mail)では、送信側はDNSサーバのTXTレコードに公開鍵を登録しておき、電子メール送信時にメールヘッダフィールドにディジタル署名を付加して送信する。受信側は送信ドメインを管理するDNSサーバのTXTレコードから公開鍵を取得し、そのディジタル証明を検証することによって送信ドメインを認証する。
・Sender IDでは、電子メールのヘッダ情報(から割り出したPRA:Purported Responsible Address)から取得した送信ドメインのメールサーバのIPアドレスで送信ドメインを認証する。
・SPF(Sender Policy Framework)では、DNSサーバのTXTレコードに登録されているSPFレコードのIPアドレスによって送信ドメイン認証を行う。
・送信元がSPFに対応していない場合に"none"という結果が返されるので、必ずしもなりすましメールであるとは限らない。
・CVSS(Common Vulnerability Scoring System;共通脆弱性評価システム)は、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)の3つの基準でIT製品のセキュリティ脆弱性の深刻度を評価し、0(低)、10.0(高)の数値で表す。CVSSによって、ベンダに依存しない共通の基準で脆弱性の深刻度を定量的に評価できる。
・CSIRT(Computer Security Incident Response Team):情報セキュリティインシデントに専門に対応する組織の総称。
・CVE(Common Vulnerabilities and Exposures;共通脆弱性識別子):個別の製品に含まれる脆弱性を識別するための共通の識別子。
・J-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan):IPAが情報の集約点となり、参加組織間でサイバー攻撃に関する情報共有を行い、サイバー攻撃対策につなげる取り組み。
2016年9月18日日曜日
ネットワークスペシャリストの勉強メモ6
9/11(日)のアイテックのネットワークスペシャリスト模擬試験の復習です。
午後1と午後2に関しては、合格ラインに達しているかどうか微妙な状況です。
・クロスサイトリクエストフォージェリ(CSRF;Cross Site Request Forgery):Webブラウザから偽装したHTTPリクエストメッセージを送信させてWebサーバを操作する攻撃。
・PPTP(Point-to-Point Tunneling Protocol):PPP(Point-to-Point Protocol)フレームのカプセル化にGRE(Generic Routing Encapsulation)を用いるもの。
・全てのスイッチがOF方式に対応しているのであれば、VLAN IDやMACアドレスに重複があったとしても、受信物理ポートの違いによって制御できる。
・IEEE802.11acのWave2仕様では、IEEE802.11nのSU-MIMO(Single User MIMO)機能に代わって、MU-MIMO(Multi User MIMO)機能に対応している。
・5GHz帯は、5.2GHz帯、5.3GHz帯、5.6GHz帯という3つの周波数帯に分かれており、5.3GHz帯と5.6GHz帯は気象レーダなどと同じ周波数帯を使用する。
・無線LANで使用するためには、気象レーダからの電波を検知すると、DFS(Dynamic Frequency Change)と呼ばれる機能によって、別のチャネルに切り替えることが必要となる。なお、電波干渉を回避するために、TPC(Transmit Power Control)と呼ばれることによって、無線の出力を低減させる仕組みも備わっている。
・WEPにおけるICV(Integrity Check Value)は、CRC32というアルゴリズムを使用してチェックサムを計算するだけなので、WEPキーなどの秘密の情報を知らなくても計算することができる。そのため、第三者がデータを改ざんし、改ざんしたデータに対してICVを再計算して付与することができてしまう。
・TKIPやCCMPでは、フレームにシーケンス番号を含めて、受信済みの値よりも小さかった場合は、リプレイ攻撃(再使用攻撃/再送攻撃)の疑いがあるとしてフレームを破棄する。
午後1と午後2に関しては、合格ラインに達しているかどうか微妙な状況です。
IEEE802.3at(PoE Plus):IEEE802.3af(PoE)の拡張版。PoE Plusに用いるケーブルには、カテゴリ5e以上の性能が要求される。
・クロスサイトリクエストフォージェリ(CSRF;Cross Site Request Forgery):Webブラウザから偽装したHTTPリクエストメッセージを送信させてWebサーバを操作する攻撃。
・フォールスポジティブ:正しい通信を攻撃と誤判定する事象。
