ネスぺの過去問を解いていて、間違えた問題や分からなかった問題を整理することで、知識を付ける&次は必ず解けるようにするぞ!というシリーズです。
今週もひきつづき、重点対策に載っている問題を解きました。過去に1回解いたことのある問題が多かったのにこんなに間違えてて大丈夫か?
2014(H26) 秋 午後Ⅰ 問3
問題はこちらから(IPA 平成26年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
ネットワークのセキュリティ対策に関する問題。なんかめっちゃ間違えた。ほんとに支援士うかったのか?
設問1
穴埋め問題。
ア) 複数のコンピュータから攻撃されるDoS攻撃は、DDos攻撃または分散型DoS攻撃です。
イ) SYNflood攻撃。綴り間違えないでください。
エ) 送信元IPアドレスを詐称することで、DNS問い合わせ結果を標的サーバに送信する攻撃の名称は、DNSリフレクタ攻撃。DNSで攻撃ってでてきたら反射でキャッシュポイズニングって答えるのほんとやめて欲しい(?)
設問2 (1)
穴埋め問題。当該箇所は「自らも攻撃の(a)とならないようにすることが重要だ。」
攻撃に加担するサーバは、一般的に踏み台サーバと呼ばれます。
というわけで解答は「踏み台」。
言葉が出てこなかったのでしっかり叩き込みます……。
設問2 (2)
大きなサイズのICMPエコー応答を使った攻撃を防ぐには、FWにどんな機能があればいいか答える問題。これはさっぱり分かりませんでした。
規格外や悪意のあるpingを送り付けることによる攻撃を、「ping of death」というそうです。初めて知りました。(ping of death(Wikipedia))
フレームには、送信できる最大サイズ(MTU)があり、例えばイーサネットだと1500です。これを越える大きさのIPパケットは分割されます。つまり大きなサイズのICMPエコー応答が送り付けられてきた場合、そのパケットは分割されているはずです。
よって解答は「断片化されたエコーパケットを許可しない機能」でした。
今回の話とは異なりますが、IPパケットの最大値65536を超えるパケットを送信することでシステムをクラッシュさせるケースもping of deathにはあるそうです。
設問4 (2)
「対処結果の報告後、将来発生するインシデントへの対応として、セキュリティ担当者が実施すべき事項」を答える問題です。
インシデント管理のうち、インシデント収束後の対応として、以下のような事柄が挙げられています。
・インシデント対応結果の評価、分析
・インシデント再発防止策の実施
・インシデント対応体制/手順の見直し
など
「対処結果の報告後」に行うことを答えるので、対処結果の評価や対処方法を見直すことが必要だと思われます。
解答は「対処結果の評価を行い、インシデントの対処方法を見直す」です。
2016(H28) 秋 午後Ⅰ 問1
問題はこちらから(IPA 平成28年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
電子メールシステムに関する問題。昨年の12月13日以来2回目。うっかりミスばっかりで、前回よりも間違えた……落ち着きましょう。
設問1 (エ)
ど忘れしてでてきませんでした。
SMTPの認証といえば、「SMTP-AUTH」ですよね。
設問2 (2)
あるルータがどのルータか答える問題。
B社からMSV3へのメール転送がOP25Bで禁止されているというのは、B社から外へ送信されるメールを拒否しているということです。B社のメールサーバはMSV2なので、そこから外へのメール送信を拒否するルータはルータ4です。
よって解答は「ルータ4」です。
落ち着いて考えましょう。
設問2 (3) カ
OP25Bのためのアクセスリストを埋める問題。
ルータ4でOP25Bを設定しているリストの穴埋めです。B社のIPアドレス(正確にはQ社からB社に割り当てられたIPアドレス)から送信されるメールが禁止されるのです。B社に割り当てられているサービスネットワークのIPアドレスはa.b.0.0/20。
よって解答は「a.b.0.0/20」です。
B社から(正確にはQ社の動的IPアドレスから)送信されるメールを拒否するので、IPアドレスの範囲は絞られているのでした。
設問2 (5)
2種類の通信のあて先ポートを答える問題。
2種類の通信に該当するものを本文中から抜き出すと、
・「MSV3は、SMTPプロトコル上でユーザ認証を行う方式であるSMTP-AUTHを導入し、TCPの587番ポートで接続を受け付ける。」
・「受信については、POP3をTLSで暗号化して用いる。」
よって、ポート番号は「587」と、POP3のポート番号である「110」です。
なんで25って答えたんだ
2015(H27) 秋 午後Ⅰ 問1
問題はこちらから(IPA 平成27年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
シングルサインオンの導入に関する問題。昨年の12月20日以来2回目。前よりはできたはず。
設問1 (ア)
穴埋め問題。
問題部分は、「SSOサーバにおいて全ての通信の中継を行う(ア)方式がある。」です。
