テクニカルエンジニア(ネットワーク)

その傾向と対策

過去問・問題集

ごたくWEB
http://www.na.sakura.ne.jp/~taka/index.shtml

Tomのネットワーク勉強ノート
http://www.tomnetwork.net/

KIKIの情報処理試験の部屋
http://www.kikiroom.com/

0からはじめるIT資格
http://0kara.org/

勉強に役立つ参考URL

Internet Week
http://www.internetweek.jp/index.html

ネットワークのおべんきょしませんか?
http://www.n-study.com/network/menu.htm

mots
http://shizuoka.cool.ne.jp/mots/index.html

NSP塾
http://www.itac.gr.jp/nsp/

ネットワークスペシャリスト掲示板
http://johobbs.lib.net/cgi-ns/

メールマガジン

試験に役に立つメールマガジンです。

IPネットワーク考
http://melma.com/mag/28/m00074928/

ネットワークのおべんきょしませんか?
http://www.melma.com/mag/01/m00017301/

OSI基本参照モデル

基本ですけど。

Internet Week 2002 B1

http://www.soi.wide.ad.jp/class/20020036/slides/01/

Nagano Solution

http://www.wakasato.org/learn/nepc/index.html

待ち行列

解説

待ち行列の問題に関しては、次のどっちかの解答しかない

1.平均待ち時間(自分より前の人たちが処理しきるまでの時間)
2.平均応答時間(自分も含めて処理しきるまでの時間)

そして、これを算出する数式も難しくないんだな。実は。

平均待ち時間 =
自分より前に待ってる人の数 × 一人あたりのサービス時間

平均応答時間 =
自分より前に待ってる人の数 × 一人あたりのサービス時間
+ 一人あたりのサービス時間(自分の分)

それじゃぁ、ちょっと整理すると同時に、数学っぽくしてみる。

λ:平均到着率(単位時間あたりに何人来るか)
μ:平均サービス率(フルフルで単位時間あたりに何人処理できるか)
ρ:窓口利用率(窓口がどのくらいの割合で使われているか)

だいたい、すべての問題はλとμを求めるところから始まります。んで、

ρ = λ / μ
自分より前に待ってる人の数 = ρ / ( 1 - ρ )
一人あたりのサービス時間は問題に書いてある。っつーか、書いてな
とμが求まらないんで…

参考リンク

待ち行列が苦手なのでまとめてみた。

サルでもわかる待ち行列

http://www.objectclub.jp/technicaldoc/monkey/s_wait

待ち行列

http://akademeia.info/main/math_lecturez2/math_matigyouretu.htm

待ち行列に関する一考察

http://www.arkweb.co.jp/~hirochen/queue.html

順列・組み合わせの数

組み合わせの数も苦手です。。


順列

難しい話は無し!ネットワークはこれだけ覚えていればいいのです。

nPr = n × (n-1) × (n-2) ×・・・× ( n - (r -1) )

これはどういう事かというと

n個の数字 { 1,2,3,...,n } のなかから、異なるr 個を選んで並
べるときの「並べ方」を、「n個からr個を選んでできる順列」と呼
びます。その順列の個数をnPrと書き表します。

しかぁし!こんな説明は実践的では無いので、噛み砕いて小職が書きます。

Ⅰ.サイコロみたいな話じゃなくて、一度選らんだ事象はもう使え
ない。
Ⅱ.くじ引きが解り易いので、次に例示する

ex.あたり2つ、はずれ8つのくじで、2回引いて連続当り!の確

①全部で何通りあるか?
10P2 = 10 × 9 = 90通り
②連続2回当りは何通りか?
2P2 = 2 × 1 = 2通り
③確立
2/90 = 0.02222222222… およそ、2%

※ちなみにこの場合の②2通りは(1等・2等)と(2等・1等)
の事で、当りであれば順番かんけーねーじゃんって言うのは「組
み合わせ」っていう概念になります。

げ、割り切れねーじゃねーか。でも、まっこんな感じ


組み合わせ

難しい話は無し!ネットワークはこれだけ覚えていればいいのです。

nCr = n × (n-1) × (n-2) ×・・・× ( n - (r -1) ) /
r × (r-1) × (r-2) × ・・・× 1

順序によって区別しないで異なるn個からr個を選ぶ選び方を「n
個からr個を選ぶ組み合わせ」と呼びます。

しかぁし!こんな説明は実践的では無いので、噛み砕いて小職が書きます。

Ⅰ.サイコロみたいな話じゃなくて、一度選らんだ事象はもう使え
ない。
Ⅱ.くじ引きが解り易いので、次に例示する

ex.あたり2つ、はずれ8つのくじで、2回引いて連続当り!の確

①全部で何組み合わせあるか?
10C2 = 10 × 9 / 2 × 1 = 45組み合わせ
②連続2回当りの組み合わせ
2C2 = 2 × 1 / 2 × 1 = 1組み合わせ
③確立
1/45 = 0.02222222222… およそ、2%

※ちなみにこの場合の②1組み合わせは(1等・2等)と(2等・
1等)の両方の事で、当りであれば順番かんけーねーじゃんです

参考リンク

数学トレーニング講座

http://www.geocities.co.jp/Technopolis-Mars/5427/mathtrtop.html

一癖ある問題

臆する事はない。Tom師匠が資料をまとめて下さっている。

VoIP - IP電話

http://www.tomnetwork.net/zyousyo/VoIP.htm

VPN - 認証と暗号化

http://www.tomnetwork.net/zyousyo/VPN.htm

IPsec

http://www.tomnetwork.net/zyousyo/IPsec.htm

無線LAN

http://www.tomnetwork.net/zyousyo/musenLAN.htm

ADSL

http://www.tomnetwork.net/zyousyo/ADSL.htm

LDAP

http://www.tomnetwork.net/zyousyo/LDAP.htm

クラスタリング

http://www.tomnetwork.net/zyousyo/Clustering.htm

平成13年度テクニカルエンジニア(ネットワーク) 午後問題解説

お話の前提としてー・・・

なんで、解説するかというと、我が心の師TomさんのHP(http://www.tomnetwork.net)の解説と、その他HPとかの解答が食い違ってて、???だったからであーる。

基本的にはtomさんの解説は筋道が通ってて解り易く好きなのだが、だからこそ違う解答の部分は検証してみたい。

あと蛇足なんだけど、**午後2は問2を選べ!**という言葉があるらしい。問1に比べていっぱい文章が書いてある分、文意とかが解り易いんだって。

思い出した。**迷ったら教育へ逃げろ**という言葉もありました。解答に迷ったら「事前のリハーサル」とか「手順書の作成」とか「社員への周知」とかって解答はありかな?って思い起こしてみよう。

それでは行ってみましょう。

午後2 問1

設問1
(1)本文中の【 a 】~【 e 】に入れる適切な字句を答えよ。

の、【 e 】です!えぇと?

