ネットワークスペシャリスト合格に必要となる知識を一問一答形式で確認していきます。
物理層とデータリンク層
CDMAとは
Code Division Multiple Accessの略称。送信データにそれぞれが異なるビットパターンを掛け合わせることで,複数の通信を可能にする方式。
FDMとは
Frequency Division Multipleの略称。送信者にそれぞれが異なる周波数を割り当てる技術で,FDMを用いて接続を行う方式をFDMA(FDM Access)と呼ぶ。OFDMはFDMのうち直交する搬送波を利用する方式で,OFDMを用いて接続を行う方式をOFDMA(OFDM Access)と呼ぶ。
CSMA/CDとCSMA/CAの違いを述べよ
CSMA/CDは衝突検出方式で,CSMA/CAは衝突回避方式である。前者は衝突の検出が信頼できる場合に利用され,衝突が検出された場合にはランダムな時間経過後に再送を行う方式である。後者は衝突の検出が信頼しにくい場合に利用され,衝突が検出されないように全てのデータの送信前にランダムな時間を挿入する方式である。
IEEE802.3xでは何が規定されているか
全二重通信のフロー制御方式。バッファとパケット流通量を常に監視し,受信側のバッファが満杯になりそうなときに送信量を制御する。
NICチーミングとは
複数のNICに一つのIPアドレスにを割り当てること。下記のような用途がある。
- ロードバランシング:負荷分散
- リンクアグリゲーション:帯域増加
- フォールトトレランス:耐障害性向上
仮想NICとは
一台のコンピュータに接続している物理NIC数以上のネットワークインタフェースを使用できるようにする技術。
カットスルーとは
フレームの先頭6バイトにある送信先MACアドレスを読取った時点でデータの転送を開始するスイッチの方式。
VLSMを説明せよ
Variable-Length Subnet Maskの略称で可変長サブネットマスクのことを指す。
タグVLAN・ポートVLANが設定されたポートの名称をそれぞれ答えよ
- ポートVLANが設定されたポート:アクセスポート
- タグVLANが設定されたポート:トランクポート
APのブリッジモードを説明せよ
レイヤ2のみで動作させるモードのことを指す
WiMaxを説明せよ
Worldwide Interoperability for Microwave Accessの略称で,マイクロ波を使って企業や自宅へ無線接続を行う方式を指す。無線MAN(Metropolitan Area Network)に属する。
Bluetoothで採用されているネットワーク形式を何と呼ぶか
ピコネット。マスタとスレーブで構成される。
FC-SANとLANを統合する技術を何と呼ぶか
FCoE。通常,SANはLANで繋げることができない点に注意する。
SANとLANを接続するアダプタを何と呼ぶか
CNA(Converged Network Adapter)
DSRCを説明せよ。
Dedicated Short-Range Communicationの略称。5.8GHz帯を使用する近距離の無線技術であり,有料道路の料金所のETCなどで利用されている。
データリンクを列挙せよ
- イーサネット:有線LAN
- 無線通信:無線LAN
- PPP:1対1通信
- ATM:ヘッダ5byte+データ48byteの単位で処理
- POS:SDH(SONET)という光ファイバーが流れる物理層の上でディジタル信号をやり取りする
- ファイバーチャネル:高速なデータチャネルでSANを実現
- iSCSI:TCP/IP上でPCとHDDを接続
- InfinitiBand:超高速インタフェース
- IEEE1394:AV機器を結ぶ家庭向けLAN
- DOCSIS:ケーブルテレビでデータ通信を行う
- 高速PLC(Power Line Communication):電力線を利用して通信を行う
一本の光ファイバで波長が異なる複数の光信号を多重化することによって,広域伝送システムを実現する技術を何と呼ぶか
WDM(Wavelength Division Multiplexing)
リンクアグリゲーションを動的に設定するプロトコルは何か。
LACP(Link Aggregation Control Protocol)
ローミングとは
異なるAPのエリアに端末が移動しても通信を円滑に継続する,無線LANを提供する側の機能
ハンドオーバーとは
異なるAPのエリアに端末が移動しても通信を円滑に継続する,端末側の機能
WPA2で実装されたハンドオーバー時間を短縮するための機能を述べよ
- 事前認証:複数のAPエリアが被っている地点で事前に認証を済ませておく機能
- PMKキャッシュ:一度認証したPMKをキャッシュする機能
ISMバンドとは
Industrial Scientific and Medical Bandの略称で,産業・科学・医療分野で使用するために割り当てられた無線通信の周波数帯のことを指す。2.4GHz帯や5.7GHz帯の一部に該当する。
リンクパルスとは
10BASE-T特有のヘルスチェック信号。100BASE-Tでは,10BASE-Tと自動判別を行うオートネゴシーエーションまたはN-Wayと呼ばれるリンクパルスの拡張機能(FLP:fast link pulse)が備わっている。
ASICとFPGAを簡単に説明せよ
いずれも集積回路のハードウェアを表す。ASICはApplication Specific Integrated Circuitの略称で,特定用途向けの大規模集積回路のことを指す。FPGAはField Programmable Gate Arrayの略称で,カスタム可能なASICのようなものを指す。
MPOケーブルとは