・クライアントとWebサーバ間で確立したコネクションをRSTパケットによって切断するには、クライアントから送信したように見せかけたRSTパケットをWAFからWebサーバに送信する。
・PPTP(Point-to-Point Tunneling Protocol):PPP(Point-to-Point Protocol)フレームのカプセル化にGRE(Generic Routing Encapsulation)を用いるもの。
・L2TP(Layer 2 Tunneling Protocol):PPTPとL2F(Layer 2 Forwarding)を統合したプロトコル。L2TP自体には暗号化の機能がないため、セキュアなVPN通信を行うためにIPSecと組み合わせたL2TP/IPSec(L2TP over IPSec)として使用されることが多い。この場合、PPPフレームはL2TPヘッダ、UDPヘッダ、ESPヘッダ、そして最後にトンネルIPヘッダでカプセル化される。
・GREやESP(Encapsulating Security Payload)によってカプセル化されたパケットでは、GREやESPがポート番号を持たないことから、NAPTを超えることができないという問題がある。そこで、ルータではVPNパススルー機能を有効にして、ポート番号の変換を行わずに、IPアドレスとGREヘッダ内のコールID、あるいは、ESPヘッダ内のSPI(Security Parameter Index)との組み合わせでVPN通信を識別する。
・ポリシーベースルーティング(Policy-Based Routing;PBR):送信元のIPアドレスも指定したルーティング設定。送信元を指定することによって、許可する通信を必要最小限に制限できるメリットがある。ポリシーベースルーティングでは、送信元のIPアドレス範囲以外にも、プロトコル種別や送信元や宛先のポート番号によって、異なるネクストホップルータやパケット送出先インタフェースを定義することも可能になる。
・全てのスイッチがOF方式に対応しているのであれば、VLAN IDやMACアドレスに重複があったとしても、受信物理ポートの違いによって制御できる。
・OF方式の特徴は、全てのOFSをOFCで一元管理できることである。新たなOFSの設定はOFCに対して設定を行うことで対応可能である。例えば遠隔地のOFSをメンテナンスする場合でも、ある程度OFCからの対応が可能である。
| プロトコル | IEEE802.11a | IEEE802.11g | IEEE802.11n | IEEE802.11ac |
| 利用周波数帯 | 5GHz帯 | 2.4GHz帯 | 2.4GHz帯 5GHz帯 |
5GHz帯 |
| 変調方式 | 64QAM | 64QAM | 64QAM | 256QAM |
| チャンネルボンディング | 不可 | 不可 | 可 | 可 |
| チャンネル帯域幅 | 20MHz | 20MHz | 最大40MHz | 最大160MHz |
| MIMO | 不可 | 不可 | 可 | 可 |
| 空間ストリーム数 | 1 | 1 | 最大4 | 最大8 |
| 最大スループット | 54Mbps | 54Mbps | 最大600Mbps | 最大6.93Gbps |
・5GHz帯は、5.2GHz帯、5.3GHz帯、5.6GHz帯という3つの周波数帯に分かれており、5.3GHz帯と5.6GHz帯は気象レーダなどと同じ周波数帯を使用する。
・無線LANで使用するためには、気象レーダからの電波を検知すると、DFS(Dynamic Frequency Change)と呼ばれる機能によって、別のチャネルに切り替えることが必要となる。なお、電波干渉を回避するために、TPC(Transmit Power Control)と呼ばれることによって、無線の出力を低減させる仕組みも備わっている。
WPA(Wi-Fi Protected Access)ではTKIP(Temporal Key Integrity Protocol)、WPA2ではCCMP(Counter Mode with CBC-MAC Protocol)という暗号化プロトコルを使用して暗号化用のセッション鍵を動的に変更できるようにしている。
2.4GHz帯のISMバンド(Industry-Science-Medical Bands)は、産業、科学、医療用の機器に割り当てられている周波数帯である。これらの機器が無線LANと同じ周波数帯を用いていた場合、電波の干渉によって通信が不安定になったり、パフォーマンスが大きく低下したりする可能性がある。機器の例としては、電子レンジやマイクロ波加熱装置などがある。
・WEPにおけるICV(Integrity Check Value)は、CRC32というアルゴリズムを使用してチェックサムを計算するだけなので、WEPキーなどの秘密の情報を知らなくても計算することができる。そのため、第三者がデータを改ざんし、改ざんしたデータに対してICVを再計算して付与することができてしまう。