まずは、CERとPERがどのような形態でIP-VPNを構成しているか整理します。

簡単です。文意通りにとらえれば・・・(実はこれが一番難しいんですが・・・)

PC----------CER----------PER----------PER----------CER----------PC
     LAN         専用線       IP-VPN       専用線        LAN

以上です。終わり。いやいやいや、こ、構成はこれで正しいはずです。

以下は問題文です。太字の部分を上図を眺めながら読んでみて下さい。

T君:まず、IP/VPNのパケット転送方法について教えてください。

K氏:図2の専用線で接続されたルータをカスタマエッジルータ(以下、CERという)といいます。IP/VPNサービスは、通信サービス事業者のプロパイダエッジルータ(以下、PERという)と、顧客のCERとの間を必要な帯域の専用線で接続する形態で提供されます。この専用線を"アクセス回線"といいます。CERからPERへ届いたIPパケットには、PERにおいて、あて先に応じた【 a 】が付与されます。送信元PERとあて先PERの間のIP/VPN内部では、【 a 】に基づいてルーティングを行います。転送先の【 b 】では【 a 】を外し、通常の【 c 】に戻して【 d 】へ転送します。

T君:IP/VPN内部では、IPパケットと異なる形式のパケットが転送されるのですね。

K氏:はい。そうです。

T君:IP/VPNサービスを利用すれば、セキュリティも確保できるのですか。

K氏:もちろんです。送信元PERではどこの顧客からのIPパケットかの判別が可能であり、ほかの顧客のCERへ届けることはありません。つまり、送信元PERは送信元の顧客を識別し、届いたIPパケットのあて先IPアドレスと合わせて、あて先のPERを決定します。送信元の顧客が異なれば、送信元PERに顧客から届いたIPパケットのあて先IPアドレスが等しくても、そのIPパケットは、【 e 】CERへ転送されます。これによって、従来の専用線を使った通信と同等のセキュリティが確保されるのです。

k氏の言葉の定義が誤解を招く一要素です。困ったものですな。

K氏の言う太字の文の部分を整理しましょう。

k氏の言う顧客とは:なぜかプロバイダ視点です(笑)。プロバイダにとっての顧客です。

よって、この認識のままK氏の言わんとしていることを図にしてみましょう。

A社                                                             A社
(PCは宛先192.168.1.10へ送信)              (A社受信元192.168.1.10のPC)
PC----------CER----------PER----------PER----------CER----------PC
     LAN         専用線   |   IP-VPN   |   専用線        LAN
                          |            |
                          |            |
                          |            |
他の顧客                  |            |                   他の顧客
PC----------CER-----------+            +-----------CER----------PC
(PCは宛先192.168.1.10へ送信)         (他の顧客受信元192.168.1.10のPC)

上図の場合でも、A社のパケットは他の顧客のPCへは転送されないよとK氏は言いたかったんですね。きっと。

よって、【 e 】には**宛先IPアドレスは関係なしにちゃんと宛先のCERに行くよ**を書けばいいのです。略して**異なる**とか**宛先**とかでいいような気がします。

するとtomさんの解答は正しいです!そしてKIKIの情報処理試験の部屋(http://www.kikiroom.com/)の解答も正しいです~。


設問1
(2)アクセス回線に専用線を用いている理由を、PERでのセキュリティの観点から30字以内で述べよ。

アクセス回線とはどこでしょうか。図示します。

PC----------CER----------PER----------PER----------CER----------PC
     LAN      アクセス回線    IP-VPN    アクセス回線     LAN

以上です。終わり。いやいや、問題文にもちゃんと書いているので、構成はこれで正しいでしょう。以下、引用します。

K氏:図2の専用線で接続されたルータをカスタマエッジルータ(以下、CERという)といいます。**IP/VPNサービスは、通信サービス事業者のプロパイダエッジルータ(以下、PERという)と、顧客のCERとの間を必要な帯域の専用線で接続する形態で提供されます。この専用線を"アクセス回線"といいます。**CERからPERへ届いたIPパケットには、PERにおいて、あて先に応じた【 a 】が付与されます。送信元PERとあて先PERの間のIP/VPN内部では、【 a 】に基づいてルーティングを行います。転送先の【 b 】では【 a 】を外し、通常の【 c 】に戻して【 d 】へ転送します。

問題文から、通信が暗号化されているのはPER~PER間だけだと推測されます。よって、PER的に困る事というのをふまえながら次の点を回答に盛り込めるとGOODでしょう。

  • PERに、なりすましIPパケットを送られると困る
  • PERに、改竄IPパケットを送られると困る
  • CER~PER間を盗聴されたら困る

私はこんな解答を考えました。

暗号化されていない回線での改竄・なりすましを防ぐため(26)

ちなみにtomさんの解答は、以下ののものです。

IPパケットをなりすまされるとPERは正常判別できないため(29)

別解:契約しているユーザ以外のPERへの接続要求を防止できるため(29)

"なりすまし"に要点をおいた解答です。仮にアクセス回線がネットワークだったと仮定した場合はIPパケットの改竄やセションハイジャックも考慮に入れたほうがいいんでしょうか。。


設問4
(3)ISDNルータは、IPヘッダのほかにもIPアドレスの変換を行う。何をどのように変換するのか、具体的に70字以内で述べよ.

先にtomさんの答えを述べます。これが大正解であると思います。

PORTコマンドのパケットに入っている、FTPクライアントのプライベートアドレスを、ISDNルータのグローバルIPアドレスに変換する。(67)

間違っているんじゃなくて、「うぉ?PORTの内部のポート番号は?変換対象じゃないよね?あれ、IPマスカレードとNATとNAPTとかの差がわからなくなった」って混乱してしまたので、その整理です。

IPマスカレード【NAPT】
インターネットに接続された企業などで、一つのグローバルなIPアドレスを複数のコンピュータで共有する技術。組織内でのみ通用するIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)を透過的に相互変換することにより実現される。NATと違ってTCP/UDPのポート番号まで動的に変換されるため、一つのグローバルアドレスで複数のマシンからの同時接続を実現することが可能である。ただし、ポート番号が変化するため、インターネット側からアクセスできない、ICMPが使えない、rshなど一部のサービスが使えないなどの欠点もある。

NAT
インターネットに接続された企業などで、一つのグローバルなIPアドレスを複数のコンピュータで共有する技術。組織内でのみ通用するIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)を透過的に相互変換することにより実現される。最近不足がちなグローバルIPアドレスを節約できるが、一部のアプリケーションソフトが正常に動作しなくなるなどの制約がある

~こうやって転送されていた~

※仮定
FTPクライアントのIPアドレス :192.168.1.10 プライベートIP
ISDNルータのIPアドレス      :210.100.1.10 グローバルIP
FTPサーバのIPアドレス       :210.100.1.20 グローバルIP
※PORTコマンド送信時
FTPクライアント          ISDNルータ             FTPサーバ
送信元IP:192.168.1.10    送信元IP:210.100.1.10  受信Port:21に受信
送信先IP:210.100.1.20    送信先IP:210.100.1.20
送信先Port:21            送信先Port:21
送信元Port:3200          送信元Port:任意X
PORTコマンドパケット
被接続先IP:192.168.1.10  被接続先IP:210.100.1.10
被接続先Port:3201        被接続先Port:3201
※データ転送コネクション要求時
FTPクライアント      ISDNルータ             FTPサーバ
受信Port:3201に受信  送信元IP:210.100.1.10  送信元IP:210.100.1.20
                     送信先IP:192.168.1.10  送信先IP:210.100.1.10
                     送信先Port:3201        送信先Port:3201
                     送信元Port:任意Y       送信元Port:20

あたりまえなんですが、PORTコマンドのポート番号を書き換えてしまうとFTPサーバは、あらぬポートへTCPコネクションを接続しにいきます(笑)。

ポート番号の任意Xと任意Yですが、これはIPマスカレードの機能によって動的に適当に割り振られます。

プライベートIP側の個々コネクションの識別の為にISDNルータが勝手に割り振るポート番号です。もし上図のPORTコマンドにレスポンスコマンドがあれば、送信先ポート番号が任意XのパケットをFTPサーバが作りISDNルータで3200へ変換するからくりです。