Multi-Fiber Push Onの略称で,複数のファイバケーブルを集約したコネクタが両端に付いたケーブルのこと
ガードインターバルとは
直接波と反射波の到達タイミングのズレによる波形の歪みであるマルチパス干渉を防ぐために,データの最後を一定時間コピーして先頭に付与する仕組みのことを指す。IEEE802.11nでは,このコピー時間を短くするショートガードインターバルという機能が追加された。
ワンキューとは
タグVLANの規格名でIEEE802.1Qを表す
CSNAとは
Commercial National Security Algorithmの略称で,WPA3で対応したAESよりも安全な暗号化アルゴリズム。
PMFとは
Protected Management Framesの略称で,制御信号も暗号化する方式のことを指す
バンドステアリングとは
デュアルバンドに対応している端末を電波が干渉しづらい5GHz帯に誘導する機能。
ONUとNTEの違いとは
ONUはOptical Network Unitの略称で,光回線終端装置のことを指す。NTEはNetwork Termination Equipmentの略称で,NTTで言うとフレッツ網の終端装置のことを指す。具体的には,自宅から光回線を通じてインターネットに接続する場合は,まずONUを通じてフレッツ網に接続し,フレッツ網のNTEとPPPoEで接続する。NTEより先はPPPoEのトンネルを抜けてISPのネットワークと接続する。
データグラム方式とは
コネクションレス通信のことを指す。
PLCとは
Power Line Communicationsの略称で,電力線搬送通信のことを指す。
パケットキャプチャをSNPMで管理装置に送って解析するプロトコルはなにか
RMON(Remote network MONitoring)である。RMON1はデータリンク層以下,RMON2はネットワーク層以上を監視対象とする。
ローカル5Gの意味と使用周波数帯を述べよ
携帯電話事業者による5Gの全国サービスではなく,地域や産業の個別ニーズに応じて地域の企業や自治体等が自らの建物内や敷地内でスポット的に柔軟に構築できる5Gシステムのことを指す。5Gと表記するものの,4.6〜4.8GHz及び28.2~29.1GHzを使用する。
LTE回線からインターネットへのゲートウェイは何と呼ばれるか
APN(Access Point Name)
PMKとは何か
Pairwise Master Keyの略称で,無線LANのIEEE 802.1X認証後に認証サーバが生成してAPと端末に配布される暗号鍵の種のことを指す。APと端末はPMKと乱数などを合わせて共通鍵を生成する。
プリマスタシークレットはTLSにおける共通鍵の種であるため,混同しないように注意する。PMKはEAP-TLSの場合はTLSによる認証後に登場する概念である。
光ファイバーの材質は(a)で,裸ファイバーの中心部は(b),その周囲は(c)と呼ばれている
- a:石英ガラス(SiO2)
- b:コア
- c:クラッド
1次被覆の(a)を施した裸ファイバーは(b),2次被覆の(c)を施した裸ファイバーは(d)と呼ばれている
- a:シリコン(紫外線硬化樹脂)
- b:光ファイバー素線
- c:ナイロン樹脂
- d:光ファイバー心線
光ファイバーで全反射しやすくするために材質に混ぜている添加物は何か
二酸化ゲルマニウム
マルチモードファイバー(MMF)の種類を説明せよ
- SI(Step Index)型:屈折率が均一のため,受信側では信号が歪みやすい
- GI(Graded Index)型:屈折率が均一でなく中心部ほど高くなっているため,受信側では信号が歪みにくい
入射角が小さい光は進む速度が速く,入射角が大きい光は進む速度が速い。入射角とは,光ファイバーと並行の直線と光のなす角と定義される。GI型では中心ほど屈折率が高いため入射角が小さい光は進む速度が遅くなり,外側ほど屈折率が低いため入射角が大きい光は進む速度が速くなる。結果として,両者の進む速度の差が縮まり,受信側では信号が歪みにくくなる。現在のMMFではGI型が主流である。
光ファイバーで損失が起きている箇所を測定できる装置は何か
OTDR(Optical Time Domain Reflectometer)
一定時間内に通信が発生しなかったMACアドレスをテーブルから削除する仕組みは何か
エージング。IEEE 802.1Dの規格では300sが推奨されている。
キャリアセンス方式とLDCを説明せよ
いずれもLPWA(Low Power Wide Area)で用いられる通信方式,つまりIoTなどで用いられる通信方式のことを指す。従来日本では,電波の干渉を防ぐために通信前に他の端末が使用するチャネルを確認するキャリアセンス方式の実装が義務付けられていたが,この仕組みはやや複雑であるため無線機器のコストを増加させる要因の1つだった。このような背景の下,2020年の電波法の改正では,キャリアセンス方式以外に電波の発射時間を短くするLDC(Low Duty Cycle)という仕組みを用いて電波の干渉を防ぐ方式を使うことが許可された。このシンプルな仕組みの導入により,無線機器のコスト低下が可能になった。
NOTICEとは何か
National Operation Towards IoT Clean Environmentの略称で,脆弱なIoT機器を減らすための国家プロジェクトのことを指す。総務省から文書が発表されていますが,2019年から「5年間の時限措置」として実施されている。
ネットワーク層
NOCとIXとは
NOC(Network Operation Center)は,ネットワーク同士を接続する。IXは,運用者や利用方針などが異なるネットワーク同士を接続する。インターネットは,IXがNOCによって繋げられているイメージ。
