ネットワークスペシャリスト試験 その12 過去問から学んだ覚えるべきことのまとめ
ブログを自分用の試験対策まとめノートみたいに使ってしまって気が引けますが、これを読み返すことで定型パターンや基本的な考え方、覚える語句をしっかり身に付ける目的として記載してみます。
完全に自分の備忘録としてですが、NW(ネットワークスペシャリスト試験)の過去問を解いていて記録した (覚えておきたい単語) と (覚えておきたい出題パターン) のまとめです。
※午後問題のみ
本試験までにこれくらいはすぐに解答として出せるように覚えてしまい、そこから更にネットワークの知識を深めたいと思います。
この試験は単純なパターン暗記だけでは絶対に合格できない試験だと思っていますが、過去に似たような観点の問題が出題されていたらノータイムで(迷わず)解答できるようになっておかないと時間内に問題回答ができず話にならないと思っていますので、ここで書いたことは早いところマスターしておきたいと思っています。
以下、過去問を新しい順に一問一答形式で自分でまとめて掲載します。
解答はすぐに見れないように反転して表示するようにしました。
※令和2年は新型コロナウィルスの影響で試験がありませんでした。
------------------------------------------------------------------------------------
(令和3年過去問より)
午後I
問1
(覚えておきたい単語)
・IPアドレスを端末に通知するサーバは?:
DHCPサーバ
・アプリケーション層に属するプロトコルで、REST APIで使用するものは?:
HTTP (もしくはHTTPS)
・LLDPが属するプロトコルは第何層か?:
2
・MIBの情報を取得するプロトコルは?:
(覚えておきたい出題パターン)
・MAXアドレステーブルに何も学習されていないL2SWに機器AがICMP Echo requestを流すと、そのL2SWはどのように転送するか?※スイッチの基本動作と考える:
L2SWの入力ポート以外の全てのポートに転送される。
・ルータA(RTとする)を使用する拠点に出荷する時、RTにRT管理コントローラをIPアドレスではなくFQDNで記述する利点は何か?:
RT管理コントローラのIPアドレスが変更された場合でもRTの設定変更が不要である。
・各拠点(各店舗)の端末から送られてくるログを受信するサーバを本社には設置できない理由は?
※本文のヒントから導出する問題。ヒントは「インターネットからルータに接続した機器はアクセスできない」「ルータに接続した機器とBPに接続した機器との間の通信はできない」
店舗から本社にはBP経由でしかアクセスできないから
問2
(覚えておきたい単語)
・Gateway に設定するIPsec VPN認証用に用いるのは事前( ):
共有鍵
・OSFPのリンクステートアドバタイズメント(LSA)のひとつでOSPFエリア内の情報を管理するのは( )LSAと呼ばれる:
ルータ
・OSPFのメトリック値は何とよぶ?:
コスト
・OSPFのアルゴリズムの名前は?:
(覚えておきたい出題パターン)
・FWが直接接続・スタティック(静的経路)・OSPFといった複数経路を持っているときOSPFエリアにある機器からインターネットへのアクセスを可能にするにはFWにどのような設定を行えばよいか?:
OSPFへデフォルトルートを導入する
・OSPFが複数の経路情報を一つに集約する機能を持つのはどのような目的のためか?:
ルーティングテーブルサイズを小さくするため
※ルータの負荷を軽減するため
・OSPFのエリアAとCは同じエリア。AとCの間にあるBだけ異なるエリア。この状態でC経由でAの機器をインターネットやネットワークに接続するにはOSPFどのような設定を行えばよいか?:
OSPF仮想リンクの接続設定を行う。
※エリアAとCの仮想リンクを確立させる
・OSPFエリア1に存在する(各支社)個別の経路を集約するにはどうすればよいか?:
OSPFエリア1の支社個別経路を 172.16.0.0/16 に集約する。
※経路集約を行う
問3
(覚えておきたい単語)
・音声データをIPパケット化してLAN上に流すとき、イーサネットフレームヘッダ(L2データ)、IPヘッダ(L3データ)に加えて、( )とRTPヘッダ(いずれもL4データ)が不可される。:
・IPパケット化された音声でトラブルが発生したとき、音声パケットは遅延または( )が発生していた。:
破棄 OR ドロップ OR 損失
・音声フレームにCoS値に対応したDSCP(Diffserve Code Point)値を、IPヘッダの( )フィールドにマーキングする。:
(覚えておきたい出題パターン)
・IP Phoneネットワーク(クラウドPBX)において音声信号がIPパケット化される通話はどのような通話か。:
拠点間の内線通話
・IP-GWが音声パケットのジッタ(ゆらぎ)を吸収するバッファを持っているが、そのバッファを大きく過ぎるとスムーズな会話ができなくなる。「パケット」という言葉を用いてその理由を述べよ。:
パケットの音声化遅延が大きくなるから
・PoE対応のL2SWにPoE未対応の機器を誤って接続した場合、PoEの機能に注目してどのような状態になるか述べよ:
L2SWからの給電が行われない。
・IP Phone (ITEL)のアップリンクポートにタグVLANを設定するが、レイヤ2のCoS値を基にした優先制御を行うためにタグVLANが必要になる。その理由を述べよ:
フレーム中のタグ情報内の優先ビットを使用するから
・音声フレームをキュー1、データフレームをキュー2に入れる。キュー1に音声フレームが残っていなくても、キュー1に入った音声フレームの出力が待たされるときがある。どのような場合か?:
データフレームが出力中の場合。
・パケットを音声パケット、Eパケット、Dパケットの3種類に分類して、それぞれDSCP値をマーキングする。なぜEパケットとDパケットを別々に分類するのか、目的を述べよ:
DパケットによるEパケット転送への影響を少なくするため。
午後II
問1
(覚えておきたい単語)
・外部から送信された名前解決要求をIPSが提供するフルサービスリゾルバに転送するのはDNS( )である。:
フォワーダ
・VRRPにおいて、片方のルータをマスタルータにするためにはルータの( )を大きく(小さく)設定する。:
プライオリティ値
・STPでルートブリッジを決定する要素(スイッチに設定する)を2つ答えよ:
ブリッジプライオリティ値
・STPのポートの役割名を3つ答えよ:
①ルートポート
②指定ポート
③非指定ポート
・ルートブリッジに設定するポート名を答えよ:
指定ポート
・STPでブロックされるときに使用されるポートを答えよ:
非指定ポート
(覚えておきたい出題パターン)
・RSTPがSTPよりトポロジの再構築にかかる時間を短縮できる理由を2つ答えよ(本文にヒントあり):
①ポート故障時の代替ポートを事前に決定しているから
②転送遅延がなく、ポートの状態遷移を行うから
・L3SWを2台スタック運用するときに運用負荷を軽減できる理由を答えよ:
2台のL3SWを1台のスイッチとして管理できるから
・スタックとリンクアグリゲーションによりSTPとRSTPが不要になる理由を答えよ:
ループがない構成だから
・DHCP DISCOVERメッセージを受け取ったスイッチが異なるサブネットのDNSサーバに依頼を転送するときに受信したインターフェースのIPアドレスを giaddrフィールドに設定して転送したのはなぜか?
PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
問2
(覚えておきたい単語)
・ OSPF / VRRP / BGP がピアリング先に定期的に送るメッセージ名を答えよ:
OSPF:Helloパケット
BGP :キープアライブ
(覚えておきたい出題パターン)
・通信の利用状況を調査するために行う単位時間当たりの通信料(ビット/秒)を求める際に時間平均することの問題点を答えよ。:
取得間隔の間で発生したバースト通信が分からなくなる。
・ルータAとルータBがそれぞれのループバックインタフェースに設定したIPアドレスを利用し、 iBGPのピアリングとしてそのIPアドレスを利用するのはなぜか(NICに設定した IPアドレスではなく)?:
ルータAとルータBは OSPFを構成するインタフェースが二つあり、迂回路を構成できるから
・BGPで隣接するASから経路情報を受信する際に、自身のAS番号が含まれている場合はその経路情報を破棄する。その理由は?:
経路のループを回避するため。
・BGPの標準仕様ではトラフィックを分散する経路制御はできない。そのBGPの標準仕様とはどのような内容か?