午後2 問2

設問3
(2)中継用SMTPサーバでは、なぜ不正中継防止処理を容易に実施できるか。その理由を40字以内で述べよ。

解答

中継用サーバは外部あてメールは転送不要で社内宛て以外のメールは破棄すればいいため(40)

なんですが、簡単に整理しときます。

・外から内へ
ISP-------ルータ--------ファイアウォール--------中継用SMTPサーバ~
←―internet/backborn LAN?――→←――――――DMZ ――――――→~

~--ウィルス対策サーバ-----スプールサーバ-----SMTP/POPサーバ----PC
~←――――――――――――――LAN ――――――――――――――→
・内から外へ
PC--LB--ウィルス対策サーバ---ファイアウォール------ルータ------ISP
←―――――――――LAN―――――――→←internet/backborn LAN? →

外部へメールを送信する時SMTP/POPサーバさんを通ってない図で腑に落ちませんが(でも問題文の図にそうやって書いてあるんだよなぁ・・・都合よく解釈するならISPのSMTPサーバ宛てに送信してるのかな)、ポイントは_内から外へのメールは中継用SMTPサーバを通らない_っちゅーことです。

tomさんの言われるとおり、**この問題の回答は、不正中継防止処理を実施する方法ではなく、実施できる理由**を解答すると言うことを忘れないで下さい。日本語よく読めっちゅー事ですな。


設問4
(3)本文中の下線(b)に従ってDNSサーバを設定するが、図4のDNSサーバ2が管理するゾーン情報は何か。20字以内で述べよ。

解答

DMZ-2上の中継用SMTPサーバとLB(20)

です。おつかれさまでした。い、いや、ちょっと整理しましょう。

図4のDNSサーバ2が管理するゾーンはDMZ-2になります。ここまではいいでしょう。

で、DMZ-2に配置されている管理されそうなものを挙げてみます。

  • ファイアウォール2(DMZ-2側ポート)
  • 中継用SMTPサーバ
  • LB
  • WEBサーバ(1台目)
  • WEBサーバ(2台目)

の五つです。

では、なぜ解答に五つ書いていないのでしょうか。検証してみましょう。

ファイアウォール2(DMZ-2側ポート)
うーむ、本来ルータ宛てやファイアウォール宛ての通信など無いはずなので、ルータやファイアウォールにはホスト名を付くても大丈夫でしょう。でも普通付けるよね。いらないのかなぁ?すくなくともDMZ-2側のファイアウォール2のポートはDMZ-2のサブネットに属しているので、登録しておいてもいいと思うんだが~・・・?違う?ダメ?ううん。

中継用SMTPサーバ
これはもう必須です。インターネットからのメールアドレスのドメイン名はこのサーバを指してないといけません。と、いうわけでMXレコードですな。

LB
今回の問題の肝です。問題文中にこうあります。

一方、パソコンからのメール送信は、LBに設定した仮想IPアドレスあてに行うようにします。LBでは、仮想IPアドレスあてのメールを正常時の転送ルートに転送するよう設定します。

つまり、この得体の知れないLBというのはIPアドレスを持てるっちゅーことですな!んで、IPアドレスもてるということは当然、DNSに登録する必要がでてくる・・・・べ?か?ん?じゃぁなんでWEBサーバは解答に書いてないのか。ここがミソでしょう。更に問題文中にこうあります。

セション管理、画面制御、業務選択などを行うWebサーバは2台構成とし、LBがもつ負荷分散機能を利用して拡張性と可用性を高めます。

ここからは推測になるんですが、おそらく、以下のような設定にしていたのではないでしょうか。

ISP-2─Router2─FireWall2────LB───┬─WEB(219.110.75.10)
                           (219.110.75.4)└─WEB(219.110.75.11)

だったとするよIPアドレスがさ。そして、インターネットからWEBサーバに向けてアクセスがきたとします。

http://fish.minidns.net/gyoumu/gyoumu.asp

とかね。例えばだよ。するとDNSサーバさんは「fish.minidns.netのIPアドレス教えろ。」って言われます。DNSサーバさんはなんと解答すればよいでしょうか。219.110.75.10?219.110.75.11?のんのん。おそらくLBのIPアドレスを解答すればよいのです。するとLBさんは来たIPデータグラムを適当に振り分けてくれるんです。この振り分けをDNSサーバでもできないこともないんでしょうが、今回はLBを使っている。っちゅーことでしょう。よってAレコードが必要です。

WEBサーバ
そんなわけで、ホスト名はいらないっちゃーいらないです(笑)。でもあってもいいしなぁ。問題がなぁ。うーん。

と、いうわけでなんか違う気がします。。

違う視点で考えられている方がいたので、その解答を紹介したいといおもいます。

DMZ-1及びDMZ-2上の全公開サーバ(20)

tomさんの挙げられた解答も間違いではないようですが、こちらの方がビンゴ!!という気がします。いかがでしょうか。

どうしてこんな解答になったかというと、まず問題文にある**(b)社外向けDNSサーバは、ISPの障害を考慮して、ISPごとに分けて設置します。**です。つまるところ、どっちかのISPが障害になった場合、障害側のDMZにある公開サーバのIPアドレスを誰かが答えないといけません。誰が・・・っていうと、そりゃあ元気な方にセカンダリとしてがんばってもらうのがよいでしょう。ってことです。(まぁISP障害の場合IPアドレスが引けても通信できるとは限らないんですが…)

ここで障害時のDNSの動きを追ってみましょう。

  • パソコンのブラウザのURL入力欄にhttp://fish.minidns.net/gyoumu/gyoumu.aspと入力する。
  • ブラウザのリゾルバは最寄のDNSにfish.minidns.netってIPアドレス何?って聞く
  • 最寄のDNSは、自身にキャッシュが無い場合は、netを管理してる親玉DNSに「minidnsってあんたんとこでしょ。教えなさいよ」って聞く
  • netを管理している親玉DNSは「それならIPXXX.XXX.XXX.XXX(dns.minidns.net)に聞いてくれ」って言われる
  • 最寄のDNSは、聞こうと思ったけどIPXXX.XXX.XXX.XXX(dns.minidns.net)はお留守のようだ。。。
  • 最寄のDNSは、netを管理してる親玉DNSに「IPXXX.XXX.XXX.XXX(dns.minidns.net)死んでるんですけど!残念!」と咆える。
  • しょうがねーから、netを管理している親玉DNSは「じゃぁIPYYY.YYY.YYY.YYY(dns.koukaiweb.net)に聞いてくれ」って最寄のDNSに言う。
  • 最寄のDNSは、IPYYY.YYY.YYY.YYYに問い合わせると、fish,minidns.netのIPアドレスを教えてもらった!
  • パソコンのリゾルバに「わかったよIPアドレス!」って言って教えてあげる。

うむ。これでよいのかな。ご意見求む。

参考URL

あらためてDNSサーバとは
http://www.hyperdyne.co.jp/~oohashi/work/inet/05bind/05bind.shtml

平成14年度テクニカルエンジニア(ネットワーク) 午後問題解説

午後2 問1

設問2
(2)TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、S3の名前解決を試みた結果、S3のプライベートIPアドレスが回答された理由を、70字以内で述べよ。

のっけから意味がわかりません。かるく横になりたい問題がまたでてきました。問題文中の省略語が多いうえに70文字で解答しろだなんてあんまりです。

問題の整理をします。

  • DNSをS2にしてた時はS3の名前解決はプライベートIPが回答されてた。でもそれは、S2のDNSのAレコードにプライベートアドレスを書いているのであたりまえであった。。。
  • 普通はISPのDNSはこっちのプライベートIPなんて管理してないのでプライベートIPを回答してくるのは腑に落ちない。
  • S2ってVLANで切ってなかったっけ?

