【ネスぺ対策】ネットワーク関連技術
ネットワークスペシャリスト合格に必要となる知識を一問一答形式で確認していきます。
目次
ICMP
ICMPの二種類のタイプと代表的な通信プログラムを述べよ
QueryとError。Queryを用いた通信プログラムにはpingやtracerouteがある。
ICMPの5つのメッセージタイプとその意味を述べよ
- Echo reply(0):pingやtracerouteで用いられるエコー応答
- Destination Unreachable(3):ネットワークやホストに到達できない
- Redirect(5):ネットワークやホストに最適経路を通知する
- Echo Request(8):pingやtracerouteで用いられるエコー要求
- Time Exceeded(11):TTLの値が超過やパケットの再構築処理中のタイムアウト
DNS
DNSラウンドロビンを説明せよ
一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
DNSキャッシュポイズニング攻撃の概要とその対策を述べよ
偽のDNS応答をキャッシュDNSサーバにキャッシュさせることで偽のサイトに誘導し,フィッシングや乗っ取りなどを行う攻撃手法。対策としては,DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するDNSSECが挙げられる。
MXレコードには何を記述するか
メールアドレスのドメイン名とメールサーバのホスト名。IPアドレスではないので注意が必要。
「NSレコードの先頭フィールドにはネームサーバのホスト名を記述する」は正しいか
正しくない。ゾーンのドメイン名→TTL→IN→NS→ネームサーバのホスト名の順番が正しい。ゾーンというのは,例えばexample.comで,ネームサーバというのはゾーンよりも一つ深いns.example.comなどを表す。ちなみに,INはInternetのINであり,IN/OUTのINではないため注意。
「NSレコードのRDATAにはネームサーバの別名を記述できる」は正しいか
DNSで逆引きに利用するレコード名は何か
PTR。Pointerの略であり,矢印を逆に向けるイメージで覚えるとよい。
ゾーン転送を説明せよ
マスタDNSサーバからスレーブDNSサーバにゾーン情報をコピーすること。
リゾルバ・フルリゾルバ・キャッシュDNSサーバ・コンテンツDNSサーバ・内部DNSサーバ・外部DNSサーバ・再帰問い合わせ・フォワード・反復問い合わせの関係性を図示せよ。
再帰問合せと反復問合せを逆にして覚えてしまうことが多いため注意。矢印で書くと反復問合せが再帰っぽく見えてしまうが,再帰は「結果が返ってくる」ことを指しており,DNSの名前解決は問合せの反復動作であったことを踏まえると,両者が下図のように位置づけられることも理解できるだろう。
DNS周りの用語とその関係性
DNSでメールサーバを指定するために必要な二つのレコードを述べよ
- MXレコード:メールサーバのFQDNを指定
- Aレコード:ホスト(FQDN)のIPアドレスを指定
AレコードでFQDNを指定することも可能だが,一般にはドメイン名をnamed.confに指定することが多く,Aレコードではホスト名を記述することが多い。
DNSの問合せの応答がキャッシュサーバを経由する理由を二つ述べよ
- ファイアウォールの設定を不要とするため
- キャッシュを蓄積させるため
ダイナミックDNSを説明せよ
クライアントが自分で割り当てたIPアドレスに基づいてDNSサーバのゾーン情報を修正して機能させる仕組み
DMZのDNSサーバはキャッシュ機能を有効にするべきか,無効にするべきか。また,その理由を答えよ。
無効にするべき。外部の悪質な攻撃者によってキャッシュの内容を改ざんされてしまう危険性がある。防止策としては,DMZのDNSサーバをコンテンツサーバとフルリゾルバサーバに分離し,キャッシュ機能(再帰問い合わせ機能)を停止する。すなわち,コンテンツサーバは自分が持っているゾーン情報のみを回答することになる。フルリゾルバサーバは内部からの問い合わせのみに応答するように設定する。イメージとしては,外部公開しているDNSサーバは自分のもっている(=信頼できる)情報しか応答せず,他のDNSサーバへの問い合わせも行わない。とはいえ,このままだと内部のネットワークが通信できなくなるため,内部DNSサーバにはフルリゾルバ機能を持たせるが,問い合わせ元は内部ネットワークに限定する。こうすることで,外部からの通信に対しては自分たちの範疇内であるゾーン情報のみを提供し,内部からの通信に対しては十分な機能を提供することが可能になる。
DNSのルートネームサーバを冗長化する技術と問題点,その解決方法を説明せよ
ルートネームサーバは世界に13台しかないため,冗長化が必須である。その際は,ルートネームサーバに複数のIPアドレスを紐付けて,同じサービスを提供するサーバのうち最寄りのサーバに連携する仕組みであるIPエニーキャストを利用する。しかし,IPエニーキャストでは初回のパケットとそれ以降のパケットが同じサーバに連携されるとは限らないという問題点がある。そこで,初回のパケットのみをIPエニーキャストを用い,それ以降はユニキャストを用いることで継続的に同じサーバと通信することを可能にする。
メール
DKIM/SPF/POP before SMTPの違いを述べよ。