SSOの方式は以下の5種類。
・SSOで利用したサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式
・SSOサーバが端末とシステムの通信を中継するリバースプロキシ方式
・使用する端末にエージェントをインストールして、ログイン画面を検知すると人の代わりに入力してくれる代理認証方式
・SAML認証を用いたフェデレーション方式
・Webシステムにユーザがアクセスするのを監視して認証情報を送信する透過方式
上記の内、問題文に合致する方式はリバースプロキシ方式です。
よって正解は「リバースプロキシ」。
リバースがついて正解。リバースプロキシ方式って名前なので。
設問4 (1)
LBがレイヤ7の情報を基にして振り分けサーバを選定できない理由を答える問題。
問題文中に、「振り分け先については、TCPコネクション確立のためのSYNパケットがPCから届いた時点で決定される。」とあります。
TCPの応答のSYNパケットの時点ですから、レイヤ4より上の情報はありません。レイヤ7の情報は振り分けには使えないのです。
よって正解は「SYNパケットにはレイヤ7情報が含まれていない」でした。
問題文をしっかり読みましょうってことですね。
2019(R1) 秋 午後Ⅰ 問2
問題はこちらから(IPA 令和元年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
Webシステムの構成変更に関する問題。昨年10月18日以来2回目です。割と解きやすいというか読みやすいですね。
設問2 (2)
A社が導入するLBにおけるセッション管理を送信元IPアドレスに基づいて行う方式を選択した場合に発生するおそれがある問題を答える設問。
Webシステムにアクセスする通信は、T社WAFサービスの導入により、送信元IPアドレスが全てIP-w2になります。
ここまでは分かったんですが、それがどういう問題になるかまでは分からず……。
ここでそもそも「セッション」、「セッション維持」とは何なのか整理しようと思います。
HTTPはステートレスな通信なので、それだけでは前の状態がどうだったのか、といったことが分かりません。例えばショッピングサイトなどで、ログインしたことや、カートに商品を追加しても、後の通信ではそれが分かりません。
それを解決するのがセッションです。
ではセッション維持とは何なのか?
セッション維持機能 (一意性保証機能)
セッション維持機能とは、クライアントから送られてくるリクエストの中で、関連のあるリクエストを同じサーバに振り分ける機能です。
利用者がWebサイトにアクセスしているとき、ブラウザは比較的短い時間で接続を切ってしまいます。 つまり、クライアントとサーバが常時接続されている訳ではありません。
このため、負荷分散装置を導入している場合、ブラウザが同じWebサイトにアクセスしても、毎回同じサーバに接続されると限りません。 これでも、情報を表示するだけの情報公開サイトなどであれば何の問題もありません。しかし、クライアントからのリクエストが毎回異なるサーバに接続されると困る場合があります。 たとえは、ショッピングサイトでは購入する商品のリストを管理するために、ショッピングを始めてから決済がすむまで同じサーバに接続する必要があります。
この様な目的のために、負荷分散装置はセッション維持機能(一意性保証機能)を持っています。 この機能を使用すると、同じクライアントから指定時間内にリクエストが来た場合に、前回と同じサーバにリクエストを送ることが可能となります。
負荷分散入門(ロードバランサ入門) 第2回 負荷分散装置の基本機能 : 富士通
つまり、同じセッションは、同じサーバが処理するということだそうです。
送信元IPアドレスに基づくセッション維持だと、送信元IPアドレスが同じ = 同じサーバが処理するということになります。今回だと送信元IPアドレスが全てIP-w2なので、すべてのHTTPリクエストが同じサーバに送られるわけです。
(そもそも全てのユーザのセッションが同一になって区別もできなさそうだよなと思います)
じゃあ、セッションID(Cookie)を用いた場合はどうかというと、
cookieオプション
負荷分散入門(ロードバランサ入門) 第6回 セッション維持機能 : 富士通
cookie(クッキー)は、Webベースのアプリケーションを利用中に発生した利用者固有の情報を、サーバ側でなく、Webブラウザ側に記憶させる仕掛けです。
サーバは、応答データに Set-Cookieヘッダーを追加することで、記憶させたい情報とその有効期限を、Webブラウザに指示することができます。 Webブラウザは、有効期間内に同じサーバにアクセスするとき、リクエストに Cookieヘッダーを追加して、記憶していた情報をWebサーバに送ります。
「 cookieオプション」は、この機能を利用して、クライアントからのリクエストを同じサーバに振り分ける方式です。
同じセッションは、Cookieを発行したサーバと同じサーバが処理するということみたいです。