こんな謎がいっぱい頭に浮かぶと私の頭はすぐメモリ不足になりメモリリークしながらスワッピングを始めてしまいます。・・・今は制限時間なんて無いので落ち着いて解いていく事にしましょう。

問題の整理1点目はよいです。2点目が問題の趣旨で、3点目は人心を惑わす罠です(笑)。3点目ですが、問題文にこうありました。よく読めよって話でしょうか。。。

T氏:はい。できます。各サブネットに収容されているサーバのデフォルトゲートウェイには、それぞれ ルータのIPアドレスを設定します。また、**受注システムの開発時に限っては、ルータを用いてVLAN間の通信を行います。**このため、DB-1、DB-2及びGWに対しては、アクセス可能なS2とS3のサーバにログインした後、そのサーバからtelnetを利用してアクセスします。繰り返しになりますが、これらのアクセスは開発時だけ許可し、サービス開始以降は禁止とする必要があります。

こうさらっと書かれています。見落としがちです。

あとは、tomさんの解説どおりです~。

T氏:はい。さらに、IPパケットのヘッダ部だけでなく、FTPや**DNS**などのプロトコルでは、**IPパケットのデータ部に含まれるIPアドレスに対しても同様な変換が行われます。**

を見逃さなければ解ける・・のか?これ?なんかネットワークというより日本語の勉強に近い気がします。

いちおう解答を載せときます。

ISPのDNSサーバが返すグローバルIPアドレスをD社のルータがIPパケットのデータ部のアドレスをプライベートIPアドレスに変換しているため(70)


設問3
T氏がサーバの静的ルーティング機能とサブネット分割を利用する方法では、不正侵入に対応できないと考えて、L2スイッチを利用したVLANを構成することにした理由を、60字以内で述べよ。

いろんな人がいろんな解答を出しているみたいです。ちょっと挙げてみます。

(Tomの回答例)サーバのネットワーク変更されてもL2スイッチでは異なるVLANの通信は出来ないため、安全性の向上を期待できるため(56)

トロイの木馬などでS1やS2サーバを踏み台にしてDB-2に侵入することが可能であるため。

【別解】ルータ側はサブネットで分けているが,L2スイッチ側は同一ネットワークなので,S2からDB2,S3からDB1に侵入される

【別解】サーバに不正侵入があれば静的ルートもIPアドレスも自由に変更できてしまうことからセキュリティを保つことができないため

なぜ多様な解答があるかというと不正侵入経路や方法を考え出したらきりが無いから。なわけで、それを問題を作るうえで絞らなかった問題作った人にはちょっと疑問を感じるかな。いろいろ考えてるのも時間の無駄だしなぁ。

整理すると

  • ネットワーク構成の予備検討案に関して問うているので、図1を参照する。
  • S1,S2,S3とDB1,DB2間のセキュリティついて問うている。 そして問題文中で彼らはこう言っています。

T氏:はい。三つのサーバに分割することで、セキュリティを確保することが目的です。仮に、**一つのサーバに不正侵入されても、ほかのサーバヘの影響を回避するためです。**

U君:DB-1はS2とだけ通信し、DB-2はS3とだけ通信するということで、**どちらのデータベースサーバも定められたサーバ以外とは通信しないのですね。**

T氏:はい。特に、DB-2には会員情報が格納されていますので、情報の漏えいには万全の対策を講じたいと思います。サーバの静的ルーティング機能とサブネット分割を利用する方法では、不正侵入に対応できないと考えて、L2スイッチを利用したVLANを構成することにしました。一つのVLANにDB-1とS2、ほかのVLANにDB-2とS3を収容したいと思います。

このような問です。では逆にL2スイッチではなくてL3スイッチとかルータだと何をされるとマズイのでしょうか。

  • S2に不正侵入されるとDB-2にアクセスできる。(サブネットワークの変更・IPアドレスの変更をされてしまうから)
  • S3に不正侵入されるとDB-1にアクセスできる。(サブネットワークの変更・IPアドレスの変更をされてしまうから)
  • もしL2スイッチではなくてL3スイッチやルータだったら、ルーティングテーブルとかフィルタリングの設定も変更される恐れがある。っていうかこの状況を考えるとS2かS3に侵入されている可能性が高いので、どーにもこーにもならない。

結局の所、ハードウェアレベルで隔離しないといけないっていう事が言えればいいんだと思います。

よって私は上記解答の

サーバに不正侵入があれば静的ルートもIPアドレスも自由に変更できてしまうことからセキュリティを保つことができないため

を支持します~。どうだろ?


設問4
(1)T氏が述べた中継サーバを利用して並列に実行する処理に関して、中継サーバとあて先サーバのデータ転送以外の処理を、40字以内で述べよ。

もぅね、最初この問題見た時は全然ピンとこなかったよ。スパム業者じゃねーんだし~~。知識と発想力がものをいう!ってことでしょうか。いやぁ思いつかなんだ。

ヒントは本文中のコレ

T氏:不正利用者の目的は、複数の相手に対して大量にメールを送信することです。メールの送信処理では、あて先サーバヘのデータ転送に要する時間以外にも、必要な処理に多くの時間が費やされます。**この時間は、複数の異なるあて先に対してメールを送信する場合、より多く必要になります。**そのため、不正利用者は、これらの処理を図3の複数の中継サーバで並列に実行させます。

・・・これだけです。いやぁ~。もっとヒントとかくれよ~。スーパーひとし君をここで出したいんだよ。

あとはもぅ、tomさんの解説どおりです。

"あて先を設定する処理"なんでしょうね。これでは、10文字しかありませんので、もうちょっと考えてみましょう。あて先を設定してから、実際にデータを転送するまでにどのような手順が必要でしょうか?
普段、自分たちが使ってるメーラからの送信ではなく、サーバの転送ですから、あて先サーバに送らなければなりません。つまり、あて先のIPアドレスを知らないとダメですよね?名前解決です。これが時間を要します。

よって解答は、

あて先メールアドレスから,転送先メールサーバのIPアドレスを解決する処理(36)

らしいよ。ううん、思いつかないのが悔しい。


設問5
監視サーバの接続方法に関して、本文中の【 h 】、【 i 】に入れる適切なネットワーク機器名を、図2から選び答えよ。

解答から述べると

【 h 】【 i 】ルータ,L3スイッチ(順不同)です。

でもさ、問題文にはL2スイッチとL3スイッチがSNMP対応って書いてあるわけですよ。どうやらVLANで切ってあるから、そんな監視は無理だよって事らしい。ううううん。なんだかなぁ。引っ掛け問題だろうけどやらしいなあ。ネットワークエンジニアにひっかけを見抜く力いるのかっちゅーところだよねぇ。


設問5
(2)監視サーバが設置され、サービスを開始したときのルータのルーティング処理に関して、開発時との変更点を、60字以内で述べよ。

なんか設問5ってとってつけたようだよね。「あ、問題少ね。ちょっと付け足すか」みたいなみたいな!あ、さて愚痴はさておき問題です。

・・・ここについてはtomさんの言われるとおりかなと思ってます。なんか問題作った人と言いたい事ちがったんじゃねーかと。

いちおう答えを述べると

今後のサーバ増設を考慮して、静的ルーティングから動的ルーティングに変更する。(37)

