2014年10月24日金曜日

ネットワークスペシャリスト 答え合わせ(TAC編 午後II)

【午後II】
問1
設問1
a:URL○
b:HTTP○
c:FQDN×
d:パターンマッチング×
e:パススルー×

[感想]
cはSPFの話題の一環として捉えるとTACの解答のIPアドレス、一般論的なドメイン判別のコツについての話題として読むとITECのFQDNが正解になる。ここでは一応TAC解答ベースに採点するので×としました。
6点/15点

設問2
(1)関係者からのメールと誤認して添付ファイルを開いたり、本文リンク先にアクセスする。○
(2)エンベロープのMAILFROMに記録された送信元ドメインとメールヘッダの送信元ドメイン。○
(3)Y社から社外へのメールはメール中継サーバを介して行われるから。△
(4)メール中継サーバ○
  インターネット上のDNSサーバに問い合わせる必要があるから。×

[感想]
(3)はTAC解答だとグローバルIPアドレスが必要になりそうなので△
(4)は部分点ありそうだけど、辛めに×としました。
13点/19点

設問3
(1)PCとWebサーバ○
(2)プロキシサーバを信頼するCAとする情報×
(3)プロキシサーバはサーバ証明書1に含まれる公開鍵と対の秘密鍵を持っていないから。○

[感想]
(2)は△だと思うけど、一応×に。
8点/12点

設問4
(1)P3 IN○、P5 OUT○
(2)本社部署1と本社サーバセグメントの疎通テストのため。○
(3)許可、192.168.1.0/24、192.168.11.0/24、UDP、any、53、any○
(4)本社部署1セグメントから管理セグメントに対するTCPコネクション確立要求は禁止されるが、管理セグメントから接続されたTCP通信は許可される。○

[感想]
この問題は辛めにみても△にはならないでしょう。
34点/34点

設問5
(1)PCを使用している職員の情報及びSSL通信で暗号化されているデータ。○
(2)本文中のリンクへのアクセスおよび添付ファイルの開封をしないこと。○
  発見後ただちにセキュリティ担当者へ連絡すること。○
  PCからLANケーブルを抜き、そのまま操作せずに置いておくこと。×
(3)不審な通信の早期発見による障害の防止、軽減効果。○

[感想]
(1)はTAC解答だと正解ですね。ITECのは絶対おかしい。
16点/20点

77点
まぁ午後IIは大丈夫でしょう。

2014年10月23日木曜日

ネットワークスペシャリスト 答え合わせ(TAC編 午後I)

TACも来ました。配点予想付きなので、点数も出してみる。

午後I
【問2】
設問1
ア:NAPT○
イ:ステートフル○
ウ:データリンク○
エ:RARP×
オ:タグ○

[感想]
TACはウがデータリンクですね。それだと嬉しいけど、物理な気がする。
12/15点

設問2
(1)FW1とFW2×
(2)コネクションの管理×
(3)障害時にFW1とFW2の間を流れるフレームをSW2のミラーポートから出力して解析するため。×
(4)MACアドレステーブル○
(5) a:DNSサーバ、Webサーバ、ルータ○
   b:FW1から設定情報が同期されたこと○

[感想]
TAC解答だと(3)が△または○になりそうですが、×で計算してみます。
12/25点

設問3
(1)SW4とL3SW○
(2)企画部用の仮想FWをFW1に、営業部用の仮想FWをFW2に配置する。○

[感想]
ここはきっと大丈夫。
10/10点

[問3]
設問1
ア:分散○
イ:フラッド○
ウ:再起×
エ:リフレクション○
オ:ペネトレーション○

[感想]
漢字が悔しい。違和感感じたのになぁ。
12/15点

設問2
(1)踏み台○
(2)インターネットからのICMPエコー要求パケットを廃棄する。△

[感想]
(1)やっぱり「踏み台」じゃん。
(2)は合ってると思うけど、ITECとTACが両方「設定サイズ以上」を入れてきたので△としてみました。
5/8点

設問3
(1)DNSキャッシュポイズニング○
(2)上からDNS-P、DNS-C、DNS-S、DMZのDNS-PからDNS-Sに点線×
(3) ①FWに記録されるログを定期的に検証する。△
   ②データベースからインターネットへのパケットを廃棄する。△

[感想]
(3)は何とも言えないけど、両方で半分ぐらいはあるかな、という計算でとりあえず。
8/17点

設問4
(1)インターネットから切断する。○
(2)同様のサイバー攻撃に対する防御手段を検討、実施する。○

[感想]
趣旨が一緒なので大丈夫でしょう。
10/10点

自己採点では69点でした。まぁ、発表時のドキドキ感を味わうことにしましょう。

ネットワークスペシャリスト 答え合わせ(ITEC編 午後II)

【午後II】
問1
設問1
a:URL○
b:HTTP○
c:FQDN○
d:パターンマッチング× コンテンツフィルタリング○
e:パススルー× トンネル○

[感想]
dは色んな文言が入りそうですけど、部分点ないかな?

