【ネスぺ対策】プロトコル間の関係

ネットワークスペシャリスト合格に必要となる知識を一問一答形式で確認していきます。

目次

プロトコル間の関係

LCPとNCPを説明せよ

PPPの機能のうち上位層に依存しないプロトコルがLCP(Link Control Protocol)で,依存するプロトコルがNCP(Network Control Protocol)である。LCPはコネクションの確立と切断を行うだけでなく,PPP上で動作する認証プロトコルをPAP(Password Authentication Protocol)とCHAP(Challenge Handshake Authentication Protocol)のいずれかから設定する。NCPは上位層がIPのときはIPCP(IP Control Protocol)と呼ばれ,IPアドレスの設定やTCP/IPのヘッダを圧縮するかどうかを設定する。

トンネリングを説明せよ

ヘッダを付け加えてカプセル化することで,ある通信プロトコル上で異なる通信プロトコルを透過的に伝送すること。

PPTP/L2F/L2TPの関係性を説明せよ

前提として,PPPはP2P通信でしか利用できないプロトコルであるため,IP上で用いるためにはトンネリングを用いる必要がある。なお,PPPはL2のデータリンク層で動作することから,このトンネリングはL2トンネリングと呼ばれる。

L2トンネリングの代表的なプロトコルには,PPTP/L2F/L2TPがある。PPTP(Point to Point Tunneling Protocol)では,制御コネクションの確立にTCPを用い,PPPフレームのカプセル化にGREを用いる。特に,送信側のVPN機器をPAC(PPTP Access Concentrator),受信側のVPN機器をPNS(PPTP Network Server)と呼ぶ。L2Fでは,制御コネクションの確立とカプセル化の両方にUDPが利用される。L2TPは,PPTPとL2Fを混ぜたようなL2トンネリングプロトコルである。具体的には,PPTPにおける送信側/受信側に相当するPAC/PNSに似たような構造を用いると同時に,L2Fと同様にコネクションの確立にはUDPを用いる。特に,送信側のVPN機器をLAC(L2TP Access Concentrator),受信側のVPN機器をLNS(L2TP Network Server)と呼ぶ。

L2Fは現在利用されることは少なく,L2TPが主に利用されている。L2TPには暗号化機能がないため,L3トンネリングプロトコルであるIPsecを利用する。PPTPのみ,カプセル化にはGREヘッダを用いるため注意が必要である。「PPTPだからPPTPヘッダを用いる」と早とちりしてしまうことがある。

TCPとUDPを使うプロトコルをそれぞれできる限り列挙せよ
  • TCP:HTTP/SMTP/POP3/SSH/FTP/Telnet/DNSゾーン転送...など
  • UDP:DNS問合せ/SNMP/DHCP/TFTP/NTP...など

UDPを用いるプロトコルをおさえてしまい,それ以外がTCPと理解すると分かりやすい。

FCSとIP/TCP/UDPのヘッダチェックサムのバイト長・計算対象・要不要を述べよ
FCSIPTCPUDP
バイト長4byte2byte2byte2byte
対象Ethernetフレーム全体IPヘッダデータ全体データ全体
要不要必須必須必須推奨
FCSとチェックサムの比較
代表的なWANサービスとそのキーワードを述べよ
  • L2:データリンク層
    • 高域イーサネット:VLAN
  • L3:ネットワーク層
    • IP-VPN:MPLS
    • インターネットVPN:IPSec
ルータとL3スイッチの違いを述べよ

ルータは経路制御(ルーティング)をするもので,L3スイッチはフレームの転送(スイッチング)をするものである。とはいえ,両者ともルーティングとスイッチングの機能は有しているため,どちらの機能に重きを置くのかという違いに過ぎない。

MACテーブル/ARPテーブルとその更新方法について説明せよ。

MACテーブルはMACアドレスとポートの対応,ARPテーブルはIPアドレスとMACアドレスの対応を記録するテーブルである。MACテーブルに宛先MACアドレスがない場合は,すべてのポートからフレームを送信するフラッディングを行う。ARPテーブルに宛先IPアドレスがない場合は,ARP要求をブロードキャストで送信する。なお,フラッディングは「仕方なく全ポートに向けて送信する」というニュアンス,ブロードキャストは「意図的に全ポートに向けて送信する」という意味合いを含む。

ICMPとHTTPの関係について述べよ

ICMPはTCP/UDPと同じ階層のプロトコルと考えられるため,HTTPでICMPが使われるという関係になる。

SPFとDNSの逆引きの違いを述べよ
  • SPF:送信サーバのIPアドレスをDNSのSPFレコードに設定
  • 逆引き:受信サーバのIPアドレスをDNSのPTRレコードに設定
FTPを暗号化したプロコトルを二つ述べよ
  • SFTP:SSH
  • FTPS:SSL/TLS

