【ネスぺ対策】アプリケーション層まとめ

本稿ではIPA試験で必要とされる知識をまとめます。

目次

HTTP

HTTPレスポンスの代表的なヘッダとその概要を述べよ
フィールド説明
Content-Security-Policy外部読み込みを許可するリソースの種類とドメインを指定する。
Strict-Transport-Security
(HSTS)
HTTPS接続を強制する。
X-Content-Type-Optionsファイルの内容をContent-Type属性から判断させる。このフィールドにより,ファイル形式をブラウザに誤認させてJavascriptを実行させるXSS攻撃を防ぐことができる。
X-XSS-ProtectionXSS攻撃を検知したときにページの読み込みを停止する
HTTPレスポンスの代表的なヘッダとその概要
301リダイレクトだけでなくStrict-Transport-Security(HSTS)を利用する理由を述べよ

301リダイレクトでは最初の通信は暗号化されないが,HSTSではコンテンツを返さずにHTTPレスポンスヘッダで通知を行うことができ,それ以降の通信はHTTPS接続となるため。

HTTPリクエストメソッドにおけるGETとPOSTのキャッシュ機能の有無について説明せよ。

GETで取得したページはキャッシュされ,POSTで取得したページはキャッシュされない。

HTTP/1.1において実装が必須であるメソッドを全て挙げよ。

GET/HEAD

cookieの代表的な属性とその役割を述べよ
フィールド説明
SecureHTTPS通信のときに限りサーバにブラウザからcookieが送信される
Domaincookieを送信するドメインを指定
Pathcookieを送信するURLディレクトリを指定
Expirescookieの有効期限を設定
HttpOnlyJavaScriptからcookieにアクセスできなくなる
cookieの代表的な属性とその役割
HTTPで定義されている基本的な二つの認証方式を説明せよ
  • ベーシック認証:ユーザ名とパスワードをコロンで繋いでBase64でエンコードする方式。
  • ダイジェスト認証:ユーザ名・パスワード・ランダムな文字列をMD5でハッシュ化する方式。コロンではない点に注意。
HTTPS通信とプロキシサーバを併用する際の問題点を述べよ。また,その問題点を解決するための方法と,それに付随して再出現する問題を述べよ。最後に,再出現した問題の解決方法を述べよ。

HTTPS通信はクライアントとWebサーバ間で暗号化を行っているため,プロキシサーバを経由させるとパケットを中継することが不可能である。そこで,CONNECTメソッドを使ってプロキシサーバに通信を透過させるという手段を用いる。

しかし,通信を透過させると,プロキシサーバのセキュリティチェックがなされないという問題が再出現する。この問題を解決するためには,HTTPS通信をプロキシサーバで終端させて通信を復号し,その後再度プロキシサーバとWebサーバの間でHTTPS通信を行うという手段を用いる。このとき,プロキシサーバのサーバ証明書はプロキシサーバ自身がCAとしてルート証明書(サーバ証明書の署名)を発行しているため,クライアントにはデフォルトで梱包されていないルート証明書を利用していることになり,ブラウザには警告の表示がされてしまう。この警告は,CAとしてのプロキシサーバのルート証明書をクライアントにインストールすることで非表示にできる。

HTTPプロトコルでcookieを発行する流れを説明せよ
  • HTTPレスポンス:Set-cookieフィールドにセッションIDを発行
  • HTTPリクエスト:CookieフィールドにセッションIDを格納
ETagとはなにか

Webサーバが設定するファイルの識別子

If-MatchとIf-None-Matchとはなにか
  • If-Match:ETagがWebサーバ上のEtagと一致した場合にリクエストを返す方式
  • If-None-Match:ETagがWebサーバ上のEtagと一致しなかった場合にリクエストを返す方式

If-MatchではETagが一致しなかった場合は412 Precondition Failedを返し,If-None-MatchではETagが一致した場合は304 Not Modifiedを返す。例えば,CDNではIf-None-Matchを用いてWebサーバへの負荷を軽減している。