APにてビーコン信号を停止する機能を何と呼ぶか
ステルス機能
IPv6でネットワーク部が何ビットかを表すのに用いられるものはなにか
プレフィックス長
FWが保持している通信セッションの情報を待機系FWにそのまま引き継ぐ機能を何と呼ぶか
ステートフルフェールオーバー機能
デフォルトルートのIPアドレスについて説明せよ
IPv4アドレスでは0.0.0.0/0,IPv6アドレスでは::/0として表される特殊なアドレス
ルータのパッシブインターフェースとは
ルーティングプロトコルのパケットを送信しないようにしているインタフェースで,例えばHelloパケットを送出しないという特徴がある。
動的フィルタリングとは
過去の通過した行き(リクエスト)のパケットに対応する戻り(レスポンス)のパケットを通過させる仕組み
ファストリルートとは
MPLSやOSPFにおいて,リンクやノードに障害が発生した場合に備えて予め予備のルートを計算しておき,障害発生時の経路の切替え時間を抑える仕組み。ファストパスのイメージで理解する。
プラグ&プレイ機能とは
物理的に機器を接続するだけで,特別な設定をしなくても自動的にその機器が利用可能になる機能。
SYN/ACKに対してポートが閉じていることを通知できるパケットとは
RST/ACK
APが定期的に送信するものはなにか
ビーコン信号
分断されたOSPFエリアを結合するための技術を説明せよ
仮想リンクによる接続
RFC3031で標準化されているプロトコルはなにか
MPLS
タグVLANは何で標準化されているか
IEEE802.1Q
一般的なルータは何を基にしたコストをメトリックにするか
物理ポートの帯域幅(通信速度)
OSPFのもとになったプロトコルはなにか
OSIのIS-IS(Intermediate System to Intermediate System)
MLDとは
Multicast Listener Discoveryの略称で,IPv6バージョンのIGMPである。
デフォルトゲートウェイの障害を回避するために用いられるプロトコルはなにか
VRRP(Virtual Router Redundancy Protocol)
CGNとはなにか
Carrier Grade NAT(キャリアグレードNAT)の略称で,一人のユーザが使用できるポート番号を制限することで一つのグローバルIPアドレスを複数のユーザで共用する技術。通信キャリア級の規模で使うNAT。NAPTでは一つのグローバルIPアドレスを複数の端末で共有するのに対し,CGNでは複数のグローバルIPアドレスを複数の端末で共有する。そのため,CGNではクライアントが一つのグローバルアドレスを使い続ける仕組みが必要になる。
CGNを実現する方式として,NAT444がある。444はグローバルIPv4・シェアードIPv4・プライベートIPv4の4つを表している。グローバルIP→グローバルIPのNATとグローバルIP→プライベートIPのNATという二段階のNATを噛ませるイメージ。一段階でない理由は,ユーザが勝手にプライベートIPを変更した際に重複させないため。
IPv4とIPv6のヘッダサイズを述べよ。
- IPv4:20byte
- IPv6:40byte
VRFとはなにか
Virtual Routing and Forwardingの略称で,1台のルータに独立した複数のルーティングテーブルを持たせる仮想化技術のことを指す。1台のスイッチを仮想的に分割するVLANのルータバージョンと理解する。VLANの識別子はVLAN IDを利用するが,VRFではRD(Route Distinguisher)を利用する。
SLAACとはなにか
StateLess Address Auto Configurationの略称で,IPv6で定められているIPv6アドレスを自動設定する機能。クライアントはルータにRS(Router Solicitation)と呼ばれるマルチキャストのICMPv6パケットを送り,ルータはRA(Router Advertisement)と呼ばれるユニキャストのICMPv6パケットを送り返す。SLAACでは,最初のマルチキャスト通信以外はすべてリンクローカル通信が利用される。SLAACでDNSサーバの情報はRDNSS(Recursive DNS Server)オプションを利用するか,DHCPv6と併用する。
DHCPv6はSLAACの代わりに使えるか
使える。IPの配布だけでなく,DNSサーバの情報も配布することが可能。
DHCPv6のステートフルモードとステートレスモードを説明せよ
- ステートフル:DHCPv6サーバがIPv6アドレスに加え,DNSサーバ情報等のオプションも配布
- ステートレス:SLAACがIPv6アドレスを配布し,DHCPv6サーバがDNSサーバ情報等のオプションも配布
フルコーンNATとはなにか
異なる宛先でも送信元が同じであれば一定時間同一のIPアドレスとポート番号を割り当て続ける機能であるEIM(Endpoint Independent Mapping)と,EIMで割り当てられたIPアドレスとポート番号に対するインバウンドを一定時間許可する機能であるEIF(Endpoint Independent Filter)を有効にしているNATのこと。
ヘアピンNATとはなにか
同じCGNAT装置の配下にいる加入者端末間で,グローバルIPv4アドレスを用いた折り返し通信を可能にする機能を有効にしているNATのこと。
UPnPとNAT超えの関連について説明せよ