今回の問題では、DNSラウンドロビンを用いてサーバへのアクセスを振り分けているため、最初にアクセスするサーバは分散される = Cookieを発行するサーバは分散される = 以後の通信もちゃんと分散される、というわけですね。
以上より、解答は「負荷が偏る」でした。なるほど。
ちなみに送信元IPアドレスによるセッション維持は使えないかというとそんなことはなく、プロトコルがHTTP/HTTPSでなくても使用できるというメリットがあるようです。もちろんプロキシなどを使用している場合は使えないですが。反対にCookieを用いる場合は、当然ですけどプロトコルがHTTP/HTTPSに制限されます。
設問2 (3)
「LBが行うある処理のために、TLSアクセラレーション機能を利用することにした。」その処理とは?という問題。
TLSアクセラレーション機能ということは、暗号化されているHTTPSの通信内容を復号しているわけですが。じゃあ一体なんのために復号する必要があるのか?
「LB」って書いてあるのに、「あっこれは通信内容確認するためでしょ」とか考えたアホはおいておいて(それはWAFのTLSアクセラレーションだし、そもそも丸々文中に書いてるし……。)
LBがやってることは以下の3つ。
・HTTPリクエスト振り分け機能
・死活監視機能
・セッション維持機能
HTTPリクエスト振り分け機能はDNSラウンドロビンを使用して行い、死活監視機能はHTTPリクエストとそのレスポンスが200であることを見て行っていることが問題文中に記載されてます。どちらも別に通信内容を復号して知る必要はありません。
ではセッション維持機能はどうか?
問題文を読んでみると、「LBは、HTTPレスポンスのSet-CookieヘッダフィールドにセッションIDを追加する。(中略)HTTPリクエストを受け取ったLBは、CookieフィールドのセッションIDに基づいて、セッション維持を行う。」とあります。
Cookieの値を追加・編集するというのは、HTTPヘッダを編集するということですが、HTTPが暗号化されていてはそれができません。そのため、復号が必要になるというわけです。
よって解答は、「HTTPヘッダを編集する処理」でした。
ちなみに解説によってはX-Forwarded-Forヘッダを追加する必要があることに言及しているものもありました。IPAの採点講評では両方言及されているので、どちらを基に考えてもいいのかなと思います(個人的にはCookieの方が分かりやすかったのでそうしました)。
2021(R3) 春 午後Ⅰ 問3
問題はこちらから(IPA 令和3年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
通信品質の確保に関する問題。VoIPとかSIPとかに関する話や、CoSとかの優先制御まわりの話です。昨年の11月30日以来2回目。複数の英単語に対して何だっけ?とはなったものの、前よりはできたはず。
用語について
・G.729
ITU-Tで標準化された音声コーデック。ビットレートは8kビット/秒。
余談ですが、G.711という規格もあり、こちらは64kビット/秒。
・CS-ACELP
Conjugate-Structure Algebraic Code Excited Lineaer Prediction
CELPを用いた圧縮手法で、携帯電話やVoIPでよく利用されている。
G.729として標準化されている。
・CoS
Class of Service
イーサネット(レイヤ2)における通信の優先度を表す値。
VLANタグフレーム4バイト中の後ろ2バイト、TCIのうち上位3ビットがCoSフィールドです。
・TOS
Type Of Service
IPヘッダ中の8ビットのフィールド。レイヤ3における通信の優先度を制御するために使用。
DCSP(Differentiated ServicesCode Point)フィールドと、ECN(Explicit Congestion Notification)フィールドとして再定義されている。ECNはネットワークの輻輳通知、DSCPはDiffservで使用される値。
ようするに優先度で使用している値はDSCP。
・Diffserv
Differentiated Services
IPネットワークでQoSの指定を行う仕組みの一つ。
・WRR
Weighted Round Robin
重みづけラウンドロビン。それぞれのキューに重みを付けて、その重さに応じて順番に取り出していく方法。
・PQ
Priority Queuing
優先度に基づいて、キューからパケットを送信する仕組み。
優先順位の高いキューが空になってから、低いキューの中身を送る。
・ジッタ
ゆらぎのこと
設問1 c
穴埋め問題。
通話が途切れる原因の調査。「大量の動画パケットが送信された結果、音声パケットの遅延または(c)が発生したことが原因であると推定できた。」(問題文要約)という部分。
L3SWが大量のパケットを受信すると、処理が間に合わなくなります。
結果、遅延が生じたり、場合によっては廃棄されたりします。というわけで解答は「廃棄 または 損失」でした。ゆらぎじゃなかった
ポリシング(超過は破棄)とシェーピング(超過しないように送る)をイメージすればよかったのかな?