※完全な知識問題ではない。解答はほぼ本文から抜き出し
可能:
BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する。
・ルーティングテーブルに静的経路とBGPの動的経路が存在し、静的経路が削除された時点で動的経路による制御に切り替えが行われる理由を答えよ。※知識問題:
BGPの経路情報より静的経路設定の経路情報の方が優先されるから。
・回線の輻輳を検知するために、ICMPのPINGを利用した監視サーバの監視対象として、ルータAとルータBを追加することを考えたが、問題があるため見送った。その問題点について2つ挙げよ。
※知識問題・・・だが解答の切り口が見つけにくい:
①輻輳時にエコー応答を受信することがあり検知できない
②ルータAとルータBの障害時に誤って検知する
※「ルータAとBを対象にすることが問題」ではなく、ICMPの性質について問うていたことがわかりづらい設問
・管理サーバに保存されている統計データとは別のデータについても監視によりトラフィック異常とは別の異常を検知できることを確認した。どのようなデータを監視し、どのような異常を検知できるか?
※データに関しては本文にヒントあり。後半も本文抜き出しで回答できるが、そもそも何を訊いているかピンと来るはず
(データ)FWとプロキシサーバの通信ログデータ
(検知内容)単位時間あたりの通信ログデータ量が突発的に増えたり減ったりしたこと
------------------------------------------------------------------------------------
(令和元年過去問より)
午後I
問1
(覚えておきたい単語)
・ディスタンスベクタ型のルーティングプロトコルの代表は?:
RIP
・リンクステート型のルーティングプロトコルの代表は?:
OSPF
・パス(ASパス)と方向(ベクトル)を組み合わせたルーティングプロトコルの代表は?:
BGP (もしくはBGP4)
・OSPFで必ず存在しなければならないエリア番号0のエリアを何という?:
バックボーン
・VRRPのマスタルータが故障した際に、ブロードキャストして他機器のMACアドレスを更新するために新しくマスタとなったルータが送るパケット何という?:
GARP
ICMP
・SNMPが取得する管理データを何と言う?:
MIB
・SNMPが監視対象機器に対してデータを取得することを何と言う?
ポーリング
・監視対象機器からSNMPサーバに対して状態変更の通知を行うものは何か?
SNMPトラップ
(覚えておきたい出題パターン)
・静的なLAG(リンクアグリゲーション)ではなく自動でリンク管理するLACPを設定することにより、LAGを構成する回線の一本がきれたときに可能となることは?:
リンクダウンを伴わない故障発生時に、LAGのメンバから故障回線を自動で除外できる
・LAGを構成する回線一本が切れた場合に、切れた回線を含む同一LAGを構成するIF全てを自動的に閉塞するが、もし閉塞しなければどのような問題点があるか。「パケット」という言葉を用いて説明せよ。
(ヒント、LAGで回線冗長し、2Gビット/秒としている状況):
1Gビット/秒を超えたパケットが廃棄される。
・LAGを構成する回線の負荷分散(どの線を使用するかの決定)はハッシュ関数によって決定される。IPアドレスとポート番号ではなくMACアドレスをハッシュ関数の計算の元数値としたとき負荷分散がうまくいかない理由を答えよ。
(ヒント、MACアドレスの方は毎回同じルーティングルート):
通信の送信元を宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから
問2
(覚えておきたい単語)
・ラウンドロビン方式は処理を( )に振り分ける。:
順番
・HTTPリクエストのポート番号は?:
80
200
・Cookieを利用するときHTTPの( )ヘッダフィールドにセッションIDを追加する:
Set-Cookie
・上記のHTTPレスポンスを受け取った後、次に送信するリクエストについては( )ヘッダフィールドに追加する。
(覚えておきたい出題パターン)
・「利用者のWebブラウザ- WAF-FW―LB-Webサーバ」という接続で稼働しているとき、WAFが故障時も通信を成立させたい。そのためFWで行う設定は何か?