設問2
(1)関係者からのメールと誤認して添付ファイルを開いたり、本文リンク先にアクセスする。○
(ITEC メール中のURLへアクセスしたり、添付ファイルを開いたりすること)

(2)エンベロープのMAILFROMに記録された送信元ドメインとメールヘッダの送信元ドメイン。○
(ITEC メールヘッダの送信者メールアドレスのドメインと、Receivedヘッダのメールサーバのドメイン)

(3)Y社から社外へのメールはメール中継サーバを介して行われるから。○
(ITEC 社外宛てのメールは、メール中継サーバが転送するから。)

(4)メール中継サーバ○
  インターネット上のDNSサーバに問い合わせる必要があるから。△
(ITEC 社外から直接SMTPコネクションが張られるサーバだから)

[感想]
(4)以外は同じことを言っているので大丈夫でしょう。(4)は視点が逆だけど、趣旨は一緒だと思いますが、どうでしょう?

設問3
(1)PCとWebサーバ○

(2)プロキシサーバを信頼するCAとする情報△
(ITEC プロキシサーバの自己署名証明書)

(3)プロキシサーバはサーバ証明書1に含まれる公開鍵と対の秘密鍵を持っていないから。○
(ITEC プロキシサーバには秘密鍵がなく、プリマスタシークレットを複合できないから。)

[感想]
(2)は証明書を持っているだけではダメで、信頼されたルート証明機関へのインストールが必要なので、こういう解答としてみました。ITECのだと記述不足だと思うんだけどなぁ。

設問4
(1)P3 IN○、P5 OUT○

(2)本社部署1と本社サーバセグメントの疎通テストのため。○
(ITEC 業務用通信区間における疎通テストを行うため。)

(3)許可、192.168.1.0/24、192.168.11.0/24、UDP、any、53、any○

(4)本社部署1セグメントから管理セグメントに対するTCPコネクション確立要求は禁止されるが、管理セグメントから接続されたTCP通信は許可される。○
(ITEC 本社部署1から管理PCへはTCPコネクションを開始できないが、管理PCから本社部署1へはリモート接続を許可すること)

[感想]
わーい。完璧。

設問5
(1)PCを使用している職員の情報及びSSL通信で暗号化されているデータ。△
(ITEC プロキシサーバの利用者認証に成功した利用者IDがアクセスしたURLと、失敗した利用者IDのログ)

(2)本文中のリンクへのアクセスおよび添付ファイルの開封をしないこと。○
  発見後ただちにセキュリティ担当者へ連絡すること。○
  PCからLANケーブルを抜き、そのまま操作せずに置いておくこと。×
(ITEC 不審なメールを受信したらセキュリティ担当に連絡する。
不審な添付ファイルの実行やURLへのアクセスをしない。
差出人の詐称が疑われるときは電話などで直接相手に確認する。)

(3)不審な通信の早期発見による障害の防止、軽減効果。○
(ITEC マルウェアやバックドアの通信の存在を早期に発見できる。)

[感想]
(1)は納得いかない。SSLの複合機能によって得られるものについて触れなくていいの?
(2)LANケーブルはまぁ、「発見」だからねぇ。

合格点は問題なくあるでしょう。
やっぱり午後Iがポイントか・・・

2014年10月22日水曜日

ネットワークスペシャリスト 答え合わせ(ITEC編 午後I)

IPAの午前解答とITECの解答が出たので答え合わせ。

午前I
25/30 83%
午前II
23/25 92%
思ったよりも良かった。
午後IIは結構手ごたえがあったので、やはり午後Iが勝負な気がする。

午後I
【問2】
設問1
ア:NAPT○
イ:ステートフル○
ウ:データリンク× 物理○
エ:RARP× GARP○
オ:タグ○

[感想]リンクランプってL2層死んでいても、通電していれば点くんですね・・・

設問2
(1)FW1とFW2× SW3とL3SW○
(2)コネクションの管理× TCPの再送機能○
(3)障害時にFW1とFW2の間を流れるフレームをSW2のミラーポートから出力して解析するため。×
フェールオーバーリンク用の物理ポートが故障した時に、どちらのFWが故障したか判断できること。○
(4)MACアドレステーブル○
(5) a:DNSサーバ、Webサーバ、ルータ○
   b:FW1から設定情報が同期されたこと○