・WPAやWPA2では、秘密の暗号鍵を用いてMIC(Message Integrity Code)、あるいは、MAC(Message Authentication Code)を計算するため、第三者がデータを改ざんしても、MICやMACを再計算することができないので、改ざんを検知することができる。
・TKIPやCCMPでは、フレームにシーケンス番号を含めて、受信済みの値よりも小さかった場合は、リプレイ攻撃(再使用攻撃/再送攻撃)の疑いがあるとしてフレームを破棄する。
・TLSやIPSecなどのセキュアプロトコルでも、同様にシーケンス番号によるリプレイ攻撃への対策機能を提供している。
PSK(Pre-Shared Key)は各家庭などにおいて個人的に利用するためのモードであり、企業向けでの利用は想定していない。それは、全てのユーザーに対して同じPSKを設定する必要があり、利用者や端末を特定する方式ではないからである。
電波は、低周波ほど遠くまで到達し、高周波は遠くまで到達しないという性質を持つ。また、低周波ほど障害物を回り込んで到達し、高周波は直進性が高く、障害物による減衰も大きいために、回り込みにくいという性質がある。
マルチホップ通信では、RPL(IPv6 Routing Protocol for Low Power and Lossy Network)などの経路制御プログラムを使用して、他の920MHz帯無線機を経由して通信をすることが可能である。これによって、スマートメータなどの広い範囲で設置されているセンサと直接通信可能な範囲に親機を設置する必要がなく、親機の数を減らすことができるというメリットがある。
2016年9月17日土曜日
ネットワークスペシャリストの勉強メモ5
アイテックのネットワークスペシャリスト通信講座の午後1総まとめテストの復習です。
・サーバ側で公開鍵と秘密鍵の鍵ペアを作成し、認証局に対してCSR(Certified Signing Request:証明書署名要求)というメッセージを送る。
・無線APは通常、ブリッジとして動作する。
・TRILL(Transparent Interconnection of Lots of Links):RFC6325:Routing Bridges(RBridges) Base Protocol:STP(Spanning Tree Protocol)の欠点であるブロッキングポートをなくしてマルチパスに対応した技術。
9/11(日)にアイテックのネットワークスペシャリスト模擬試験を受けてきたので、その復習です。
午前2は自己採点で18/25=72%でした。不安な問題も結構ありましたが合格ラインは十分クリアできていました。
・10G BASE-T(IEEE802.3an)は、1対のケーブルで2.5Gbpsとなっている。ケーブルの品質としては、カテゴリ6または7(クラスEまたはF)を使用する必要があり、カテゴリ5(クラスD)は使用できない。
・IEEE802.11nでは、MIMOのアンテナ数は送信アンテナ4本×受信アンテナ4本であったが、IEEE802.11acでは、送信アンテナ8本×受信アンテナ8本(最大8ストリームの同時伝送が可能)に拡張されている。
・MACフレームのSFD(Start Frame Delimiter)はSFDの直後からMACフレームが続くことを示す区切りである。
・経路選択のアルゴリズムとしてパスベクトルを用いているのは、AS(Autonomous System:自律システム)間において経路情報を交換するルーティングプロトコルのBGP(Border Gateway Protocol)である。
・SANには、ファイバーチャネルを使ったFC-SANと、IPネットワークを使ったIP-SANという2つの方式がある。IP-SANには、FCフレームをIPでカプセル化する方式(FCIP)と、FCフレームを使用せず、SCSIフレームをTCP/IPパケットでそのままカプセル化する方式(iSCSI)がある。
・TCPヘッダもUDPヘッダも、それぞれのパケットに伝送誤りがないことを保証するために、チェックサムフィールドを持っている。
・HTTP1.1のpersistent connection(持続的接続):HTTPリクエストに対するレスポンスが行われても、TCPコネクションを開放しないでそのまま維持すること。
・ダウンローダ:攻撃者のサーバから別のウィルスをダウンロードして、活動を拡大させることが特徴のマルウェア。
・IPsecのESP(Encapsulating Security Payload)は、IPパケットの暗号化と、IPパケットの改ざんを検出するためにメッセージ認証用のデータ(オプション)を付加し、パケットを安全に転送するためのプロトコル。
・ICMP Flood:pingコマンドを大量に送りつけ、通信経路のトラフィックを過負荷状態にして正常な通信を妨害する。