SSHだから頭にS,TLSだから後ろにSと理解する。

TFTPとFTPの違いを二つ述べよ
  • ユーザ認証をしない
  • TCPではなくUDPを利用する
IPsecとSSL-VPNの違いを述べよ
  • IPsec:ESPヘッダを使ってレイヤ3で認証・暗号化
  • SSL-VPN:TCPのポート番号443を使ってレイヤ4で認証・暗号化
IPsecとPPTPの違いを述べよ

IPsecはL3で動作するトンネリングプロトコル。PPTPはL2で動作するトンネリングプロトコル。IPsecは送信と受信を別々のトンネルで行う。PPTPは送信と受信を同一のトンネルで行う。PPTPは脆弱性を有するためIPsecと併用されることが多いが,PPTP単体で利用する場合よりも通信速度が低下してしまう。なお,トンネルはSA(Security Association)と呼ばれることもある。

TCPがUDPと異なる部分を一言で表すとどのようになるか

再送機能があるかどうか

ポート番号が動的に変化するプロトコルの代表例を述べよ
  • FTPのデータ転送用コネクション
  • SIP
IPv6とDHCPの関係について述べよ

IPv6では,IPv4におけるDHCPと同様のプラグ&プレイ機能は,ICMPv6で規定された近隣探索で実現する。

IPv4/IPv6/TCP/UDPのヘッダ長を述べよ
  • IPv4:20byte
  • IPv6:40byte
  • TCP:20byte
  • UDP:8byte
MQTTをHTTPと対比させながら説明せよ

HTTPにおけるクライアントは,MQTTでは送信者であるPublisherと受信者であるSubscriberに分かれる。HTTPにおけるサーバは,MQTTではブローカーと呼ばれていて,PublisherとSubscriberを中継する役割を果たす。MQTTでは,Publisherがメッセージをpublishするとき,もしくはSubscriberがメッセージをsubscribeするときに,メッセージの品質を指定するQoSレベルを設定できる。MQTTヘッダは数十バイトであり,数百バイトのHTTPヘッダと比べて軽量であることから,HTTPと比べて使用電力やデータ量が少ないプロトコルとなっている。

チェックサムとFCSの違いを述べよ

チェックサムはIPとTCP/UDPのヘッダで利用される誤り検知方式で,同時にアルゴリズムのことも指す。FCSはイーサネットのヘッダで利用される誤り検知方式で,アルゴリズムはCRCを利用することが多い。

パケット/フレーム/データグラム/セグメント/メッセージの違いを述べよ
  • パケット:汎用性の高い用語
  • フレーム:データリンク層のパケット
  • データグラム:ネットワーク層以上におけるパケット単位のデータ構造
  • セグメント:ストリームベースのTCPに含まれるデータ
  • メッセージ:アプリケーションプロトコルのデータ単位
IPsec-VPN/SSL-VPN/VDIの違いを説明せよ。

まず,VPNはネットワーク仮想化を表し,VDIはデスクトップ仮想化を表す。さらに,IPsec-VPNはネットワーク層におけるVPNであり,任意のルータ間のネットワーク仮想化を行う。一方,SSL-VPNはセッション層におけるVPNであり,ブラウザ・サーバ間のネットワーク仮想化を行う。

TLS1.2と1.3の違いを説明せよ。

TLS1.3はTLS1.2と比べて下記のような違いがある。

  1. セキュリティ強度の高い暗号アルゴリズムを強制
    • 暗号化には認証付き暗号の一つであるAES-GCM(Galois/Counter Mode)を利用
    • 鍵交換にはDHE(Ephemeral Diffie-Hellman)およびECDHE(Ephemeral Elliptic curve Diffie–Hellman key exchange)を利用
    • 暗号スイートが「暗号化_ハッシュ関数」の組で表される(1.2では「鍵交換_署名」も含まれていた)
  2. セッションのネゴシエーション方式の変更
    • Session Ticketに基づくセッション再開の廃止
    • 1往復のハンドシェイクで暗号化通信可能(1.2では2往復していた)

TLS1.3において「鍵交換_署名」の情報は,Client Helloに含まれる拡張属性で指定する。

TLS1.2/TLS1.3における共通鍵の生成方法を簡単に説明せよ。

クライアントで生成した乱数・サーバで生成した乱数・クライアントで生成したプリマスタシークレット(鍵のもとになる乱数)の三つの情報から,共通鍵を生成する。TLS1.2では,クライアントで生成した乱数・サーバで生成した乱数・プリマスタシークレットという順番で,二往復のネゴシエーションを行う。TLS1.3では,クライアントで生成した乱数とプリマスタシークレット・サーバで生成した乱数という順番で一往復のネゴシエーションを行う。

シェアはこちらからお願いします!

コメント

コメントする

※ Please enter your comments in Japanese to distinguish from spam.

目次