- DKIM:受信側で送信元メールサーバのディジタル署名を検証する
- SPF:受信側で送信元IPアドレスを元に正当性を検証する技術
- POP before SMTP:SMTPサーバとの通信前に認証を行うことで一定期間メールの送信が可能になる仕組み
メールに関するプロトコルを構造化してまとめよ
- 送信プロトコル
- SMTP
- POP before SMTP
- SMTP AUTH
- 受信プロトコル
POPの問題点を三つ述べよ
- バックアップが必要となる点
- 複数のクライアントから同じメールを読むことができない点
- パスワードが平文で流れる点
1.と2.はIMAPで解決できる一方で,3.はIMAPでも解決できないため,SSL/TLSなど他のプロトコルの組み合わせて利用される。
メールサーバの一般的な構成を述べよ
外部メールサーバをDMZに置き,内部メールサーバを内部ネットワークに置く。外部メールサーバはプロキシサーバとして動作させるため,SMTPを行う送信サービスのみを動作させておけばよく,内部メールサーバは送信サービスだけでなくPOP3やIMAP4を行う受信サービスを動作させておく必要がある。なお,外部メールサーバで受信サービスを動作させないのはセキュリティ上の観点からである。
QoS
DiffServで重要な二つの観点を述べよ
- どのパケットを優先するか
- L2:VLANタグのCoS(Class of Service)値
- L3:IPヘッダのDSCP(DiffServ Code Point)値
- パケットの処理順
- PQ:常に優先度付きキューに格納されたパケットを優先
- RR:優先度付きキューと通常のキューを交互に出力
- WRR:RRを重み付きで行う
DiffServの優先度を記述するための方法を説明せよ
ECNの仕組みを説明せよ
行きのIPヘッダで輻輳しているかを記録して,帰りのTCPヘッダで輻輳が起きていることを送信元に通知する。
種々のプロトコル
ノースバウンドインタフェースとサウスバウンドインタフェースを説明せよ
SDNコントローラから見て上位(アプリケーション)側に指示を出すインタフェースがノースバウンドインタフェースであり,下位(ネットワーク)側に指示を出すインタフェースがサウスバウンドインタフェースである。
ポリシングとシェーピングを説明せよ
入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御をポリシングと呼ぶ。パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御をシェーピングと呼ぶ。PolicingはPolice(警察)からも推測される通り「取り締まり」という意味を持つため,トラフィックの最大速度の超過に対して破棄や優先度制御を行う。一方で,ShapingはShape(形)からも推測される通り「徐々に目的を形作っていく」という意味を持つため,トラフィックを平準化させる制御を行う。
SSOの種類とその概要を述べよ
- Cookie:サーバ上で認証後にCookieを発行してクライアントで保存
- リバースプロキシ:全てのWebサーバへのアクセスをプロキシに集約
- ケルベロス認証:LAN内のケルベロスサーバで一括認証
- KDC(Key Distribution Center):サーバとユーザに関する情報を一元管理
- AS(Authentication Server):認証サーバ
- TGS(Ticket Granting Server):チケットを発行するサーバ
- TGT(Ticket Granting Ticket):チケット発行の種となるチケット
- SAML(Security Assertion Markup Language):認証・属性・許可情報を異なるドメイン間で共有
- IdP(Identity Provider):認証を行うWebアプリ
- SP(Service Provider):実際に利用するWebアプリ
- Assertion:SAMLで利用する情報が含まれているトークン(認証/属性/許可)
NAS/DAS/DAFSの違いを述べよ
- NAS:TCP/IPのコンピュータネットワークに接続するファイルサーバ
- DAS:直接PCに接続するストレージ
- DAFS:クラスタ環境で高速かつ低負荷なデータ転送が可能するファイル共有プロトコル
MobileIPを説明せよ
ホストが接続しているサブネットが変わってもIPアドレスが変わらないようにする技術。従来は,ホームエージェント経由のトンネリングを用いて外部エージェントが移動ホストにパケットを連携するという仕組みで構成されていた。しかし,外部エージェントが存在しないネットワークには移動できないことやホームエージェントを経由する通信の効率が悪いといった問題がある。さらに,移動先のネットワークで移動ホストが外部と通信することを考えたときに,移動ホストのIPアドレスである送信元IPアドレスと移動ホストが所属するネットワークのIPアドレスが異なるために,宛先ネットワークのFWのセキュリティ制限で通信が遮断されてしまう可能性がある。これらの問題を解決するため,Mobile IPv6では外部エージェントの機能を移動ホスト自身が担えるように実装されているだけでなく,通信経路が最適化されたり,IPv6拡張ヘッダのオプションであるホームアドレスが利用されたりしている。
シェアはこちらからお願いします!
コメント