・EAP(Extensible Authentication Protocol):IEEE802.1Xで使われる認証プロトコルであり、複数の認証方式を利用できる。
・サーバ側で公開鍵と秘密鍵の鍵ペアを作成し、認証局に対してCSR(Certified Signing Request:証明書署名要求)というメッセージを送る。
・サーバ証明書の失効処理を行うには、CAのCRL(Certificate Revocation List:証明書失効リスト)にサーバ証明書のシリアル番号を登録することが必要になる。
・無線APは通常、ブリッジとして動作する。
・無線IP電話機の接続先となる無線APが切り替わり、端末側で通信ができなくなったことを検知すると、無線IP電話機はDHCPサーバにユニキャストでDHCP REQUESTを送信する。
・DHCPサーバは割り当てるIPアドレスが異なることを通知するためにDHCP NACKを応答する。一般に、否定の応答を行うためには、NAKが使用される。
・DHCPメッセージには、giaddr(gateway ip address)と呼ばれるフィールドがあり、そこにはDHCPパケットをリレーしたエージェントのIPアドレスが設定される。DHCPサーバは、このフィールドを参照しリレーエージェントのIPアドレスが設定されていれば、そのIPアドレスによってクライアントがどのルータのどのインタフェースに接続されているかを認識できる。
・TRILL(Transparent Interconnection of Lots of Links):RFC6325:Routing Bridges(RBridges) Base Protocol:STP(Spanning Tree Protocol)の欠点であるブロッキングポートをなくしてマルチパスに対応した技術。
・VRRPは、インタフェースごとに独立して動作するため、障害時にはインタフェースによってマスタとバックアップが異なることがないように制御しなければ、通信が継続できなくなる場合がある。
・スタッキングはベンダー独自の技術で実現されていることから、一般に同じベンダーの同じタイプの機器同士でないと動作しないという問題がある。
・VRRP広告パケットの送信はマルチキャストアドレスを使って行われる。
・IPv6のリンクローカルアドレスの範囲は「FE80::/10」、リンクローカルマルチキャストアドレスの範囲は「FF00::/8」。それぞれ、FWで別途通過設定を行う必要がある。
9/11(日)にアイテックのネットワークスペシャリスト模擬試験を受けてきたので、その復習です。午前2は自己採点で18/25=72%でした。不安な問題も結構ありましたが合格ラインは十分クリアできていました。
・10G BASE-T(IEEE802.3an)は、1対のケーブルで2.5Gbpsとなっている。ケーブルの品質としては、カテゴリ6または7(クラスEまたはF)を使用する必要があり、カテゴリ5(クラスD)は使用できない。
・10G BASE-Tでは、全二重しか対応していない。(アクセス制御方式のCSMA/CDは利用できない)
・IEEE802.11nでは、MIMOのアンテナ数は送信アンテナ4本×受信アンテナ4本であったが、IEEE802.11acでは、送信アンテナ8本×受信アンテナ8本(最大8ストリームの同時伝送が可能)に拡張されている。
・IEEE802.11acのチャネルボンディングでは、20Mhz幅を最大8つ重ねた160MHz幅が利用可能となっている。
・IEEE802.11acの変調方式は、OFDM(Orthogonal Frequency Division Multiplexing;直交周波数分割多重)である。
・IEEE802.11acの理論上の最大速度は6.9GBpsである。
・MACフレームのSFD(Start Frame Delimiter)はSFDの直後からMACフレームが続くことを示す区切りである。
・MACフレームの同期を行うためのフィールドは、プリアンブルである。
・IEEE802.1QのVLANタグを付加した場合には、長さ/タイプフィールドの直前に置かれたTPID(Tag Protocol Identifier)とTCI(Tag Control Information)によって識別される。
・経路選択のアルゴリズムとしてパスベクトルを用いているのは、AS(Autonomous System:自律システム)間において経路情報を交換するルーティングプロトコルのBGP(Border Gateway Protocol)である。
・OSPF(Open Shortest Path First)では、経路選択のアルゴリズムとしてリンクステート方式を用いている。
・SANには、ファイバーチャネルを使ったFC-SANと、IPネットワークを使ったIP-SANという2つの方式がある。IP-SANには、FCフレームをIPでカプセル化する方式(FCIP)と、FCフレームを使用せず、SCSIフレームをTCP/IPパケットでそのままカプセル化する方式(iSCSI)がある。