Universal Plug and Playの略称で,機器をネットワークに接続すると複雑な設定作業を自動で行ってくれる機能のことを指すが,その設定作業の中にポートフォワーディングが含まれている。特定のIPアドレスとポート番号に対する外部からの通信を,特定の内部端末に転送するポートフォワーディングは,NAT超えを実現するための一手段であるという関係。
STUNとはなにか
Session Traversal utilities for NATsの略称で,UDPの初回アクセス時にグローバルIPとポート番号が許可される性質を利用するNAT超えの一手段。UDPホールパンチングとも呼ばれる。
TURNとはなにか
Traversal Using Relay around NATの略称で,TRUNサーバを介するNAT超えの一手段。
DADとはなにか
Duplicate Address Detectionの略称で,ICMPv6で行われる重複アドレス検知機能のことを指す。
NS/NAとRS/RAを説明せよ
NS/NAはICMPv6で利用されるパケットで,NSはNeighbor Solicitation,NAはNeighbor Advertisementの略称である。NSはリンクローカルアドレスを宛先IPv6の下位24bitに付与したマルチキャストパケットであり,NAはNSに対する応答パケットである。NSで送信元IPv6アドレスは確認対象のリンクローカルアドレスは設定せず,未指定アドレスを指定することに注意する。
RS/RAはSLAACやDHCPv6のステートレスモードで利用されるパケットで,RSはRouer Solicitation,RAはRouter Advertisementの略称である。各端末はネットワーク情報を取得するためにRSでリクエストしてルータからRAを受け取るが,ルータはその後も定期的にRAを送り続ける。
IPv6におけるアドレス解決方法を説明せよ
ARPではなくICMPv6のNS/NAを利用する
1000BASE-Tと1000BASE-TXの大きな違いを説明せよ
1000BASE-Tは4ペアそれぞれが送受信兼用で,1000BASE-TXは2ペアが送信専用,もう2ペアが受信専用となっている。Xがつくので「クロス」を想像して送受信兼用と誤解しやすいが,送受信兼用の1000BASE-TではIのような文字が描かれてしまい,送信専用と受信専用の1000BASE-TXではXという文字が描かれると理解しておきたい。
端末はRADIUSクライアントであるか
RADUISクライアントではない。端末はサプリカント,アクセスポイントはオーセンティケータ。
「IPv6ではIPsecの実装が必須になった」は正しいか
正しい
「IPv6ではToSが定義されている」は正しいか
正しくない。代わりにトラフィッククラスという8bitのフィールドが定義されている。
アクセスポイントが認証局と連携してパスワードをセッションごとに生成する仕組みはなにか
TKIP(Temporal Key Integrity Protocol)
OSPFの各セグメントで経路情報を交換するルータは何か
- DR(Designated Router: 代表ルータ)
- BDR(Backup DR: バックアップ代表ルータ)
OSPFには優先度はあるか
ある。プライオリティ値の大きいルータから順にDR,BDRになる。ゆえに,特定のルータをDRとBDRに選びたくなければ,それらのプライオリティ値を0にすればよい。
RIPとRIP2/OSPFでルーティング情報の更新に使うフレームの種類は何か
- RIP:ブロードキャスト
- RIP2/OSPF:マルチキャスト
OSPFで隣接ルータが交換する情報は何か
LSA(Link State Advertisement)である。LSAによりLSDB(Link State DB)が構築される。BPDUと答えたくなるが,BPDUはSTPの概念であるため不適切。
データリンク層で隣接機器に自身の情報を通知するプロトコルは何か
LLDP
BGPで同じコストの経路が複数ある場合の負荷分散方式を何と呼ぶか
BGPマルチパス
ルータでVRRPを機能させるための最低限の設定を述べよ
- 実IPアドレス
- 仮想IPアドレス
- VRRPグループ
- 優先度
仮想MACアドレスは自動的に付与されるため不要である点に注意する。
VRRPではどのようにマスタルータのダウンを検知するか
VRRP広告が届かなくなった場合にダウンしたと判断する。キープアライブではない点に注意する。
DSUとONUの違いを説明せよ
- DSU:Digital Service Unitの略称でメタル回線の終端装置
- ONU:Optical Network Unitの略称で光回線の終端装置
メタル回線は光回線以前の回線と理解すればよい。終端装置より先はLANケーブルが繋がっている。
CEルータとPEルータの違いを説明せよ
- CEルータ:利用者拠点と事業者IP-VPN網の接続点で拠点側のルータ
- PEルータ:利用者拠点と事業者IP-VPN網の接続点で事業者側のルータ
CEはCustomer Edge,PEはProvider Edgeであるため覚えやすい。
IPSecにおける鍵交換プロトコルは何で,どのようなモードがあるか
IKEと呼ばれる。接続相手のVPN装置と自端末の双方ともが固定IPの場合はメインモード,接続相手のVPN装置が動的IPの場合は接続先のIPアドレスを認証情報として利用しないアグレッシブモードが利用される。もちろんメインモードの方がセキュリティは強固であるが,アグレッシブモードはコスト面で優れている。
SAのライフタイムが終了すると何が起きるか
SAを再作成するReKey
NHRPとは
Next Hop Resolution Protocolの略称で,トンネル確立時に対向側のIPアドレスを動的に取得できるプロトコル。利用されるのはIPsecトンネルに限らない。