試験の鉄則は試験問題を問題視しない・・・ってことかーーーーーっっっっ。


設問5
(3)予備検討案に社内LANやGWを付加したので、L2スイッチとL3スイッチを入れ替えている。DB-2とGWを目的どおりに機能させるため、L3スイッチで利用する機能とその設定すべき内容を、80字以内で述べよ。

だいたいルータとL3スイッチって言ったら機能は

  • (ネットワーク層での)ルーティング機能
  • (ネットワーク層での)フィルタリング機能 しかありません。

図示します。

┏━━━┓  ┏━━━┓
┃  S2  ┃  ┃  S3  ┃
┗━┳━┛  ┗━┳━┛
━━╋━━━━━┫
┏━┻━┓  ┏━┻━┓
┃ DB-2 ┃  ┃  GW  ┃
┗━━━┛  ┗━━━┛

こうなっているざましょ。

これを(フィルタリング機能で)

-S3 => DB-2は排除。
-S3 => GW(を介して) => DB-2 のIDやPASSWORD情報は通過
-DB-2 => GW(を介して) => S3 の認証結果は通過

解答は

フィルタリング機能でGW、DB-2間の認証情報を転送するサービスとGW、S3間の認証結果を転送するサービスは通信を許可しS3からDB-2への直接通信は許可しない。(80)

あんまり深く考えない方がいいのかなぁ。

午後2 問2

設問5
(1)本文中の記述以外に、DNSの構成に関して、B社に依頼しておかなければならない対策内容は何か。40字以内で述べよ。

・・・いやらしい問題です。"本文中の記述以外に"ってそりゃあないでしょ。え?想像?想像?・・・これはもぅ想像するしかないのでしょう。

では、問題の整理

DNSの構成とあるので、現状のDNS構成はどうなっているかというと

ASPシステムのためのDNSサーバは、B社の首都圏IDCが運用管理しているものを利用している。DNSサーバは、プライマリとセカンダリの2台とも首都圏IDCに設置されている。

と、問題文の初めの方にちょろっと書いています。見落としがちです。っていうか見落とします。横になりたいです。

ここで、B社にDNS構成についてお願いしたい事とかこうなったらヤバイって所を想像しましょう(笑)。

  • 首都圏が災害に被災したらやばくね?2台あっても意味ねーじゃん。

これです(笑)。これを試験作った人は求めていたのでしょう(笑)。

よって解答は、tomさんの言うとおり

別の地区にもセカンダリDNSサーバを設置し、災害時にも参照できるように依頼する。(40)

こんな感じでよいのでしょう。・・・ちょっとまった。みんな。頭イイ。セカンダリDNSサーバ・・・と解答にあります。プライマリじゃだめなの?っていうかセカンダリって2台以上あってもよいの?

調べました。

DNSサーバを設置する場合、通常は1台のプライマリDNSサーバと、何台かのセカンダリDNSサーバを用意する。また各DNSサーバは、ネットワーク的に分散させておくのが望ましい。もし1台しかDNSサーバが存在していなかったり、ネットワーク的に同じ場所に複数台設置していると、DNSサーバがダウンしていたり、ネットワークがダウンしていたりするとそのドメインに関する情報が得られなくなるからである。DNSクライアントから見ると、どちらのDNSサーバもまったく同じように振る舞い、違いはない。だがドメインに関する情報をどのようにして保持しているかという点は異なっている。

DNSサーバが管理している、ドメインに関する情報はゾーン情報と呼ばれる。ゾーン情報は、プライマリDNSサーバにセットされ、セカンダリDNSサーバは、(通常は)プライマリDNSサーバからゾーン情報をコピーして保持している。これにより、プライマリDNSサーバの情報を更新するだけで、自動的に各セカンダリDNSサーバにコピーされ、内容が同期することになる。

だそうです~。

参考URL @IT
http://www.atmarkit.co.jp/icd/root/59/79612559.html


設問5
(2)待機系システムヘの切替えのために、変更しなければならないDNSの登録データは何か。60字以内で述べよ。

DNSの設定ファイルのDBサーバのAレコードを、バックアップである関西地区IDCのDBサーバのIPアドレスに変更する(58)

終了。・・・・・・えぇ、終了ですとも。正しいですとも。ただ、**Aレコード**ってなんだっけーって思ったからまとめてみようかと思っただけですたい。

col 1 col 2
A ホスト名からIPアドレスへの対応を示すレコードです。
CNAME エイリアス(別名)を指定するレコードです。
MX メールサーバーを指定するレコードです。
NS ネームサーバーを指定するレコードです。
PTR IPアドレスからホスト名への対応を示すレコードです。
SOR ゾーンの登録データに関する情報を指定するレコードです。

うぅん。よーわからんのがいるぞ。ちょっと捕捉してみる。

SORレコード
とりあえずプライマリDNSサーバ情報を定義するらしい。これは1レコードで終わり。
NSレコード
プライマリ・セカンダリDNSサーバをつらつらと書くらしい。

DNSってけっこうめんどいのね~~。

参考URL HotWired Japan
http://hotwired.goo.ne.jp/webmonkey/2002/36/index4a_page3.html

参考URL 東北大学におけるドメインネームシステムの設定
http://www.tains.tohoku.ac.jp/info-old/DNS/dns-tohoku.txt

平成15年度テクニカルエンジニア(ネットワーク) 午後問題解説

でました。

平成15年度の午後2問1は、僕がざっと過去3年の過去問を解いたけど、最高難易度です。

しかも受験当時もなぜか問1を選択したんだよなぁ。。。この問題については当時さまざまな所で議論になったみたい。かなり難しいもんね。

それでは解説してみるよ。っていうかさ。この問題はtomさんの解説も無いんだよね。解答から私独自の解説して行きたいと思います。

午後2 問1

設問1
本文中の【 a 】~【 d 】に入れる適切な字句を答えよ。

の、【 b 】です。先に正解と述べると

IP2-2 ちなみに【 a 】はIP1-2

ここで間違えない為には、マルチホーミングのMH-1の機能をしっかり押さえておく事が肝要です。

問題文からMH-1の機能について述べられている部分を抜粋します。

本社と各営業所に導入するMHは,次のような機能をもっている。

①NAT機能

②ルート障害対策機能

③アウトバウンドトラフィックの振り分け機能

④インバウンドトラフィックの振り分け機能

⑤VPN機能

以上に示したように,MHは,マルチホーミングとVPN機能を併せもっている。アウトバウンド処理では,アウトバウンドパケットを解析し,必要に応じてVPN機能を働かせる。VPN機能を働かせない場合には,アウトバウンドトラフィックの振り分け機能を働かせる。これらの機能にルート障害対策機能を組み合わせることによって,インターネットの利用やVPNの使用が継続できるようにすることが可能になる。本提案では,図2中の**MH-1のVPN機能は働かせない**が,MH-2のVPN機能は働かせる。**また,既存のDNSサーバは使用せず,MH-1に内蔵されたDNS機能を使用する**