・FCoE(Fiber Channel over Ethernet)は、FCフレームを直接イーサネットにカプセル化して伝送する方式のことである。
・TCPヘッダもUDPヘッダも、それぞれのパケットに伝送誤りがないことを保証するために、チェックサムフィールドを持っている。
・SSLのセッションIDは、送信元および宛先IPアドレス、送信元および宛先ポート番号の組に対応付けられて管理される。このため、SSLは、コネクションを維持するTCPを利用するアプリケーションには利用できるが、UDPを利用するアプリケーションには利用できない。
・TCPは、エンドツーエンド間にコネクションを確立するので、その通信形態はユニキャストに限られる。一方、UDPはコネクションを確立しないので、ユニキャストの他、マルチキャストやブロードキャストの通信ができる。
・HTTP1.1のpersistent connection(持続的接続):HTTPリクエストに対するレスポンスが行われても、TCPコネクションを開放しないでそのまま維持すること。
・HTTP1.1のパイプライン化:一つのTCPコネクションを使って、HTTPリクエストに対するWebサーバからのレスポンスを待たずに、複数のリクエストに送信できること。
・ダウンローダ:攻撃者のサーバから別のウィルスをダウンロードして、活動を拡大させることが特徴のマルウェア。
・ボット:指示を受けた後に実行する処理コードが埋め込まれており、コンピュータが遠隔操作されることが特徴のマルウェア。
・rootkit:不正なソフトウェアのパッケージで、自身の存在や活動を隠蔽することが特徴のマルウェア。
・IPsecのESP(Encapsulating Security Payload)は、IPパケットの暗号化と、IPパケットの改ざんを検出するためにメッセージ認証用のデータ(オプション)を付加し、パケットを安全に転送するためのプロトコル。
・事前共有秘密鍵(PSK:Pre-Shared Key)は、鍵交換プロセスのうち、通信相手の相互認証を行うために使用されるものである。このため、PSK認証の後にESPで使用する暗号化鍵や認証鍵を、送受信者間で共有するプロセスが実行される。
・ICMP Flood:pingコマンドを大量に送りつけ、通信経路のトラフィックを過負荷状態にして正常な通信を妨害する。
・SYN Flood:TCPコネクション確立要求の送信元IPアドレスを偽装して、接続先サーバのリソースを枯渇させる。
・ARPスプーフィング:アドレス解決の要求に対して偽装したMACアドレスを応答し、他人宛ての通信を盗聴する。
・EAP(Extensible Authentication Protocol):IEEE802.1Xで使われる認証プロトコルであり、複数の認証方式を利用できる。
・S/MIME:PKIを利用した電子メールのセキュリティメカニズム。
・OAuth:Webサービス連携において、認可情報を移譲する仕組みを提供するもの。
・RADIUS(Remote Authentication Dial In User Service):無線LANアクセスポイントと認証サーバの間においてIPレベルで認証情報をやり取りするためのプロトコル。
ハミング符号:誤りが高々1ビットであれば、誤りの訂正ができる。
ウォームスタート:電源をオフせずにシステムを再起動させること。
2016年9月10日土曜日
ネットワークスペシャリストの勉強メモ4
「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」の復習用メモです。
・SSOの方式を分類すると、SSOで利用したいサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式と、SSOサーバにおいて全ての通信の中継を行うリバースプロキシ方式がある。
ロードバランサーが利用できるWebサーバの負荷情報として適切なものは、Webサーバの応答時間とWebサーバのデータ通信量。
RTPパケットによって音声通信を行う際には、次のような劣化要因がある。
・VLAN用のタグは32ビットから構成され、最初の16ビットがTPID(Tag Protocol Identifier)、次の16ビットがTCI(Tag Control Information)となる。TCIは、プライオリティが3ビット、CFI(Canonical Format Indicator)が1ビット、VID(VLAN ID)が12ビットという構成になっている。
・OSPF(Open Shortest Path First)は、それぞれの物理ポートがもつ帯域幅をコストに換算し、コスト最小の経路を選択するルーティングプロトコル。