SSLハンドシェイクの流れを説明せよ
フェーズ通信の呼称詳細
対応方式の提示Client Helloクライアント側が使える暗号化方式やハッシュ化方式のリスト(暗号スイート)を提示
対応方式の提示
+通信相手の証明
Server Hello
Certificate
Certificate Request
Server Hello Done
サーバ側がクライアント側が提示した暗号スイートから選択する。その後サーバ署名書の情報を送った上でクライアント証明書を要求し,Server Hello Doneを送る。
通信相手の証明Certificateクライアント証明書を送る
PMSの交換Client Key Exchangeクライアントから共通鍵の素となるpre-master-secret(PMS)を交換する
要約Certificate Verifyクライアントがこれまでの要約をハッシュ値で送る
最終確認
(クライアント)
Change Cipher Spec
Finished
ネゴシエーションされた暗号スイートで通信を開始する宣言とその確認
最終確認
(サーバ)
Change Cipher Spec
Finished
ネゴシエーションされた暗号スイートで通信を開始する宣言とその確認
SSLハンドシェイクの流れ

特に,CertificateがServerHelloとServerHelloDoneに挟まれていることに注意する。

マスタシークレットと共通鍵の関係を説明せよ

プリマスタシークレットとclient random・server rondomがマスタシークレットとなり,マスタシークレットからMAC鍵とセッション鍵が生成されるという関係。MAC鍵は改ざん防止のためのハッシュ化に利用され,セッション鍵はデータの暗号化に利用される。

FTP

FTPの制御用ポートとデータ転送用ポートを述べよ
  • 制御用ポート:TCP/21
  • データ転送用ポート:TCP/20

ただし,パッシブモードではデータ転送用ポートは任意となる。

FTPのアクティブ・パッシブは何が主語か

サーバ。転送用コネクションはアクティブ/パッシブ共にクライアントから接続開始し,データコネクションはアクティブの場合はサーバから,パッシブの場合はクライアントから接続開始する。古くから利用されているのはアクティブモードだが,FW等でサーバ側からのデータ転送用のコネクションが拒否されてしまう可能性があるため,パッシブモードが考案された。今のFWではアクティブモードでも問題が起こらないようになっているものが多い。

FTPにおけるMODE/PASV/PORTを説明せよ。
  • MODE:転送モードの指定
  • PASV:クライアントからサーバに転送用ポートを問い合わせる
  • PORT:クライアントがデータ転送を待ち受けているポート番号をサーバに伝える。サーバは能動的になるのでACTIVEと言いたいところだが,PORTなので注意。加えて,制御用のコネクションは常にクライアントからサーバに向けて確立されることにも注意。

DNS

DNSラウンドロビンを説明せよ

一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させること。

DNSキャッシュポイズニング攻撃の概要とその対策を述べよ

偽のDNS応答をキャッシュDNSサーバにキャッシュさせることで偽のサイトに誘導し,フィッシングや乗っ取りなどを行う攻撃手法。対策としては,DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するDNSSECが挙げられる。

MXレコードには何を記述するか

メールアドレスのドメイン名とメールサーバのホスト名。IPアドレスではないので注意が必要。

「NSレコードの先頭フィールドにはネームサーバのホスト名を記述する」は正しいか

正しくない。ゾーンのドメイン名→TTL→IN→NS→ネームサーバのホスト名の順番が正しい。ゾーンというのは,例えばexample.comで,ネームサーバというのはゾーンよりも一つ深いns.example.comなどを表す。ちなみに,INはInternetのINであり,IN/OUTのINではないため注意。

「NSレコードのRDATAにはネームサーバの別名を記述できる」は正しいか

正しくない。別名はCNAMEで管理する。

DNSで逆引きに利用するレコード名は何か

PTR。Pointerの略であり,矢印を逆に向けるイメージで覚えるとよい。

ゾーン転送を説明せよ

マスタDNSサーバからスレーブDNSサーバにゾーン情報をコピーすること。

DNSでメールサーバを指定するために必要な二つのレコードを述べよ
  • MXレコード:メールサーバのFQDNを指定
  • Aレコード:ホスト(FQDN)のIPアドレスを指定

AレコードでFQDNを指定することも可能だが,一般にはドメイン名をnamed.confに指定することが多く,Aレコードではホスト名を記述することが多い。

DNSの問合せの応答がキャッシュサーバを経由する理由を二つ述べよ
  • ファイアウォールの設定を不要とするため
  • キャッシュを蓄積させるため
ダイナミックDNSを説明せよ