これが、まず前提です。次に以下の文があります。

MH-1は,図3に示すようなポート構成をもち,P1とP2のそれぞれに対して,NAT機能を独立に設定することが可能である。本提案では,既存環境に極力影響を与えないで導入できるようにするために,**P1でのNAT機能を働かせない透過モードを利用して,P2だけでNAT機能を働かせる。**MH-1に内蔵されたDNS機能は,P1とP2に設定されるIPアドレスで利用できる。既存のDNSサーバに設定されていたIPアドレスをそのまま利用するために,P1にはIP1-1が設定される。MH-1では透過モードが利用され P0とP1が同一のIPアドレスになるので,P0にはIP1-1が設定される。

表1 P2におけるNATテーブルの設定内容

col 1 col 2 col 3
No. アドレス1 アドレス2
1 IP1-2 IP2-2
2 IP1-3 IP2-3

P2でのアドレス変換は,表1の設定に従って次の手順で行われる。パケットがP2から出力されるときに,送信元IPアドレスがNATテーブルのアドレス1に存在する場合には,同一行のアドレス2に変換される。存在しない場合には,P2に設定されたIPアドレスに変換される。一方,パケットがP2に入力されるときに,あて先IPアドレスがNATテーブルのアドレス2に存在する場合には,同一行のアドレス1に変換される。また,P2に設定されたIPアドレスの場合には,DNS機能を利用するパケットを除いて,ポート番号に基づいてプライベートIPアドレスに変換される。それ以外の場合には,MH-1によって廃棄される。

さてと・・・・なにからどうしよう(笑)。つっこみ所がいくつかありますが、とりあえず無視して・・と。

MH-1の図

  IP1-1    IP2-1
┌─┴───┴─┐    ┌───┐    ┌───┐
│  P1      P2  │    │ Web  │    │ Mail │
│     MH-1     │    └───┘    └───┘
│      P0      │      IP1-2          IP1-3
└───┬───┘     (IP2-2)        (IP2-3)
      IP1-1

整理すると

  • P0~P1間はいわゆる透過モードなので、IPアドレスの変換はしない。
  • 新たにISP2を追加したことで、WebサーバとMailサーバのグローバルアドレス(IP2-2,IP2-3)を貰った。
  • WebサーバとMailサーバはLANインタフェースが一枚しかない(推測)。よってWebサーバとMailサーバはひとつのIPアドレスしか持つことができない。
  • 既存のIPアドレスの設定を変えたくないのでWebサーバとMailサーバのIPアドレスは従来のままIP1-2,IP2-2とする。
  • ISP2に付与してもらったグローバルアドレス(IP2-2,IP2-3)は必ずP2のポートに入ってくる。
  • だからMH-1で次の変換を行う

  • P2に入ってきた送信先IPアドレスがIP2-2のやつ⇒IP1-2に変換

  • P2に入ってきた送信先IPアドレスがIP2-3のやつ⇒IP1-3に変換

  • 戻りのパケットは逆の変換をする(アウトバウンド振り分け機能でP1のポートへ飛んでいかないか心配になるかもしれないけれど、アウトバウンド振り分け機能は"セション単位"での振り分けなのでHTTPのリクエストとレスポンスは1セションのはずだから大丈夫P2に戻るよ。)

  • IP1-2のやつ⇒IP2-2に変換

  • IP1-3のやつ⇒IP2-3に変換

  • 問題は**WebサーバからISPに送信されるパケット**について問うている

  • HTTPにおいてのレスポンスと推測される。

  • よってWebサーバを出たばっかりのパケットの送信元IPアドレスはIP1-2

  • MH-1のP2ポートへいくので IP1-2のやつ⇒IP2-2に変換 される!

よって解答は IP2-2

箇条書きでまとめてもこの有様です。留意事項が多すぎて混乱しまくりです。


設問2
(2)本文中の下線(b)の問題は,P2側からISPに送信された場合に発生する。その理由を,70字以内で述べよ。

下線(b)

(b)Y社から転送される電子メールの受信がISPのポリシによって拒否されるという問題が発生する可能性がある。

解答

ISPのメールサーバでDNSの逆引きを行った場合、アドレスIP2-3の逆引きに失敗し、セキュリティ上の問題があると判断されて拒否されるから。

はい、そういうわけで、軽く青木さやかばりに毒づきたくなるような問題の登場です。ISPのポリシって何だよ!知るか!ばかぁ。えーん。

実は、ここで業務経験がものをいうある事実があります。スパム対策の為に多くのISPで実施しているようですが、以下の条件の場合、SMTP接続を拒否するようになっていたりするそうです。

  • DNS逆引き設定がされていないホスト
  • または、DNS逆引き設定がされていても、正引き設定と食い違うホスト

ずるい。ずるーい。こんなのわかんないもん!うわぁん。つまるところ

  • ISPセキュリティポリシ
  • DNSサーバ
  • メール受信拒否

ここらへんのキーワードでピンとこなかったらアウトという事なのでしょう。。。

  • ISP2からIP2-3の逆引き(IPアドレス→ホスト名)をするとMH-1のDNSにはIP1-3の設定はあってもIP2-3の設定は無い(MH-1のDNS設定は既存のDNS設定をそのまま利用するとある)ので逆引きに失敗します。

参考URL

DNS逆引きチェックによるスパム対策は百害あって一利無し
http://neta.ywcafe.net/000395.html
メイルサーバの逆引き設定
http://dns.qmail.jp/mail-dns.html#rev


設問4
(1)本文中の下線(c)の理由を,50字以内で述べよ。また,MH-2のpingコマンドのあて先をどこに設定すべきか。25字以内で述べよ。

理由

エッジルータがあて先のpingコマンドはVPNを通らずに処理されるのでVPNの状態を判定できないため

宛先

接続相手先のMH-2のISP側のIPアドレス

・・・つっこみどころもりだくさんです。。。ちょっとご立腹です。キレ気味です。横になってます。まず初めに。。。。。。**日本語おかしくねw?**

下線部(c)!ちゃんと主語書け!主語をよ!

 MHは,ping確認によってルートの障害を検知する。MH-1では,アウトバウンドのルートの障害を検知するために,pingコマンドのあて先として,ISP側のポートごとに,接続先のISPのエッジルータを設定する。しかし,**(c)MH-2に対してpingコマンドのあて先にエッジルータを設定しても,VPNのルートの障害を検知ででないので,pingコマンドのあて先に違う場所を設定する。**

MH-2が一個だけだったら多めにみてやる。でもよMH-2って本社と営業所ごとにあるじゃねえか!文意を把握するのに十数分かかったぞ!ばかぁ!

上の文章の主語と述語を抜き出しますよw。あぁ国語の時間。。。泣。。

MHは,設定する。しかし,(MH-2は)(設定しても検知できないので)(違う場所を)設定する。

下線部(c)をわかりやすく書くとこうでしょう。

MH-2はVPNルートの障害を検知する為に、pingコマンドのあて先にエッジルータを設定しても,VPNのルートの障害を検知ででないので,pingコマンドのあて先に違う場所を設定する。

こうだ!図示するよ。。。もぅ。。

    ┌─ISP1─┐
MH-1-----エッジルータ-----インターネット
      (アクセスポイント)

             ┌────ISP1────┐
MH-2-----エッジルータ-------エッジルータ------MH-2
本社  (アクセスポイント) (アクセスポイント)  営業所
             │                  │
        インターネット     インターネット