BGPピアとは
BGPルーター同士が経路情報をやりとりするために確立するTCPコネクションのこと。接続先ルータのことをピアと呼ぶと勘違いしていたため注意。
PONとは
Passive Optical Networkの略称で,1本の光ファイバーを複数のユーザーで共用する仕組み。上りはONUがOLTに問い合わせて送信可能タイミングと割り当て時間の許可を得てTDM(時分割多重)を行い,下りはOLTが各ONUに対して一意の識別子(LLID)を割り当ててデータの先頭に付与して送信する。下に関しては1Gbpsと10Gbpsを共用するために波長分割多重方式(Wavelength Division Multiplexing:WDM)を利用することもある。なお,OLTはOptical Line Terminalの略称で,光加入者線終端装置のことを指す。
トランスポート層
MACとは
Message Authentication Codeの略称で,メッセージを認証するための短い情報のことを指す。例えば,SSH2においてデータの一貫性を担保するために利用される。
ウィンドウプローブとは
受信側のウィンドウサイズが0となった場合(=受信側のバッファが満杯の場合)に,受信側からのウィンドウ更新要求(=バッファ回復通知)が途中で喪失しても通信を再開できるように送信側から定期的に送られる,最新のウィンドウサイズを取得する通信。
ピギーバックとは
確認応答と実際のレスポンスを1つのパケットにまとめて送ること。受信側が確認応答をすぐに行う前にレスポンスを構築する必要があるため,遅延確認応答と組み合わせて利用される。
TCPヘッダ/UDPヘッダ/RTPヘッダの大きさを述べよ
- TCPヘッダ:20byte
- UDPヘッダ:8byte
- RTPヘッダ:12byte
TCPヘッダ長=UDPヘッダ長+RTPヘッダ長と覚える。
SACKとはなにか
Selective Acknowledgementの略称で,TCPセグメントが消失したときに全てを再送するのではなく,消失したパケットのみを再送させるために「どこからどこまでのTCPセグメントを受け取ったか」を記録できる機能のことを指す。
TCP Fast Openとはなにか
初回のTCPハンドシェイクは通常通りに行い,2回目以降のハンドシェイク時にSYNとSYN/ACKにHTTPアプリケーションデータを載せる方法。
Fast Retransmitとはなにか
重複ACKを3回委譲受信すると,再送タイムアウトを待たずに再送する機能
Early Retransmitとはなにか
3回以上の重複ACKが生まれにくいTCP状態において,重複ACKの閾値を未処理のTCPセグメント数-1
に設定する機能。送信データの最後の方などに適用される。
Tail Loss Probeとはなにか
Early Retransmitと同様に,3回以上の重複ACKが生まれにくいTCP状態おいて,再送タイムアウトよりも小さい値になることが多いPTO(Probe Timeout)を保持しておき,PTOに達したタイミングで再送を試みる機能。
アプリケーション層
R値とは
主観品質評価と客観品質評価の両方を用いることで,総合的に音声品質を評価した指標のことを指す。具体的には,ITU-T勧告G.107で規定されたE-Modelの出力として得られる。R値は,パケット到着順の乱れやそれに伴い発生する音声や映像の乱れを表すジッタやパケット損失率を元に算出される。主観評価のMOS値(Mean Opinion Score)と比べて理解しておきたい。
アーランとは
回線を100%利用したときの,単位時間当たりのトラフィック量。時間の単位は任意。
ハミング符号とは
送信される情報ビットに対して検査ビットを付加することで,受信側で2ビットの誤り検出と1ビットの誤り訂正を行う符号。
ハフマン符号とは
一意に復号可能な符号のうち,平均符号長が他より小さいコンパクト符号。圧縮率が高いアルゴリズムであり,zip・jpeg・mp3などに応用されている。
G3ファクシミリとは
一般的なアナログ電話回線に対応したファクシミリの国際規格。
前方誤り訂正と後方誤り訂正の違いを説明せよ
送信側と受信側のどちらで誤りを訂正するためのアクションを起こすのかが異なる。前方誤り訂正はFEC(forward error correction)とも呼ばれ,再送を行わずに受信側でビット誤りを回復する手法を指す。FECはリアルタイム性を重視する通信で利用され,ハミング符号が代表的な符号化方式である。後方誤り訂正はBEC(backward error correction)とも呼ばれ,受信側が誤りを検知して送信側に対して自動再送要求(Automatic Repeat reQuest)を送る符号化方式である。BECはあくまでも,誤りを検知して送信側が再度受信側にデータを再送するだけの仕組みであるため,FECと比べて伝送遅延が発生する。
方式 | 検知 | 訂正 |
---|---|---|
前方誤り訂正(FEC) | 受信側 | 受信側 |
後方誤り訂正(BEC) | 受信側 | ×(再送要求) |
ルートキットとは
OSなどに不正に組み込んだツールを隠蔽するソフトウェア群
システムをプラットフォームに依存する部分と依存しない部分とに分けてモデル化する技法とは
MDA(Model Driven Architecture)という。なお,プラットフォームに依存する部分はプログラム,依存しない部分はビジネス要件のことを指している。語弊を恐れずに言うならば,MDAはビジネス要件や仕様を自動でコードに落とし込むアーキテクチャのことを指していて,GUIで直感的にコンポーネントを配置してプロダクトを構築する例などが挙げられる。
APNを説明せよ