クライアントが自分で割り当てたIPアドレスに基づき,DNSサーバのゾーン情報を修正して機能させる仕組み。

DNSのルートネームサーバを冗長化する技術と問題点,その解決方法を説明せよ

ルートネームサーバは世界に13台しかないため,冗長化が必須である。その際は,ルートネームサーバに複数のIPアドレスを紐付けて,同じサービスを提供するサーバのうち最寄りのサーバに連携する仕組みであるIPエニーキャストを利用する。しかし,IPエニーキャストでは初回のパケットとそれ以降のパケットが同じサーバに連携されるとは限らないという問題点がある。そこで,初回のパケットのみをIPエニーキャストを用い,それ以降はユニキャストを用いることで継続的に同じサーバと通信することを可能にする。

DNSゾーン転送のトリガーを説明せよ。

ゾーンファイルのrefreshに記載された間隔で,すべてスレーブから更新要求がトリガーされる。ただし,最大refresh間隔分の更新遅れが生じるため,マスタはゾーン情報が更新されたタイミングでnotifyをスレーブ側に送信するが,その通知を受け取ったスレーブはマスタに更新要求する。あくまでもゾーン転送の開始はスレーブであることに注意する。なお,マスタとスレーブはシリアル番号でゾーン情報のバージョンを管理しているため,スレーブはシリアル番号が変更されていればゾーン情報の更新が必要であると判断する。

DNSリフレクタ攻撃の原理を述べよ。またその対策を述べよ。

送信元IPアドレスを偽装してDNSに問い合わせを送信して,ある特定のサーバに大量の応答が返るDDoS攻撃の一種。応答のパケットサイズを大きくしたいため,TXTレコードをDNSサーバにキャッシュさせる。対策としては,外部からの問い合わせに答えるオープンリゾルバの機能を無効にすることや,問い合わせ元の正当性を検証することなどが挙げられる。また,DNSサーバをキャッシュサーバとフルリゾルバに分離し,外部からキャッシュサーバへの問い合わせを禁止する対策も効果的である。

DNSキャッシュポイズニングの対策を三つ述べよ
  • 送信元ポート番号のランダム化
  • 外部DNSサーバをコンテンツサーバとキャッシュサーバに分類し,キャッシュサーバは内部のコンテンツサーバからの応答のみをキャッシュするようにする
  • DNSSEC
C&CサーバのIPアドレスとFQDNを偽装する方法を述べよ
  • IPアドレス:特定のドメインに対するDNSレコードを短時間に変化させるFast Fluxを利用する
  • FQDN:あらゆるホスト名に対してワイルドカードで同一のIPアドレスを指定するDomain Fluxを利用する

メール

メールヘッダの形式を述べよ。

From: 差出人名 <差出人のメールアドレス>

SMTPにおけるメール送信のシーケンスを述べよ。

クライアントがサーバに対して,EHLO→MAIL→RCPT→DATAの順番でコマンドを送信する。

  • EHLO <クライアントのドメイン名>:セッション開始を要求する
  • MAIL FROM <送信元アドレス>:メールトランザクション開始を要求する
  • RCPT TO <宛先アドレス>:送信先アドレスを通知する
  • DATA:メール本文を通知する

サーバはそれぞれのコマンドに対し,2XXの成功などのステータスコードを返す。また,MAIL FROMの送信元アドレス,RCPT TOの宛先アドレスはエンベロープ情報とよばれる。エンベロープはメールヘッダおよびメール本文を包むため封筒のイメージで捉えるとよい。メールヘッダにも送信元と宛先の情報が入るが,加えて表示名も入ることに注意する。

POPの問題点を三つ述べよ
  1. バックアップが必要となる点
  2. 複数のクライアントから同じメールを読むことができない点
  3. パスワードが平文で流れる点