※もしかしたらエッジルータ~エッジルータの間にはコアルータあるかも

まとめるとこういうことでしょう。

  • MH-1の場合はルート障害検知の為にインターネットに最も近いルータに対してpingを送信する
  • MH-2の場合はVPNのルートの障害検知が目的なのでエッジルータに送っても中途半端、そもそも宛先が向こう側にあるMH-2じゃ無い場合、暗号化されないと書いてある。(VPNルートの障害検知にならない)
  • VPNルート障害検知の為に向こう側のMH-2のISP側IPアドレスに送信する(問題文からIPアドレスがISP側ではなくLAN側だった場合は暗号化されないし、暗号化されないパケットは送信先意味不明でISPのエッジルータとかに破棄されるでしょう)

以上です。日本語が一番の敵です。


設問5
(3)本文中の下線(e)の手順によって,インバウンドの動作確認を行うことができる理由を,70字以内で述べよ。

下線部(e)

(e)PCのプロキシサーバを利用する設定を外し,ブラウザに本社のWebサーバのIPアドレスを直接入力して行った。

解答

MH-1 を経由した異なるIP アドレスへのパケットが同一のWeb サーバに到着できれば,インバウンドの振り分け機能が正常と判断できるため

つまり、MH-1にくるパケットのうち送信先IPアドレスがIP1-2とIP2-2の両方でweb閲覧を確認できればええよっちゅう事でしょう。

まず、問題を整理したいと思います。どこから、どこへどうやってアクセスしたか?です。

※想像1
PC---MH-2---エッジルータ---インターネット~
営業所     (ISP1かISP2)←振り分けられる

~インターネット---エッジルータ---MH-1---webサーバ
           (ブラウザに入力したIPのISP)
※想像2
PC-----MH-1-----エッジルータ-----MH-1-----webサーバ
本社      (折り返し?)

どこのPCから確認したかというのは、問題文には正確に書いていませんが、文意からするとおそらく営業所のPCでしょう。仮に本社のPCであってもインバウンドの確認については問題無いと思います。下線部(e)は大分端折っていますが、手順としてはこうでしょう。

  • LAN内の通信(VPN越しにLAN-LAN通信も含む)で完結しないようにプロキシの設定をブラウザから外す。
  • ブラウザのアドレス入力バーに「http://IP1-2」と入力してアクセスできるか確認する
  • ブラウザのアドレス入力バーに「http://IP2-2」と入力してアクセスできるか確認する。

ふぅ。疲れたんだな。。難しいよこの午後2問1。。。

午後2 問2

設問2
(1)図4中の【 b 】に入れる適切な式を答えよ。

解答は

g(Pm)

数学・・・・・?だろ。いやだぁあああああああぐぶおぅあ。くぁwせdrftgyふじこlp;@

思わず取り乱してしまいました。む、むずかしいです。ワンタイムパスワードではS/Keyというソフトが有名らしいです。その原理を覗いてみましょう。っていうかそのまんまです(笑)。

  • S/Keyを用いたワンタイムパスワードの原理

ワンタイムパスワードは登録していただくS/Key用のパスフレーズから作成します。 この方式は暗号化を複数回行うのが特徴です。

ワンタイムパスワードの概要

  • 例えばユーザが暗号化を99回繰り返した暗号化パスワードを用意したとします。
  • サーバ側では同様に100回計算された暗号化パスワードが保存されています。
  • ユーザはこの99回暗号化されたパスワードをサーバに送信します。
  • サーバはこれを受け取ったのち、更にもう一度暗号化することでパスワードの認証を行います。
  • 認証が無事成立しログインが行われるとサーバは先程の100回暗号化された暗号化パスワードを削除し、代りにユーザから渡された99回暗号化されたパスワードを保存します。
  • このためパスワードは一度しか使うことができません。
  • 次回ユーザがログインするときは暗号化を98回行ってサーバに渡します。

このような行程を行うことにより、サーバには毎回異なる暗号化パスワードが保存されるため、セキュリティの向上を果たすことができます。

ふむふむ。さてさて、これをふまえてですね。例示しつつ問題の整理をしたいと思います。

  • 事前にサーバは、ユーザkanataのパスワードとSeedを基に99回ハッシュ関数を通したものを保存(P99)しておく。その際、シーケンス番号を99として別途保存(m=99)しておく。Seedも保存しておく。
  • サーバはユーザID(kanata)を受け取ると、次の情報を送信する。

  • ワンタイムパスワードの要求

  • シーケンス番号 98 (99から1引いて送る)

  • Seed

  • クライアントは上記の情報を受け取ると次の処理を行う。

  • 自分のパスワードと受け取ったSeedを基に98回ハッシュ関数を通す(P98)。

  • P98をワンタイムパスワードとして、サーバに送信する。

  • P98を受け取ったサーバは次の処理を行う

  • P98をもう一度ハッシュ関数に通す。(P99)

  • サーバで保管していたP99と比較する。

  • 比較して同一であった場合は認証する。更に以下の処理を行う。

  • サーバは保管していたP99を破棄し換わりにP98を保管する。

  • サーバは保管していたシーケンス番号を1減じて保管する。(m=98)

  • 以上を認証の度に繰り返す。(mが1になるまでは認証が可能ですね)

で、問題の【 b 】なんですが、ここに入れるのは、

  • P98をもう一度ハッシュ関数に通す。(P99)
  • サーバで保管していたP99と比較する。

を数式で表したものです。g(P98)=P99ですな。

最後に問題文中の数式の整理をして終わります。

パスワード:PassWord
シード(無作為な小さめの整数が一般的):Seed
ハッシュ関数:g()
秘密情報:s      s = g( PassWord + Seed )
P1:  P1 = s
P2:  P2 = g(s)
P3:  P3 = g(g(s)) = g(P2)
P99: P99 = g(P98)
シーケンス番号(ハッシュ化した回数として用いる):m

参考URL

S/keyとワンタイムパスワード
http://www.jaist.ac.jp/iscenter/fep/s-key.html


設問3
(2)暗号を解かなくとも,同じキーストリームを使っていることが判明してしまう理由を,30字以内で述べよ。

解答

WEPキーは固定値で,IVは暗号化されずに書き込まれるため

喉と心が乾いております。また数学ちっくな嫌な問題です(汗)。

解答を見てみると・・・そりゃそうなわけで、しかも問題文に答え書いてあるって言っても過言じゃぁないんだよね。でも問題解こうとしたのに解答が書けなかったのは、自分は問題として何を求めているか読み取る力がなかったのか・・・・・?

うがぁ!無理だぁあああああばばばばばばば。日本語難しい。。

無線LANのセキュリティ対策であるWEPについて述べています。かねてからWEPの脆弱性は指摘されていますが、ここで今一度整理しおきましょう。

  • WEPキーについて

  • ESS-IDと同義?ではないと思うが同じものと思っても差し支えない。PCとアクセスポイントで同じESS-IDを予め決めて設定しておく

  • ESS-IDは予め決めておくものなので固定であり、変更するということはアクセスポイントとその配下の全PCの設定変更の必要がある。(一定時間ごとに変更なんて事は現実的には不可能に近い)

  • 実はESS-IDにANYと設定しておくと通信できる。(最近は拒否できる製品が多いが)

  • IVについて

  • seedだと思って差し支えない

  • でもこのseedは暗号化されていない

  • IVは結構短い24bit固定⇒約1億6700万

  • 何がヤバイかと言うと

  • 同じキーストリームのパケットが2つあるとする

  • 問題文中で言う_暗号化データ_は「キーストリーム XOR 平文」で算出されている。

  • XORの特徴は A XOR B = C とすると A XOR C = B と B XOR C = A が求まるのだ。

  • 同じキーストリームのパケットAの暗号化データとパケットB暗号化データのXORをとると平文Aと平文BのXORと同じ値が算出されてしまう(びっくりドンキー脆弱性)!