Access Point Nameの略称で,LTE回線からインターネットへのゲートウェイを表す。
B2BUAを説明せよ
Back to Back User Agentの略称で,異なるSIPネットワーク間の境界に配置されて両者の仲介役を担う。SIPはRFCで標準化されているが,いまだにメーカー間の実装に差異があるため,B2BUAがその差分を吸収している。
RTOとRPOを説明せよ
- RTO:Recovery Time Objectiveの略称で,故障してから復旧までの時間
- RPO:Recovery Point Objectiveの略称で,障害からどの時点までデータを復旧できるかを表す指標
Contingencyプランを説明せよ
Contingencyは不足の事態を指すため,予期せぬ事態に備えて予め定めておく計画のことを指す
SYSLOGとは
IPネットワーク上でログメッセージを転送するプロトコル。UDP上で動作する。
SDNの二つのプレーンとは
- データプレーン:データ転送
- コントロールプレーン:制御
一秒あたりのデータ転送量を何と呼ぶか
スループット
SNMPのポート番号を述べよ
- UDP/161:エージェント
- UDP/162:マネージャ
SNMPにおけるグループ名を何と呼ぶか
コミュニティ名
REST APIを使うプロトコルは何か
HTTP
SIPサーバと似ているはたらきをするサーバはなにか
DNSサーバ
SMTPやPOPなどでポート番号を従来のままで利用できるTLSを何と呼ぶか
STARTTLS
MDMとは
Mobile Device Managementの略称で,自組織の従業員のデバイス情報を一元管理する仕組み
SANの種類を二つ述べよ
- FC-SAN:ファイバチャネルネットワーク
- IP-SAN:TCP/IPネットワーク
物理サーバ上に仮想化機構を動作させるためのOSが必要ない方式を何と呼ぶか
ハイパーバイザ
画面転送方針クライアントの二つの方式を述べよ
- サーバベース方式:サーバ上の環境を各ユーザで共有
- VDI方式:サーバ上で独立した仮想環境を各ユーザに割り当てる
受信メールサーバが送信元メールサーバのドメインを得ることができるコマンドは何か
MAIL FROM
IPFIXを説明せよ
Internet Protocol Flow Information Exportの略称。ネットワークの統計的トラフィック情報を分析するためのプロトコルである。
国際化ドメイン(Internationalized Domain Name)では,ドメイン名を7bit ASCIIだけで構成される文字列に変換するが,その一定の規則を何と呼ぶか。
Punycode
VDIサーバがクライアントに画面転送するプロトコルは何か。
RDP(Remote Desktop Protocol)やPCoIP(PC over IP)などが挙げられる。RDPはデスクトップ画面自体をデータとして送信し,PCoIPではディスプレイのインタフェースを通した出力(キーボードやマウスのイベント等も含まれる)がデータとして送られる。
MTAとは
SMTPサーバで動作するメール転送エージェント
DKIMとDMARCを説明せよ
- DKIM(DomainKeys Identified Mail)
- 送信元メールサーバで署名に利用する公開鍵をDNSサーバに登録し,受信側で電子署名を認証する仕組み
- DMARC(Domain-based Massage Authentication, Reporting and Conformance)
- DKIMやSPFにおいて認証が失敗したときのメールの取り扱いポリシーをDNSサーバで公開する仕組み
オープンリレーとは
他社から他社へのメールを転送している無駄な状態。
FWでダウンタイムを最小化する機能は何か
ステートフルフェールオーバー。Active-Stanby間で設定情報やセッションを同期しておく。
共通鍵暗号の二つの方式を述べよ
- ブロック暗号(一定の塊単位で暗号化):RDS/AES等
- ストリーム暗号(1byte単位で暗号化):RC4等
IoTの代表的なプロトコルを二つ答えよ
- CoAP:Constrained Application Protocolの略称で,性能が限られた機器でも効率的に通信を可能にする
- MQTT:Message Queuing Telemetry Transportの略称で,メッセージングのための軽量プロトコル
HoLブロッキングとはなにか
HoLはHead of Lockの略称。サーバはリクエストを受け取った順番でレスポンスを返さないといけないというHTTP1.1の仕様により,最初の方のリクエストの処理でサーバが詰まっている場合に,サーバのリソースを無駄に消費してしまう現象のことを指す。クライアント側は構わずリクエストを送ることができるが,サーバ側がボトルネックになるイメージ。
ALPN拡張とはなにか
Application-Layer Protocol Negotiationの略称で,TLSハンドシェイク時にTCPの上位層のプロトコルをネゴシエーションするプロトコル。例えば,HTTP・FTP・IMAPなどが扱われる。Client HelloやServer Helloの拡張フィールドのような扱いで,上位層で使えるプロトコル一覧を送る。
ADCとはなにか
Application Delivery Controllerの略称で,従来ネットワーク層やトランスポート層がメインだった負荷分散装置がアプリケーション層まで染み出した結果命名された呼称である。アプリケーションの同じセッションを同じサーバに振り分け続けるパーシステンスや,リクエストURIやブラウザの種類などアプリケーションデータに含まれる情報に基づいた負荷分散を実現するアプリケーションスイッチング,HTTP/2を終端させてサーバとはHTTP1.1でやりとりするHTTP/2オフロードといったような機能を持つ。