2019(R1) 秋 午後Ⅱ 問1
問題はこちらから(IPA 令和元年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
クラウドサービスへの移行に関する問題。とのことですが、メインはSIPとRTPに関する問題です。
設問1 (1)
穴埋め。図1中の機器名で答える必要があります。(ア)のPCは単に「PC」だよ。
設問1 (3)
FWで許可している通信を2つ答える問題。
①SIPによって呼制御を行う
②RTPによるエンドツーエンドの通話
つまりこの2つに関する内容が答えです。
この通信を問題に当てはめてみましょう。
SIPの呼制御では、SIPサーバを通じてIP電話間のSIPメッセージがやりとりされます。そのため、本門でのSIP通信は以下の流れで行われます。
スマホ(SIP-AP)⇔ IP-PBX ⇔ IP電話機
スマホの通信はインターネットを経由して本社に届くことと、FWの存在を考慮すると、上記の通信は以下になります。
インターネット ⇔ FW ⇔ IP-PBX ⇔ FW ⇔ IP電話機
よってFWで許可する通信は、インターネットとIP-PBX間、IP電話機とIP-PBX間のSIP通信です。
次にRTP通信について考えます。
RTP通信は、エンドツーエンドで行うことができます。つまり、スマホ(インターネット) ⇔ IP電話機という通信です。これにFWを付加すると、インターネット ⇔ FW ⇔ IP電話機 となります。
よってFWで許可する通信は、インターネットとIP電話機間のRTP通信です。
以上より解答は
「インターネット及びIP電話機とIP-PBX間のSIP通信」
「インターネットとIP電話機間のRTP通信」
でした。
RTP通信は分かったんだけど、SIPの方は出てこなかったなあ。
設問2 (1)
穴埋め。(キ)と(ク)が分かりませんでした……。
・(キ)
IP-VPNで使用されている技術で、RFC 3031のものを答える空欄。
IP-VPNでよく使用され、RFC 3031で標準化されているのは、MPLS(Multiprotocol Label Switching)です。よって解答はMPLS。
そもそもIP-VPNというのは、専用のIPネットワークでVPN(Virtual Private Network)を構築する、インターネットを経由しない(繋がっていない)閉域網のことです。
またMPLSというのは、IPパケットにラベルを付加し、そのラベルにしたがってルーティングを行う技術です。IP-VPNでは、MPLSによってデータを送信します。
IP-VPNときたらMPLS!って感じなんですかね。
ちなみにIPsecはインターネットVPNの方でした。なるほど……。
・(ク)
「拠点間の通話が他の拠点を経由しない」構成を答えます。
主なWANの構成(ネットワークトポロジー)には、
・ポイントツーポイント型
・ハブアンドスポーク型
・バーチャルメッシュ型
・フルメッシュ型
があります。(参考元)
ポイントツーポイント型は、拠点を1対1で繋いだもの。
ハブアンドスポーク型は、ある1拠点とそれ以外の拠点のみを繋いだもの。
バーチャルメッシュ型は、ハブアンドスポーク型に加えて、一部の拠点間を繋いだもの。
フルメッシュ型は、すべての拠点間を繋いだもの。
図にすると違いが分かります。
今回は、他の拠点を経由しないとのことなので、「フルメッシュ」が解答でした。
知ってないと答えられないので、これを機にちゃんと覚えます。
設問3 (2)
(31)と(32)のBYEに対応するINVITEを答える問題。
BYEはどちらもIP-PBXから本社のスマホに送信されているので、対応するINVITEもIP-PBXと本社のスマホの間で行われたものになります。よって解答は、(5), (16) です。
IP-PBXと本社のスマホ間ということを理解できてなかったので、(17)って答えちゃいました。
設問4 (1)
現行環境と新環境を分離するために必要な機器とその設定を答える問題。
現行環境というのは、L2SWとその下のPCやIP電話、撤去予定のFW、IP-PBX、L2SW、プロキシサーバ、Webサーバたち。