1.と2.はIMAPで解決できる一方で,3.はIMAPでも解決できないため,SSL/TLSなど他のプロトコルの組み合わせて利用される。

メールサーバの一般的な構成を述べよ

外部メールサーバをDMZに置き,内部メールサーバを内部ネットワークに置く。外部メールサーバはプロキシサーバとして動作させるため,SMTPを行う送信サービスのみを動作させておけばよく,内部メールサーバは送信サービスだけでなくPOP3やIMAP4を行う受信サービスを動作させておく必要がある。なお,外部メールサーバで受信サービスを動作させないのはセキュリティ上の観点からである。

OP25Bが適用されない条件を二つ答えよ
  • 固定IPからの送信
  • SMTP-AUTHで認証済みのノードからの送信
SPFを簡単に説明せよ。

SMTPのMAIL FROMコマンドで指定されるエンベロープFromとDNSサーバのTXTレコードを照合して,送信元の正当性を確認する。ただし,SPFの情報が記載されたTXTレコードを特にSPFレコードと呼ぶことがある。

QoS

QoSを実現する二つの方法を述べよ
  • 帯域制御
  • 優先制御
優先制御を実現する二つの方法を述べよ
  • IntServ:RSVPを使って帯域を予約する方式。機器の負荷が高いため一般には使用されていない。
  • DiffServ:通信の分類・優先度付け・振り分けを行う方式。QoSといえばこちら。
DiffServで重要な二つの観点を述べよ
  • どのパケットを優先するか
    • L2:VLANタグのCoS(Class of Service)値
    • L3:IPヘッダのDSCP(DiffServ Code Point)値
  • パケットの処理順
    • PQ:常に優先度付きキューに格納されたパケットを優先
    • RR:優先度付きキューと通常のキューを交互に出力
    • WRR:RRを重み付きで行う
DiffServの優先度を記述するための方法を説明せよ

L2のCoS値とL3のDSCP値がある。CoS値はイーサネットフレームにおけるVLANタグの中に含まれ,DSCP値はIPヘッダに含まれる。CoS値に基づく優先制御を行うためにはVLANを用いる必要があり,3bitの0~7の8段階で優先度を制御する。

DSCP値は以前のToSフィールドを再定義したDS(DiffServ)フィールドで定義される。ToSフィールドでは優先制御の項目が細かくフィールドで定義されていたが,DSでは一括してDSCP値に置き換わっている。DSCPは6bitで定義されているため,0~63の64段階で優先度を制御できる。ECN(Explicit Congestion Notification)フィールドは輻輳の通知に利用される。

ToSフィールドとDSフィールド
ECNの仕組みを説明せよ

行きのIPヘッダで輻輳しているかを記録し,帰りのTCPヘッダで輻輳が起きていること通知する。

アドミッション制御に関して説明せよ。

通信開始前に帯域等のリソースを要求し,確保の状況に応じて通信を制御すること

セキュリティ

クロスサイトリクエストフォージェリを説明せよ

悪意のある人が用意した罠により,利用者が予期しない処理を実行させられてしまう攻撃

IPスプーフィング攻撃の対策例を述べよ

外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄するという対策。IPスプーフィングは送信元IPアドレスを偽装する攻撃であるため,送信元IPアドレスを調べて不適切なアドレスであれば除外するといったような対策は有効になる。

リフレクタ攻撃で利用されるプロトコルの特徴を述べよ

IPアドレスの偽装が容易であるコネクションレス型のUDPが利用されやすい。例えば,NTP・Memcached・NTPなどが利用されやすい。なお,リフレクタ攻撃とは送信元IPアドレスを攻撃対象に偽装して,大量の応答パケットを送り込むことで過負荷状態に追い込むDDoS攻撃の一種である。

PCをリピータハブ経由で認証を行うスイッチに接続したときのセキュリティ上の問題を指摘せよ

認証されたポート経由で認証されていないPCの接続が許可されてしまうという問題

SYN Flood攻撃を説明せよ

最後のACKパケットを何らかの方法で相手ホストに届かないようにすることで,未完了の接続開始処理を大量に発生させる攻撃

ARPスプーフィングを説明せよ

偽のARP応答とARP要求により,接続先を自分に仕向ける攻撃のことを指す。例えば,クライアントとルータ間の接続で通信制限装置を介在させるケースを考えると,以下のARP要求とARP応答が送られる。なお,下の表にあるフィールドはARPパケットのペイロードに格納されるデータであり,ARPパケットの先頭には別途宛先MACアドレス・送信元MACアドレス・タイプ(ARPは0x0806)が存在する。