ALGプロトコルの意味とその具体例を述べよ
Application Level Gatewayプロトコルの略称で,通信途中でポート番号を切り替えるプロトコルのことを指す。例えば,以下のプロトコルがALGプロトコルに該当する。
- FTP
- TFTP
- SIP
- RTSP
- PPTP
隠れ端末問題とさらし端末問題を説明せよ
互いに通信できない状況に置かれた端末が,同じAPに向けて同時に信号を送信して衝突してしまう問題を隠れ端末問題という。隠れ端末問題は,データを送る前にRTS(Request To Send)をAPに送り,通信可能な状態であればAPはCTS(Clear To Send)を端末に送ることで解決することができる。逆に,互いに通信できる状況に置かれた端末が,異なるAPの同一周波数を利用して過剰に通信を抑制してしまう問題をさらし端末問題という。さらし端末問題はCTSを意図しない端末が受信してしまうことが原因であるため,APごとに利用する周波数帯(チャネル)を変更することで解決することができる。
FaaSとは
Function as a Serviceの略称で,プログラムの実行環境であるサーバの管理を意識せずに使用することができる実行環境のことを指す。
ディジタル証明書の規格は何で規定されているか
ITU-T X.509。誤魔(50)化すことを防ぐ(9)と覚える。
FTAとは
Fault Tree Analysisの略称で,故障木解析のことを指す。樹形図において上のノードと下のノードの関係を発生確率とゲートで表現する方法。
スミッシングとは
ショートメッセージを利用したフィッシング詐欺。SMSとphishingを合わせた造語。
弱衝突耐性・強衝突耐性とは
- 弱衝突耐性:あるメッセージm1と同一のハッシュ値をもつメッセージm2を見つけることが困難であること
- 強衝突耐性:同一のハッシュ値をもつメッセージm1とm2を見つけることが事実上不可能であること
誕生日が自分と同じ人が見つかる確率が0.5となる人数は自分を含めて254人であるのに対し,日付は否定せずに誕生日が同じ人が見つかる確率が0.5となる人数は23人となる。前者は弱衝突耐性を突破しようとする試行であり,後者は強衝突耐性を突破しようとする試行である。
強衝突体制を突破しようとする方が簡単であるのは「強い」という言葉のイメージを矛盾するが,定義より「弱衝突耐性を有していれば強衝突耐性も有している」ことが成り立つため,衝突に対する耐性の「保証」を表すベン図を考えると,弱衝突耐性が強衝突耐性を包含する。つまり,強衝突耐性では保証できないが,弱衝突耐性では保証できる領域(=自分以外の誕生日)が存在する。一般に,ベン図が小さいほど「強い」と表現するため,弱衝突耐性と強衝突耐性はこのように命名されていると考えられる。
これらよりも「弱い」衝突耐性として「現像耐性」がある。これは,あるハッシュ値をもつメッセージを見つけることが困難であることを意味している。また,弱衝突耐性は第二現像計算耐性とも呼ばれ,強衝突耐性は単に衝突耐性とも呼ばれる。
- 現像耐性:ハッシュ値を固定
- 第二現像耐性:片方のメッセージを固定(逆関数は求めなくてよい)
- 衝突耐性:二つのメッセージは任意
つまり,現像耐性を破るのが一番困難で,次に第二現像攻撃を破るのが困難で,衝突耐性を破るのが一番容易であるという関係になる。
現像攻撃・第二現像攻撃・衝突攻撃とは
- 現像攻撃:衝突耐性を破ろうとする攻撃。逆関数解読のイメージ。
- 第二現像攻撃:弱衝突耐性を破ろうとする攻撃。自分と同じ誕生日の人を見つける試行のイメージ。
- 衝突攻撃:強衝突耐性を破ろうとする攻撃。誰でもいいから同じ誕生日のペアを見つける試行のイメージ。
IDベース暗号とは
平文とIDだけで暗号化を行うアルゴリズム。例えば,アリスからボブにメッセージを送信する際には,ボブのメールアドレスを用いてメッセージを暗号化する。これは「ボブのメールアドレスは正しい」という信用に基づく暗号方式であり,信用できるIDから公開鍵を生成する仕組みと理解すればよい。ただし,復号のためには公開鍵に紐づく秘密鍵を生成する必要があるが,パブリックに行ってしまうと秘密鍵が誰もが秘密鍵を生成することができるようになってしまうため,秘密鍵生成局と呼ばれる機関が秘密鍵を生成する仕組みになっている。つまり,秘密鍵生成局は秘密鍵をセキュアに配送する必要があるため,結局ボトルネックが秘密鍵生成局に移動しただけという見方もできる。
証明書の定義を述べよ
デジタル署名が付けられた公開鍵のこと
送信元IPを偽装してDNSの応答を送りつける攻撃を何と呼ぶか
DNSリフレクタ攻撃,もしくはDNSアンプ
送信元IPを偽装してICMPの応答を送りつける攻撃を何と呼ぶか
スマーフ(smurf)攻撃
Webサーバはどのようにcookieを作成するか
Set-Cookieヘッダフィールドにセッション情報を書き込む。set-cookieではなくSet-Cookieであるため注意する。
SPFはEnvelope-FROMとHeader-FROMのどちらを利用するか
Envelope-FROMを利用する。送信元IPはHeaderを利用しそうだが,メールの場合は
- Envelope-FROM:MAIL FROM/RCPT TO
- Header-FROM:DATE/FROM/TO/Subject
- メール本文
という構造になっている。つまり,メール本文に対するHeaderがHeader-FROMで,Header-FROMとメール本文を包んでいる封筒がEnvelope-FROMである。したがって,SPFでは封筒に書かれている送信元IPを利用する。