・FCP(Fiber Channel Protocol)のフロー制御では、送信側と受信側の双方で、受信側の空きバッファ数を管理して送信を制御するようにしている。このため、隣接ノード間において発生する局所的なバッファ枯渇にも適切に対処できる。
タグVLANのポート規格:IEEE802.1Q
・オーバーレイ方式による仮想化では、サーバに接続するスイッチ側で、接続用のトンネルを終端、もしくは、カプセル化用ヘッダを追加、削除する機能が必要となる。パケットサイズが大きくなることで、中経路でのフラグメンテーションが発生する可能性もある。
・SSOの方式を分類すると、SSOで利用したいサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式と、SSOサーバにおいて全ての通信の中継を行うリバースプロキシ方式がある。
・HTTP応答パケット中のSet-Cookieヘッダには、セッションIDのほか、Domain属性、Secure属性、Expires属性などが含まれる。
・Set-Cookieで"secure"が指定されていると、ブラウザはSSL(HTTP)で暗号化通信を行うときだけ、Webサーバに対してCookie情報を送り返すようになる。
(H27 午後1 問1)
ロードバランサーが利用できるWebサーバの負荷情報として適切なものは、Webサーバの応答時間とWebサーバのデータ通信量。
(H24 午後1 問1)
RTPパケットによって音声通信を行う際には、次のような劣化要因がある。
1.RTPパケットを作成するために必要となる処理による音声遅延。
2.ネットワークの負荷変動やパケット化のための処理時間の変動によるジッタ。
3.転送中におけるパケットロス。
(H23 午後2 問1)
・VLAN用のタグは32ビットから構成され、最初の16ビットがTPID(Tag Protocol Identifier)、次の16ビットがTCI(Tag Control Information)となる。TCIは、プライオリティが3ビット、CFI(Canonical Format Indicator)が1ビット、VID(VLAN ID)が12ビットという構成になっている。
・VRF(Virtual Routing and Forwarding)とは、一つのルータやL3SWに複数の独立した仮想ルータを稼働させる機能。
・同じVLAN内の通信では、L3SWはL2SWとして動作する。
・一般に、二つのL2SWを接続する際に採用される冗長化の方法としては、スパニングツリープロトコル(STP)を動作させる方法と、リンクアグリゲーションを使う方法がある。
(H25 午後1 問3)
・OSPF(Open Shortest Path First)は、それぞれの物理ポートがもつ帯域幅をコストに換算し、コスト最小の経路を選択するルーティングプロトコル。
・一つのOSPFのネットワークは、複数のエリアに分けることができる。エリア番号が0であるエリアはバックボーンエリアと呼ばれ、必ず存在しなければならない。
・ルータのQoSとしては、RFC2474に基いて、IPヘッダのTOS(Type of Service)フィールドをDSフィールドとして再定義して通信の優先評価を行うDiffServモデルが実装されている。
(H26 午後1 問1)
・FCP(Fiber Channel Protocol)のフロー制御では、送信側と受信側の双方で、受信側の空きバッファ数を管理して送信を制御するようにしている。このため、隣接ノード間において発生する局所的なバッファ枯渇にも適切に対処できる。
・SPF(Shortest Path First)では、経路上のコストが同じである場合は、それらの経路を同時に使用してトラフィックを分散できる。同時に複数の経路を使用できるので、パケットの伝送帯域を増加させることができる。
(H23 午後2 問1)
タグVLANのポート規格:IEEE802.1Q
(H24 午後2 問1)
・オーバーレイ方式による仮想化では、サーバに接続するスイッチ側で、接続用のトンネルを終端、もしくは、カプセル化用ヘッダを追加、削除する機能が必要となる。パケットサイズが大きくなることで、中経路でのフラグメンテーションが発生する可能性もある。
(H25 午後2 問2)
2016年9月4日日曜日
ネットワークスペシャリストの勉強メモ3
「徹底攻略 ネットワークスペシャリスト教科書 平成28年度」の復習用メモです。
・IPv6のヘッダ長は40バイトで、IPアドレスは128ビット。
・RFC3550:
基礎的な知識習得は一応完了して、新しいテキスト、「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」に移行したため、以下、その復習用メモです。
・ブロードバンド伝送:搬送波の変調及び復調によってデータ伝送を行う方式。