クライアントからのARP要求通信制限装置からのARP応答通信制限装置からのARP要求
送信元MACアドレスクライアントのMACアドレス通信制限装置のMACアドレス通信制限装置のMACアドレス
送信元IPアドレスクライアントのIPアドレスルータのIPアドレスクライアントのIPアドレス
宛先MACアドレスブロードキャストクライアントのMACアドレスルータのMACアドレス
宛先IPアドレスルータのIPアドレスクライアントのIPアドレスルータのIPアドレス
ARPスプーフィングの仕組み
代表的なファイアーウォールの種類を三つ述べ,それらを簡単に説明せよ
  • パケットフィルタリング方式:ネットワーク層のレベルで内外の通信を中継する
  • サーキットゲートウェイ方式:トランスポート層のレベルで内外の通信を中継する
  • アプリケーションゲートウェイ方式:アプリケーション層のレベルで内外の通信を中継する
FWの動的フィルタリングを説明せよ

戻りのパケットを設定不要で許可する仕組み

UTMとは

Unified Thread Managementの略称で,FW・IDS/IPS・SPAM対策などの機能を統合する管理手法。

冗長構成にしたFWの副系はどのように主系の故障を検知するのか

定期的に送るHA(High Availability)ケーブル経由のハートビート。なお,主系自体は監視ポートのリンクダウンや特定端末へのポーリング失敗などを通して自身や周辺機器の故障を検知する。

FWとIDS/IPSとWAFの違いを述べよ
  • FW:ヘッダ部を参照
  • IDS/IPS:データ部を参照
  • WAF:FWでもIDS/IPSでも止められない高度な攻撃を防ぐ
    • Webアプリケーション専用
    • 80番ポートなのでFWは機能せずIDS/IPSも防ぎきれない
IDSの種類と検知方法の種類を述べよ
  • IDSの種類
    • ネットワーク型IDS
    • ホスト型IDS
  • 検知方法
    • シグネチャ型
    • アノマリ型
ソーシャルエンジニアリングを説明せよ

人間の心理性を利用して個人が持つ秘密情報を入手する方法

ping監視で検知できないダウンの特徴を述べよ

ポートが複数あるデバイス。逆にいうとポートが一つのスイッチのダウンは検知することができる。

CRLを説明せよ

Certificate Revocation Listの略称で,有効期限内に失効したディジタル証明書の「シリアル番号」のリストを表す。有効期限切れになった証明書ではない点と,公開鍵自体のリストではない点に注意。

IPsecを簡単に説明せよ。

ネットワーク層で動作するプロトコルで,AH/ESP/IKEなどのプロトコルから構成される。

  • AH(Authentication Header)
    • HMACによる改ざん検知を行う。ただし,暗号化はできない。
  • ESP(Encapsulated Security Payload)
    • HMACによる改ざん検知とDES/3DES/AESによる暗号化を行う。
  • IKE(Internet Key Exchange)
    • 鍵交換を行う。

IKEは従来ISAKMP/Oakley鍵交換と呼ばれていたプロトコルであり,Diffie-Hellmanの鍵交換をベースにしたプロトコルになっている。ISAKMPはSISCOによるIKEの別称で,Internet Security Association and Key Management Protocolの略称である。

IKEのプロトコルとポート番号を述べよ。

UDP/500

IKEの二つの動作モードを説明せよ
  • メインモード:IPアドレスも認証情報として利用されるため固定IPアドレスが必要
  • アグレッシブモード:動的IPアドレスでも認証できる
    • XAUTH:IKEの認証拡張機能でRADIUSサーバと連携する
ディジタル署名の目的を三つ述べよ
  • 改ざん防止(完全性)
  • なりすまし防止(真正性)
  • 否認防止(本人が署名を否定できない)
ディジタル証明書は何を証明するものか

公開鍵

WPA2では,暗号化アルゴリズムにAESを採用した何というプロトコルを使用するか。

CCMP(Counter-mode with CBC-MAC Protocol)