[感想]やばい(4)と(5)しか合ってない。(2)と(3)少しでも部分点・・・無理か。

設問3
(1)SW4とL3SW○
(2)企画部用の仮想FWをFW1に、営業部用の仮想FWをFW2に配置する。○
(ITEC解答)企画部用の仮想FWと営業部用の仮想FWが、異なる物理FWでActiveになるように配置する。

[感想](2)は○として大丈夫でしょう。

[問3]
設問1
ア:分散○
イ:フラッド○ (ITEC Flood)
ウ:再起× 再帰○
エ:リフレクション○ (ITEC アンプ)
オ:ペネトレーション○

[感想]フラッドは大丈夫でしょう。リフレクションもIPAがH21春の情セキュ解答の講評で「DNS Reflection攻撃」と言っているので大丈夫でしょう。

設問2
(1)踏み台× 加害者○
(2)インターネットからのICMPエコー要求パケットを廃棄する。○
(ITEC 設定したサイズ以上のICMPパケットを破棄する機能。)

[感想](1)は納得いかない。脆弱性を突かれて加害者になることはIT用語的には「踏み台」の方が適切じゃないかなぁ。
(2)は公開サーバをPING非応答にすることはメジャーなセキュリティ対策として知られているから、多分大丈夫。

設問3
(1)DNSキャッシュポイズニング○
(ITEC キャッシュポイズニングの被害を受ける)
(2)上からDNS-P、DNS-C、DNS-S、DMZのDNS-PからDNS-Sに点線×
(ITEC 上からDNS-S、DNS-C、DNS-S、内部のDNS-PからDMZのDNS-S(2台)に点線)
(3) ①FWに記録されるログを定期的に検証する。
   ②データベースからインターネットへのパケットを廃棄する。
(ITEC ①破棄した通信だけではなく、許可した通信のログも取得すること。)
(ITEC ②不正なサイトのIPアドレスへの通信を破棄すること。)

[感想](2)は2ch内でも意見が分かれていますね。公開DNSをプライマリ無しで運用なんてするんだろうか。あと、内部からDMZにゾーン転送するということは、外部非公開のドメイン名やFQDNが知れてしまうことにならないんですかね。
(3)の①も「内部から外部への不正な通信を発見または防止」の趣旨に合わないと思うんですが。
評価が難しいから保留。(2)と(3)が両方0点だとやばい。

設問4
(1)インターネットから切断する。○
(ITEC 被疑機器をネットワークから切断)
(2)同様のサイバー攻撃に対する防御手段を検討、実施する。○
(再発防止策を策定し、対応手順へ反映、周知を行う。)

[感想]趣旨が一緒なので大丈夫でしょう。
ちなみに(1)で機器を指定しなかったのは、原因の特定前だから、感染機器も特定できていないと解釈し、ならまずインターネットから切り離すことでしょ、となったわけです。

うーん。60点ぐらいはありそうな気もするが、楽観はできない、ってとこ?

2014年10月19日日曜日

平成26年度 秋季 ネットワークスペシャリスト

平成26年度 秋季 ネットワークスペシャリスト
受験してきました。

【午前I】
初出の問題が多かった気がしますが、6割は余裕で行ったでしょう。
まだ採点してませんが、7割ぐらいはあるでしょうか?

【午前II】
専門択一である午前IIですが、午前Iより簡単でした。
こっちは8割行ったか?

【午後I】
問2問3を選択。問2が難しかった。問2が6割あれば大丈夫だと思うが・・・

[問2]
設問1
ア:NAPT イ:ステートフル ウ:データリンク エ:RARP オ:タグ
設問2
(1)FW1とFW2
(2)コネクションの管理
(3)障害時にFW1とFW2の間を流れるフレームをSW2のミラーポートから出力して解析するため。
(4)MACアドレステーブル
(5)a:DNSサーバ、Webサーバ、ルータ b:FW1から設定情報が同期されたこと
設問3
(1)SW4とL3SW
(2)企画部用の仮想FWをFW1に、営業部用の仮想FWをFW2に配置する。
[問3]
設問1
ア:分散 イ:フラッド ウ:再起 エ:リフレクション オ:ペネトレーション
設問2
(1)踏み台
(2)インターネットからのICMPエコー要求パケットを廃棄する。
設問3
(1)DNSキャッシュポイズニング
(2)上からDNS-P、DNS-C、DNS-S、DMZのDNS-PからDNS-Sに点線
(3) ①FWに記録されるログを定期的に検証する。
   ②データベースからインターネットへのパケットを廃棄する。
設問4
(1)インターネットから切断する。
(2)同様のサイバー攻撃に対する防御手段を検討、実施する。