アナログの音声をデジタル化する機器は何か
VoIPゲートウェイ
アナログ電話機とIP電話機のコネクタについて説明せよ
- アナログ電話機:RJ11コネクタからアナログ電話線に接続する
- IP電話機:RJ45コネクタからLANケーブルに接続する
呼制御を行うのはSIPだが,SIPの制御を行う機器は何か
IP-PBXやSIPサーバ
SIPとRTPの通信経路の違いは何か
SIPはIP-PBXやSIPサーバを経由し,RTPはUA同士が直接通信する
SIPにおけるハンドシェイクの流れを説明せよ
- INVITE
- 200 OK
- ACK
なお,終了は
- BYE
- 200 OK
となる。RSTでないため注意する。
VoIPで利用される音声符号化方式を二つ挙げ,それらを説明せよ
- PCM:音声を信号レベルのデジタルデータで再現。64kbps。
- CS-ACELP:音声を予め用意しておいたデジタルパターンで再現。8kbps。
CS-ACELPはコードブックからパターンを比較するリードタイムがかかるため,ビットデートはPCMよりも大幅に遅くなる。高速な回線であればPCM,低速な回線であればCS-ACELPという使い分けを行う。なお,コードブックのパターンを利用するアイディア自体はACELPであり,CSは共役構造のことを指している。共役構造を利用することにより,メモリ節約や計算効率化を実現している。
SNMPのデフォルトグループは何か
public
SNMPインフォームを説明せよ
SNMPエージェントがSNMPマネージャに対してTrapを送信してもSNMPマネージャから確認応答が届かない場合に,trapを再送する機能。
h2cとは
HTTP/2 is run over cleartext TCPの略称で,暗号化されていないHTTP/2のこと
BIMIとは
Brand Indicators for Message Identificationの略称で,メールの認証済みドメインにロゴを表示させる仕組みのこと。DMARCと同様に送信側がBIMIレコードをDNSに登録する。なお,送信側が自社ドメインとブランドを紐づけるためには第三者機関が発行する認証マーク証明書(VNC)が必要になる。
FIDOとは
Fast IDentity Onlineの略称で,パスワードレス認証を実現するための仕組みのことを指す。主な方式としては端末側で生体認証と公開鍵暗号方式を組み合わせるものが挙げられ,
- 安全性を高めようとすると利便性が低下する
- パスワードを端末に保存・通信・サーバに保存するため漏洩のリスクが高い
というパスワード認証の課題を解決して代替すると言われている。特に後者が大切で,FIFOではシークレット情報を端末に保存せず,認証器に保存する。ただし,外部認証器を使わずにスマホアプリを利用する場合は,結果としてシークレット情報を端末に保存することになる。
FIDO2規格では,
- WebAuthn:端末(Webアプリケーション)とIDP(FIDOサービス)間のプロトコル
- CTAP:端末と外部認証器間のプロトコル
が定められている。CTAPはClient To Authenticator Protocolの略称。FIDO2における認証は大きく登録フェーズと認証フェーズに分けられる。認証フェーズでは,IDPはチャレンジコードを生成し,認証器はUIDと鍵ペア(秘密鍵・公開鍵)を生成する。IDPはチャレンジコードを端末経由で認証器に送り,認証器は送られてきたチャレンジコード・UID・公開鍵を認証器メーカの秘密鍵で署名する。この情報はアステーションと呼ばれ,端末経由でIDPに送られる。IDPはアステーションを認証器メーカの公開鍵で検証し,間違いがなければUIDと公開鍵のペアを保存する。認証フェーズでは,IDPはチャレンジコードを生成して端末経由で認証器に送り,認証器は保存してある秘密鍵でチャレンジコードを署名して端末に返し,端末はその情報をIDP送る。IPDは保存してある公開鍵でチャレンジコードを復号して認証を行う。
「FIDO=生体認証」か?
違う。FIDOは「パスワードレス認証を実現するための枠組み」のことを指し,生体認証はその具体的な手段に過ぎない。生体認証以外にもハードウェア認証などが利用できる。また,FIDOは認証の枠組みであるため,生体認証が実現する端末側のローカル認証だけでなく,認証サーバ側のオンライン認証も含まれている。ただし,ユーザ目線ではFIDO=生体認証と見えるため,サービス提供者側はあえてFIDOを生体認証と説明することも多い。
UAFとは
Universal Authentication Frameworkの略称で,ネイティブアプリを想定したFIDOの第一世代。パスワードレス認証の規格である。
U2Fとは
Universal Second Factorの略称で,ネイティブアプリを想定したFIDOの第一世代。二段階認証の規格である。
IDaaSを一言で説明せよ
クラウド版IDP(クラウド上でIDを管理するサービス)
SCIMとは
System for Cross-domain Identity Managementの略称で,IDaaSでプロビジョニングを行うためのプロトコル。IDPとサービス間のHTTP通信を規定しており,REST形式のAPIを通じてJSONでやりとりを行う。
OAuthを一言で説明せよ
認可サーバーがクライアント(サービス提供者)にアクセストークンを渡すためのプロトコル
OpenID Connectとは
認可の仕組みであるOAuthを認証まで拡張したプロトコル
EDRとは
Endpoint Detection and Responseの略称で,端末でセキュリティの脅威を検出するソフトウェアのことを指す
コメント