WPA(WPA2)のパーソナルモードとエンタープライズモードを説明せよ
  • パーソナルモード:事前共通鍵を利用するPSK認証
  • エンタープライズモード:RADIUSサーバーを用いたユーザー認証を行うIEEE802.1X認証
鍵を生成するための乱数を何と呼ぶか

PMK(Pairwise Master Key)

SSLのハンドシェイクを説明せよ
  • Client Hello:利用可能な暗号化アルゴリズム一覧
  • Server Hello:暗号化アルゴリズムの決定
SSL-VPNの代表的な三方式を説明せよ
  • リバースプロキシ:
    • クライアントがSSL-VPN装置においてユーザ認証をして,80/443番ポートで社内のサーバと通信する。
  • ポートフォワーディング:
    • クライアントが専用モジュールをダウンロードし,SSL-VPN装置と443番ポートでトンネルを作成し,TCP/UDPの任意ポートで社内のサーバと通信する。
  • L2フォワーディング:
    • クライアントがHTTPS通信で専用ソフトをダウンロードしたうえでSSL/TLS接続のトンネルを作成し,任意のプロトコル・任意のポートで社内のサーバと通信する。名前の通り,SSL/TLS接続のトンネルによりL2レベルの通信が可能になることで,仮想的に社内と同一LANに属している状況となる。また,L2フォワーディング方式では,クライアントに仮想IPアドレスを付与することが一般的である。

IPsecがネットワーク層のトンネリング技術であるのに対し,SSL-VPNはセッション層(アプリケーション層)のトンネリング技術である。

SSLを4つのフェーズに分けて具体的なアルゴリズムと共に説明せよ
  • 認証:RSAなどの公開鍵暗号化方式によりサーバ証明書を認証する
  • 鍵交換:RSAなどの公開鍵暗号化方式により共通鍵を交換する
  • 暗号化通信:AESなどの共通鍵暗号化方式でアプリケーション層の暗号化を行う
  • 改ざん検知:SHA-256などのハッシュアルゴリズムでメッセージの改ざんを検知する

他にも,公開鍵暗号化方式・共通鍵暗号化方式・ハッシュ暗号化方式それぞれに対して,以下のようなアルゴリズムが存在する。

  • 公開鍵
    • RSA:素因数分解の困難性を利用
    • ElGamal暗号:離散対数問題を利用
    • 楕円曲線暗号(ECC):楕円曲線上の離散対数問題を利用
  • 共通鍵
    • RC4:データを1bitずつ暗号化していくストリーム暗号
    • DES:一定量のデータをまとめて暗号化するブロック暗号
    • AES:複雑性を増したブロック暗号
  • ハッシュ
    • MD5:128bit
    • SHA-1:160bit
    • SHA-256:256bit
DMARCの二つの役割を説明せよ
  • 認証に失敗したときの振る舞いを指定
  • Header FROMのドメイン名がEnvelope FROMのドメイン名と一致するか検証

後者はSPFとDKIMがEnvelope FROMしか検証できないという穴を埋めるものである。この後者の役割はアライメントとよばれているが,メーリングリストを利用している場合は,アライメントを保つようにサーバ側でHeader FROMを書き換えたり,SPFだけでなくDKIMを利用する等の対応が必要である。なお,DMARCのポリシーは送信元がDNSレコードに登録する。つまり,送信側が「受信側が検証失敗したときの振る舞い」を規定する。

種々のプロトコル

SNMPのメッセージをまとめよ
メッセージ方向概要
get-requestマネージャ→エージェント参照要求
set-requestマネージャ→エージェント設定要求
get-responseエージェント→マネージャ参照応答
trapエージェント→マネージャイベント通知
SNMPのメッセージまとめ
IPFIXとは何か簡単に説明せよ。

トラフィック分析を行うためのプロトコル。SNMPでは機器自体の状態監視を行い,サーバ側から情報提供を要求する必要があるPull型であるが,IPFIXはトラフィック分析を行い,機器側が自発的に情報提供してくれるPush型であるという違いがある。