新環境は、PoE-SWとその下のIP電話、AP、PC、クラウド環境であるX-DCです。
図5を見ると、これらを分離するためにはL3SWでなにかしら設定をすれば良さそうです。環境を分離するためには、互いに通信させない設定にする必要があります。
互いに通信させないための条件は以下です。
・新環境のセグメントを現行環境のセグメントと別にする
・新環境と現行環境のセグメント間のルーティングを禁止(= 通信が届かないようにする)
L3SWでそれを実現するには、以下の設定が必要です。
・PoE-SW収容ポートを新しいセグメントにする
・L2SW収容ポートとのルーティングを禁止する
したがって解答は、「L3SWのPoE-SW収容ポートを新しいセグメントにして、L2SW収容ポートとのルーティングを禁止する」です。
それぞれの環境内で通信する、というところまではイメージがついたけど、互いに通信させないこと、収容ポートの設定というところまでは分からなかったです。
設問4 (2)
穴埋め問題。両方20文字以内で解答します。
空欄部分の文章は以下。
「また、(c)とIP電話機の切替えの順序関係によって、一部のIP電話機では、一時的に(d)ができなくなります。」
表3の移行作業のうち、「IP電話機の切替え」はa5です。また図4の作業予定表を見ると、a5と同じタイミングでa3の「IP-PBXの切替え」が行われることが分かります。よって、順序関係というのはこのa3との順序になりそうです。
「a3 IP-PBXの切替え」には、「本社の公衆電話網の電話番号をY-DCへ移行する」作業が挙げられています。こちらをまとめる形になります。
図1を見ると、公衆電話網の電話番号は、本社社外と通話を行うために使用されています。そのため、公衆電話網の電話番号をY-DCへ移行すると社外との通話(発着信)が出来なくなるわけです。
以上から、解答は
(c)「公衆電話網の電話番号の移行」
(d)「本社と社外の電話との発着信」
です。
(c)はa5とa3が被っているということに気が付かなかった点、(d)は解答時数的に通話の内容をもっと具体的に答える必要がある点が至らなかったです。
設問4 (3)
Webサーバ移行時に設定変更を行うプロキシサーバの設置場所を答えます(設定の方はあっていたため省略)。
本問に関わる部分を抜き出します。
「現在、本社のPCからは本社のプロキシサーバを使っています。表3中の作業a6でPCを切り替えるときに、PCの設定情報を変更し、X-DCのプロキシサーバを遣うようにします。」
「並行稼働中は、それぞれの機能について、本社のプロキシサーバとX-DCサーバの両方を稼働させます。」
「X-DCのプロキシサーバのDNS機能をスレーブDNSとし、本社のプロキシサーバのDNS機能からゾーン転送を行います。」
図4を見ると、Webサーバの移行は1月頭に行われますが、PCの切替え作業はそれ以降もまだ行われていることが分かります。つまり、Webサーバ移行後も、本社のプロキシサーバに問い合わせるPCがまだいるということです。また、本社のプロキシサーバからX-DCのプロキシサーバへゾーン転送が行われることから、本社のDNSレコードを変更すれば、X-DCのDNSレコードも変更されます。
以上より、設置場所の解答は「本社」です。
Webサーバ移行時にプロキシサーバは既にX-DC上に移行しているから、と考えてんですが、本社とX-DCのプロキシサーバは両方稼働していること、その時点ではPCの移行作業がまだ終わっていないので切替え前のPCは本社のプロキシに名前解決を行うこと、X-DCのプロキシサーバのDNS機能はスレーブDNSであることなどを踏まえれば、本社が答えなのは明らかです。早計でした。
振り返り
冒頭にも記載の通り、午後Ⅰは解いたことがあるものばかりだったのですが、最初の3問は以前解いた時とほぼ変わらず(むしろ今回は間違えたものも……)、このままではダメだと焦りと反省を抱いています。
こうやって振り返りを丁寧に残すことで、次こそは絶対間違えないようにしたいものです。また間違えてもここを見返せば理解できるし
来週も頑張ります。
コメント