【午後II】
問1を選択。パケットフィルタリングと標的型メール攻撃が実務直撃だったので、手ごたえとしては十分ですが、はて。
設問1
a:URL b:HTTP c:FQDN d:パターンマッチング e:パススルー
設問2
(1)関係者からのメールと誤認して添付ファイルを開いたり、本文リンク先にアクセスする。
(2)エンベロープのMAILFROMに記録された送信元ドメインとメールヘッダの送信元ドメイン。
(3)Y社から社外へのメールはメール中継サーバを介して行われるから。
(4)メール中継サーバ
  インターネット上のDNSサーバに問い合わせる必要があるから。
設問3
(1)PCとWebサーバ
(2)プロキシサーバを信頼するCAとする情報
(3)プロキシサーバはサーバ証明書1に含まれる公開鍵と対の秘密鍵を持っていないから。
設問4
(1)P3 IN、P5 OUT
(2)本社部署1と本社サーバセグメントの疎通テストのため。
(3)許可、192.168.1.0/24、192.168.11.0/24、UDP、any、53、any
(4)本社部署1セグメントから管理セグメントに対するTCPコネクション確立要求は禁止されるが、管理セグメントから接続されたTCP通信は許可される。
設問5
(1)PCを使用している職員の情報及びSSL通信で暗号化されているデータ。
(2)本文中のリンクへのアクセスおよび添付ファイルの開封をしないこと。
  発見後ただちにセキュリティ担当者へ連絡すること。
  PCからLANケーブルを抜き、そのまま操作せずに置いておくこと。
(3)不審な通信の早期発見による障害の防止、軽減効果。

2014年10月16日木曜日

ネットワークスペシャリスト 午前総復習中

午後問題に取り組みすぎて3か月前の午前の勉強が記憶から消去されているので、
間違えた問題のキーワードを列挙するとか何とかこれも自分用で価値が無いので
他の人は見ても意味がない感じ。

・妥当なxml文書
・再入可能と逐次再配置可能
・RPC
・タスクのディスパッチ
・バブルソート、シェルソート、クイックソート、ヒープソート
・相関係数
・スーパパイプライン、スーパスカラ、VLIW
・MVCモデル
・フェールセーフとフェールソフト
・インスペクタ、トレーサ
・回顧法、思考発話法、認知的ウォークスルー、ヒューリスティック評価法
・SMIL、SVG
・コーパス、アーカイブス
・トランザクションの一貫性、原子性、耐久性、独立性
・ETL、OLAP、データマイニング
・CORBA、DCOM、SOAP
・ソフトウェア品質特性(機能性、信頼性、使用性、効率性、保守性、移植性)
・レビュー(インスペクション、ウォークスルー、パスアラウンド)
・決定表、構造化チャート、状態遷移図、制御フロー図
・CMMI開発モデル
・WBS、ガントチャート、PERT図
・EVM
・パレート図
・品質計画、品質保証、品質管理
・KPI、KGI
・ROI
・BPO、BCP、BPR、BSC
・EA
・ERPパッケージ
・SOA
・SaaS
・3C分析、SWOT分析、バリューチェーン分析、ファイブフォース分析、PPM
・RFI、RFP
・クラスタ分析法、指数平滑法、デルファイ法、モンテカルロ法
・XBRL
・コアコンピタンス
・3PL、ASP、EMS、SCM
・EDINET
・OC曲線
・IFRS
・ATM、フレームリレー
・ZigBee
・アドミッション制御、シェーピング、ポリシング
・FDM、WDM
・マルチリンク手順
・スペクトラム拡散
・MOS値、R値
・HTTPダイジェスト認証、ベーシック認証

2014年10月4日土曜日

パッシブモードのFTPS通信のFWの設定

FTP&FTPS鯖と通信試験を行ったとき、FWで20、21、989、990だけ開けていたら、
・FTP→OK
・FTPS→SSLと制御コネクションはOK、データコネクション失敗
となった。何でだろうと勉強したら、どうもこんな感じらしい。

1 パッシブ通信における鯖からのデータコネクションポート情報の通知はFTPパケットのペイロードに格納される。

2 FTPSはアプリケーションレイヤのペイロードはSSLで暗号化されるので、1の通知も暗号化される。

3 通常、FWはステートフルインスペクション機能により、通信開始以降のパケットはFWが通信の中身を見て、途中で通信ポートが変わるFTPパッシブモードなどでも動的にポートを開けてくれる。

4 ところが、FTPパッシブモードのように接続情報がアプリケーションレイヤのペイロードに格納される通信は、SSLで暗号化されてしまうとFWから見えなくなり、開けて良いポートが分からなくなってしまう。

5 なので、SSLのセッション確立(+FTPコンロトールセッション確立)は成功するが、データコネクションポート通信となるファイル一覧取得でポートが開いていないのでタイムアウトとなった。

なるほどねぇ。
とりあえず今回は特定の鯖だけなので、anyポート通過というおよそIT屋と思えない投げやりな解決をしましたが、どうするのがベターなのだろう。