WebSocketのハンドシェイク要求はサーバとクライアントどちらから行うか

クライアント。サーバ側からは行うことはできない。

IDPの通信遮断方法を説明せよ。

TCPであればRSTを送出し,UDPであればPort Unreachableを利用する。

ノースバウンドインタフェースとサウスバウンドインタフェースを説明せよ

SDNコントローラから見て上位(アプリケーション)側に指示を出すインタフェースがノースバウンドインタフェースであり,下位(ネットワーク)側に指示を出すインタフェースがサウスバウンドインタフェースである。

ポリシングとシェーピングを説明せよ

入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分のパケットを破棄するか優先度を下げる制御をポリシングと呼ぶ。PolicingはPolice(警察)からも推測される通り「取り締まり」という意味を持つため,トラフィックの最大速度の超過に対して破棄や優先度制御を行う。一方,パケットの送出間隔を調整することによって,規定された最大速度を超過しないようにトラフィックを平準化する制御をシェーピングと呼ぶ。ShapingはShape(形)からも推測される通り「徐々に目的を形作っていく」という意味を持つため,トラフィックを平準化させる制御を行う。

SSOの種類とその概要を述べよ
  • Cookie:サーバ上で認証後にCookieを発行してクライアントで保存
  • リバースプロキシ:全てのWebサーバへのアクセスをプロキシに集約
  • OAuth(Open Authorization):認可サーバでアクセストークンを生成および付与
  • ケルベロス認証:LAN内のケルベロスサーバで一括認証
    • KDC(Key Distribution Center):サーバとユーザに関する情報を一元管理
    • AS(Authentication Server):認証サーバ
    • TGS(Ticket Granting Server):チケットを発行するサーバ
    • TGT(Ticket Granting Ticket):チケット発行の種となるチケット(証明書)
    • ST(Service Ticket):発行されたチケット
  • SAML(Security Assertion Markup Language):認証・属性・許可情報を異なるドメイン間で共有
    • IdP(Identity Provider):認証を行うWebアプリ
    • SP(Service Provider):実際に利用するWebアプリ
    • Assertion:SAMLで利用する情報が含まれているトークン(認証/属性/許可)

ケルベロス認証はTCP/88を利用するフェーズがあるため,LANに閉じた通信で利用されことが多く,OAuthやSAMLはHTTPSだけで完結するため,Webサービスで広く使われることが多い。

TGT/STを暗号化する鍵について説明せよ。

まず前提として,TGTとSTはケルベロス認証で利用される概念であり,ケルベロス認証では共通鍵による暗号化を行う。共通鍵自体はクライアントをID/Passで認証する際に発行するが,クライアント・KDC間とKDC・SSO対象サーバ間でそれぞれ別の共通鍵が用意される。

TGTは,クライアント・KDC間の共通鍵によって暗号化される。STは,KDC・SSO対象サーバ間の共通鍵によって暗号化される。

NAS/DAS/DAFSの違いを述べよ
  • NAS:TCP/IPのコンピュータネットワークに接続するファイルサーバ
  • DAS:直接PCに接続するストレージ
  • DAFS:クラスタ環境で高速かつ低負荷なデータ転送が可能するファイル共有プロトコル
MobileIPを説明せよ

ホストが接続しているサブネットが変わっても,IPアドレスが変わらないようにする技術。従来は,ホームエージェント経由のトンネリングを用いて,外部エージェントが移動ホストにパケットを連携するという仕組みで構成されていた。しかし,外部エージェントが存在しないネットワークには移動できないことや,ホームエージェントを経由する通信の効率が悪いといった問題が存在した。さらに,移動先のネットワークで移動ホストが外部と通信することを考えたときに,移動ホストのIPアドレスである送信元IPアドレスと移動ホストが所属するネットワークのIPアドレスが異なるために,宛先ネットワークのFWのセキュリティ制限で通信が遮断されてしまう可能性も存在した。これらの問題を解決するため,Mobile IPv6では外部エージェントの機能を移動ホスト自身が担えるように実装されているだけでなく,通信経路が最適化されたり,IPv6拡張ヘッダのオプションであるホームアドレスが利用されたりしている。

シェアはこちらからお願いします!

コメント

コメントする

※ Please enter your comments in Japanese to distinguish from spam.

目次