・帯域幅が20MHzから40MHzになると、48の搬送波が単純に2倍になるのではなく、108の搬送波がデータ通信用に使用できる。そのため、チャネルボンディングを行うことによって、帯域幅20MHzの2倍に当たる288Mbps以上の300Mbpsを実現できる。
・WEPキーなどの共有鍵を用いて相手認証を行うには、通信相手から送られてきた乱数を共有鍵で暗号化して返送するチャレンジレスポンス方式がよく利用される。
・DHCPリレーエージェント:DHCP DISCOVERパケットを別のネットワークセグメントに中継する機能。
・プライベートIPアドレスともグローバルIPアドレスともバッティングしないアドレスとして、シェアードアドレス(ISP Shared Address)がRFC6598とし定義された。
・IPv6のヘッダ長は40バイトで、IPアドレスは128ビット。
・IPv6に用意されているフラグメントヘッダやルーティングヘッダなどは拡張ヘッダと呼ばれ、基本ヘッダに使用頻度の低いフィールドをオプションで追加することができる。
・(IPv6で表せるアドレス数)÷(IPv4で表せるアドレス数)=2^128÷2^32=2^96
・DNSサーバに追加するAAAAレコード:IPv4アドレスのAレコード
・IPv4アドレスをIPv6アドレスに変換するには、まずIPv4アドレスを2進数に変換して、その後、16進数に変換する。これに、与えられたIPv6のプレフィックスを連結する。
・STPでのツリーの再構成後は、MACアドレステーブルも再学習が必要になるので、テーブルの内容がクリアされる。
・タグVLAN:IEEE 802.1Q
(H24 午後2 問2)
・RFC3550:
RTP(A Transport Protocol for Real-Time Applications):音声や動画などのデータストリームをリアルタイムに転送するためのプロトコル。
RTCP(Real-Time Transport Control Protocol):RTPのフロー制御をするときの制御情報を提供するプロトコル。
・プロトコル番号50:ESP(Encapsulating Security Payload):IPsecのプロトコル
ESPはネットワーク層のプロトコルのため、トランスポートの層のポート番号は存在しない。
・SSL-VPNレイヤー2フォワード方式では、ネットワーク層の中継を行わないため、同じネットワークに属する必要がある。
(H26 午後2 問2)
基礎的な知識習得は一応完了して、新しいテキスト、「2016 ネットワークスペシャリスト「専門知識+午後問題」の重点対策」に移行したため、以下、その復習用メモです。
・ブロードバンド伝送:搬送波の変調及び復調によってデータ伝送を行う方式。
・ベースバンド伝送:端末からのデータ信号をディジタル信号のまま、つまり変調をしないで伝送する方式。
(H23 午後1 問1)
・帯域幅が20MHzから40MHzになると、48の搬送波が単純に2倍になるのではなく、108の搬送波がデータ通信用に使用できる。そのため、チャネルボンディングを行うことによって、帯域幅20MHzの2倍に当たる288Mbps以上の300Mbpsを実現できる。
・無線LANフレームの先には、プリアンブルが付加され、それによって同期が取られるようになっている。
・フレームアグリゲーションを利用する場合でも、複数のフレームの宛先が同じでなければ、フレームの送信時間と確認応答の回数を減らすことはできない。
・フレームアグリゲーションを利用すると、無線チャネルの占有期間が長くなり、その間は他の通信が待たされることになる。
(H24 午後1 問3)
・WEPキーなどの共有鍵を用いて相手認証を行うには、通信相手から送られてきた乱数を共有鍵で暗号化して返送するチャレンジレスポンス方式がよく利用される。
・WEPでは、RC4という暗号アルゴリズムが使用される。
・GARP:同一サブネット内のIPノードがもつARPキャッシュを更新させる。
(H25 午後2 問1)
・DHCPリレーエージェント:DHCP DISCOVERパケットを別のネットワークセグメントに中継する機能。
・IPアドレスとMACアドレスの対応を保持したテーブル:ARPテーブル(ARPキャッシュ)
・MACアドレスの上位24ビット:OUI(Organizationally Unique Identifier):IEEEが製造メーカー(製造者)になどに対して割り当てた一意の番号。
・IEEE802.11a規格の無線LANでは5GHz帯の電波を使用。
(H25 午後1 問2)
・プライベートIPアドレスともグローバルIPアドレスともバッティングしないアドレスとして、シェアードアドレス(ISP Shared Address)がRFC6598とし定義された。
・MACアドレスの学習機能は、イーサネットフレームにある送信元MACアドレスを学習するもの。
・マルチキャストMACアドレスは、送信元MACアドレスとして使用されることはない。
(H25 午後2 問2)
登録:
投稿 (Atom)