  • つまるところ一方のパケット内容が解るともう一方が解読できてしまう。

  • パケットの中にはそりゃぁ予想しやすいデータは多数含まれている可能性が高い。http://wwwとかね!

  • 同じキーストリームがもっとあった場合

  • そりゃぁもぅ比べ放題です(笑)。

後は、参考URLを読むべし。疲れたわ・・・

参考URL

第66回:WPAで無線LANはどう変わるのか?~その1 WEPの弱点とWPAのしくみ~
http://bb.watch.impress.co.jp/cda/shimizu/3084.html

特別講座<無線LAN Hack編>
http://akademeia.info/main/lecture1/tokubetu_musen_lan.htm


設問3
(3)WEPのパケット偽造攻撃は,あて先IPアドレスだけを詐称しても成立しない。この攻撃が成立するために,ほかに変更する必要がある情報を,変更内容も含めて,25字以内で述べよ。

解答

送信元MACアドレスを,詐称するアドレスに変更する

問題文中で触れているのは以下の部分のみです。

D氏:はい,そうです。はかにも,考慮する点があります。例えば,暗号を解かなくても伝送フレームを改ざんできる場合があります。つまり,WEPの伝送フレームを入手し,これに含まれるIPアドレスを変更して無線LANサービスのアクセスポイントに送ると,変更したIPアドレスあてに平文データを送信する攻撃(以下,パケット偽造攻撃という)が成立する可能性があります。

前提知識として、WEPだと容易にパケットを偽造できる(そしてその方法)を知らないと解答するのは難しいのかな?非常に解りにくく書かれているような気がしますが、整理すると

悪い人が偽造パケットを送れる

っちゅーことだと思います。

で、やり方なんですが、ズバリどっかからの抜粋w

無線LANのMACアドレスを偽造する場合には、MACアドレスに対するブルートフォースではなく、許可された正規のMACアドレスを傍受してから、それをそのまま利用します。通常、許可されたMACアドレスを持つステーション(PC+無線LANカード)の通信はWEPにより暗号化できますが、MACアドレスが802.11の制御プロトコルの一部として流れる場合は、暗号化の対象とはなりません。例えばNetStumblerではアクセスポイントのMACアドレスしか見えませんが、別の無線LAN用のソフトウェアを使用するとステーションのMACアドレスまでも表示するので、私が実際にペネトレーションを試したところ5分程度で侵入可能でした。その程度のセキュリティと考えていただいた方が良いでしょう。もちろん、正規のステーションが通信をしていない場合には待つしかありませんが。

それでは、WEP伝送フレームをひとつ傍受したという前提で、フレームの中身を調べてみましょう。

  • 送信先MACアドレス

  • アクセスポイントのMACアドレス

  • 送信元MACアドレス

  • どっかのパソコンのMACアドレス

  • 送信先IPアドレス

  • (但し暗号化されている)

  • 送信元IPアドレス

  • (但し暗号化されている)

このフレームを制御プロトコルと装って改竄します!

  • 送信先MACアドレス

  • アクセスポイントのMACアドレス

  • 送信元MACアドレス

  • どっかのパソコンのMACアドレス

  • 送信先IPアドレス

  • 送りたいIPアドレス(暗号化しなきゃいけない気もするけど・・・問題を問題視しないw)

  • 送信元IPアドレス

  • なんでもいい。っていうかどうでもいい(考慮しない)。

・・・送れてしまいそうです。いろんな参考書や過去問集を立ち読みしましたが、みな**送信元MACアドレスの詐称**と書いています。理由はアクセスポイントが**MACアドレスフィルタリング機能**を持っているから~。なんて嘯いていましたが、フレームを**盗聴**したのが前提であれば、そのMACアドレスを変更なんてする必要なく(だって許可されてるMACアドレスなんだから)詐称するとかえってMACアドレスフィルタリング機能によって拒否られる可能性があります。いっこだけ、面白い解答をしている参考書がありました。**チェックサムを適切なものに書き換える**です。チェックサムはIPヘッダの中にあってIPヘッダ自体もチェックの対象になりますから、当然書き換える必要があります。・・・するとよく考えたらその下位層のIEEE802.11のヘッダもそういうのが付いていました。FCSです。ここも書き換えなきゃならんのでしょう。。

よって僕が納得いく解答を考えてみました。

いちばんしっくりくる解答

FCSを偽装後のフレームから再計算した値に変更する(25)

問題文中の図にFCSの記述があるのでこれが妥当な気がするんですが・・・

次にしっくりくる解答

IPヘッダのチェックサムを再計算して変更する。(23)

次に納得いくのがこれ、偽造するならIPパケットを複合して書き換えてまた暗号化しなきゃならないような気がするんですが、問題文中には_暗号を解かなくても_と書いてあるので????(矛盾してるような・・??)。IPアドレスはただ書き換えるみたいなので問題を問題視しなければこの解答でもよいと思います。

全然意味わかんないけど・・・

送信元MACアドレスを,詐称するアドレスに変更する(25)

どうだべ?意見求む。っていうか問題作った人はここまで考えてたのか?違う気がする。。。

参考URL

~IEEE802.11のMACフレーム
http://koba.to/wireless/wireless/frame.html
無線LAN|基礎知識
http://www.allied-telesis.co.jp/products/list/wireless/knowl.html
@IT会議室 件名:無線による有線LANの盗聴は可能
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=4116&forum=14&start=8&15


設問4
(4)SSLを使用した場合に,ハイジャック攻撃の成立が比較的困難な理由を,社

員の識別が行われた後にクライアントとリバースプロキシサーバ間で共有される情報に着目して,40字以内で述べよ。

解答

セション維持のためのクッキー情報などがSSLで暗号化されているため

です。難しい事は無いです。ですがちょっとだけSSLについて整理してみましょう。

PC------ISP------ROUTER------FW------PROXY-------GS
← internet ~backborn LAN? →← DMZ →←社内LAN →
←―――――――SSL(HTTP)――――――→←認証情報→
←―――セションID又はクッキー ―――→←認証情報→
←―――――――暗号化 ―――――――→←―平文―→

だと推測されます。以下、引用。

次期システムの認証には,サーバ側の証明書だけを使用したSSLを適用して,社員のパスワードを検証する方法をとることにした。このSSLやパスワードの検証などの機能については,各サーバで独立に実装すると,業務APの開発効率や社員の利便性が低下すると考え,リバースプロキシサーバで実装することにした。リバースプロキシサーバは,GSと業務サーバに対して,認証結果を環境変数などに格納して通知するので,シングルサインオンが実現されて社員の利便性が向上する。また,GSと業務サーバは,リバースプロキシサーバを介するときだけブラウザと通信するので,社内LANに配置することができる。その結果,次期システムの安全性が確保でき,運用性も向上する。

ちなみに、リバースプロキシとは、**接続先が固定のプロキシの事です。**そのプロキシ経由だと必ず、あのサーバへ。みたいな。

参考URL

ネットワーク攻撃関連用語集
http://www.geocities.jp/bruce_teller/security/attack.htm
SSLアクセラレータ - 基礎講座
http://www.keyman.or.jp/search/a_30000073_1.html?banner_id=1
IT用語辞典 e-words リバースプロキシ
http://e-words.jp/w/E383AAE38390E383BCE382B9E38397E383ADE382ADE382B7.html

メモ

無事合格したので更新停止

Add picture from clipboard (Maximum size: 100 MB)