(ヒント、通常はFWでWAFからのHTTPSしか許可していない):
任意のIPアドレスからWebシステムへのHTTPS通信を許可する。
問3
(覚えておきたい単語)
・異なるセグメントにDHCPのサービスを提供するためにスイッチが持つ機能を答えよ:
DHCPリレーエージェント
(覚えておきたい出題パターン)
・全て静的ルーティングルートで構成されているネットワークにおいて新しいセグメントをL3スイッチに追加するとき、必要な設定内容は?:
新しい(対処用)セグメントのルーティング情報を追加する
午後II
問1
(覚えておきたい単語)
・SIP UA がPBXに対して位置情報登録を依頼する際に、SIPメソッドである( )を使ってリクエストを行う。:
REGISTER
・SIP UAがPBXに対して発信を行うときに使用するSIPメソッドは( )である。:
INVITE
・SIP UAのリクエストが成功してPBXが送信するレスポンスは( )である。:
200 OK
※失敗のときは ''401 Unauthorized''
・顧客が同じ閉域回線を共用するIP-VPNの技術は?:
MPLS
(覚えておきたい出題パターン)
・現行環境と新環境をLANの観点から分離したい。L3SWを用いてどのように実現するか?:
L3SWの新環境の収容ポートを新しいセグメントにして、現行環境の収容ポートとのルーティングを禁止する。
※VLANによって区分し、現行・新の間のルーティングをできないようにする
問2
(覚えておきたい単語)
・攻撃者が行う対象をしらべるためのスキャンの種類2つを答えよ。:
1.アドレス(ホスト)スキャン
2.ポースキャン
・TCPのヘッダを構成する4つを答えよ:
1.送信元ポート番号
2.宛先ポート番号
3.シーケンス番号
4.確認応答番号
・クローズのポート宛にTCPやUDPを送って返送されるパケットは?:
ICMP
(覚えておきたい出題パターン)
・ uRPF(Unicast Reverse Path Forwarding)でフィルタリングすると偽装されたパケットが到達することが少なくなる。どういう内容のフィルタリングか?:
ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを破棄する。
・メール中継サーバが、送信元偽装の目的で踏み台にされることを回避するために行う設定は?:
インターネット(外部)から受信した、当社のメールアドレス宛て以外のメールは中継処理しない。
・内部LANに侵入したマルウェアの活動を早期に検知するためにプロキシサーバ(ヒント:ユーザ認証を行う)とFWのログを定期的に検査することにした。プロキシサーバのログに、マルウェアの活動が疑われる異常な通信が記録されることがある。それはどうのような通信か?:
プロキシサーバでの認証エラーが短時間に繰り返されている。
------------------------------------------------------------------------------------
(平成30年過去問より)
午後I
問1
(覚えておきたい単語)
・社内に対してアクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的のプロキシサーバの機能を( )プロキシという:フォワード
・外部から公開サーバのコンテンツに直接アクセスさせることによる改ざんの防止、負荷分散、応答速度の向上のために用いるプロキシサーバの機能を( )プロキシという:
リバース
・HTTPSでアクセスするためのHTTPプロトコルのメソッド名をこたえよ:
CONNECTメソッド
・プロキシサーバを経由して送られた暗号化されたデータを復元しようとして出たエラーメッセージ’’証明書が信頼できない’’に対処するためにPCにインストールするものは何か?:
プロキシサーバのルート証明書
・SDNで用いられるデータプレーンと対になるプレーンは?:
コントロール
(覚えておきたい出題パターン)
・プロキシサーバで認証することによりアクセスログに付加できる情報は何か?:
利用者ID
・CONNECTメソッドを用いるとき、社内に侵入したマルウェアによる通信(HTTPS以外の通信)を遮断するためのプロキシサーバでの対策を答えよ:
HTTPS以外のポートのCONNECTを拒否する。
・SaaS-WANルータ―L3SWという形で接続されているとき、SaaSのIPアドレスが変更さてもL3SWの設定を変更しないで済むにはL3SWの静的経路情報(スタティックルート)をどのように設定すればよいか:
ネクストホップがWANルータとなるデフォルトルート
問2
(覚えておきたい単語)
ICMP
・Echo Requestパケットの宛先の機器に割り振る必要があるものは?:
・SYSLOGで用いるトランスポートプロトコルは?:
・SNMPのグループ名は?:
コミュニティ
・VRRPで冗長化しているものは、PCやサーバでは接続の対象として何の設定を行う?:
・VRRPがマスタルータからバックアップルータに切り替わるのはバックアップルータがあるメッセージを受け取らなくなったときである。そのメッセージ名は?:
VRRPアドバタイズメント
(覚えておきたい出題パターン)
・スパニングツリーが構成されたスイッチ群で、うち一台の接続が切れたがそのスイッチから監視サーバにSYSLOGが届かなかった。「スパニングツリー」という言葉を用いて理由を説明すると?:
スパニングツリーが再構築中だったから
・ポーリング(定期的に機器の情報を取得しにいく)でユーザの報告より先に異常を検知できなかった。その問題点は?:
5分ごとに状態を取得するので多くの場合異常検知が遅れる。
・トラップ(異常が起きたときに取得する通知で異常を検知する)で異常を検知できない可能性がある問題点は何か?:
到達確認がないのでメッセージが失われる可能性がある。
・SNMPインフォームは監視サーバにメッセージを送るとき応答確認を行う。STPで構成されたスイッチで接続の異常が発生したときに対応する動作はどういうものか?:
スパニングツリーが再構築するまでインフォームの再送信を繰り返す。
問3
(覚えておきたい単語)
・IP-VPNでCEルータからPEルータに送られるパケットに付与される固定長のタグ情報を何というか?:
ラベル
・IPSecが動作するのはOSI基本参照モデルの( )レイヤか?:
ネットワーク
・事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、用いられるパケット転送技術を何というか?:
MPLS
(覚えておきたい出題パターン)
・事業者閉域IP網内の利用者トラフィック中継処理においてタグ情報(ラベル)を利用する目的を答えよ:
利用者ごとのトラフィックを区別するため
・IPSecトンネル接続のルーティングはOSPFによって行われる場合、GRE over IPSecが利用されるが、その理由は?:
OSPFのマルチキャスト通信を通すため
※OSPFのリンクステート情報交換はIPマルチキャスト通信で行われる
・フルメッシュタイプの接続のIPSecトンネルのネットワーク構成において、追加拠点向けIPSecトンネルを手動で追加するのが望ましくない理由は?:
新拠点追加のときに全拠点の設定変更が必要になるから
・あるルータがOSPFで代表ルータ(DR)に選ばれないようにするため、そのルータに設定すべきことは?:
OSPFのプライオリティを0に設定する。
午後II
問1
(覚えておきたい単語)
・TLSの3機能を答えよ。情報を「 」する機能、情報の改ざんを「 」する機能、通信相手を「 」する機能:
暗号化、検知、認証
(覚えておきたい出題パターン)
・X社が保守している他社エリアからX社にTCPコネクションでデータが送られるとき、他社エリア内にあるFWによってなりすましや侵入を防ぐ対策は何か:
X社が運用・保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する。
・上記をTLSの機能を用い、顧客エリア内のデバイスに対して行う対策は何か:
クライアント証明書を配布してクライアント認証を行う。
・TCPの再送機能だけではメッセージの消失が防げないのはどういう場合か:
TCP送信処理中に、デバイスの電源断などでTCPコネクションが開放された場合
・WebAPの絶対URIはHTTPリクエストに含まれるURIと一致していなければならない。顧客向けのAPI利用ガイドラインには、この対策に必要な顧客への依頼事項があるがそれは何か:
WebAPのURIを固定にし、絶対URIを事前に通知してもらう。
・顧客ネットワークと自社ネットワークの間でNAT変換を行う状況において、顧客ネットワーク内に顧客サーバを追加したとき自社で必要な設定は何か(2つ):
①1:1静的双方向NATの設定をNATルータに設定する
②通信を許可するルールを通信装置内のFWに追加する
問2
(覚えておきたい単語)
・複数のスイッチを( )接続して一つのスイッチをして動作させる:
スタック
・アクティブなFWをスタンバイFWにセッション継承することを( )フェールオーバという:
ステートフル
・物理サーバの複数のNICを集約することを( )機能という:
(覚えておきたい出題パターン)
・複数の顧客の通信を扱うFW では複数の仮想FWを稼働させる必要がある。その理由は?:
①顧客ごとに異なるフィルタリングの設定が必要だから もしくは ②顧客ごとにルーティングの設定が必要だから
・FW2台を接続してアクティブ―スタンバイで機能させて冗長化させたとき、アクティブFWが切り替わるためにそれぞれのFWが監視する内容は?6つ答えよ
※アクティブFWは機器A、Bに繋がっている:
①スタンバイFWによるアクティブFWの稼働状況
②アクティブFWによる機器Aへの接続ポートのリンク状況
③アクティブFWによる機器Bへの接続ポートのリンク状況
④アクティブFWによるスタンバイFWの稼働状況
⑤スタンバイFWによる機器A'への接続ポートのリンク状況
⑥スタンバイFWによる機器B'への接続ポートのリンク状況
・サーバ内の仮想サーバの物理サーバ間移動のために必要になる複数の顧客のVLANはどのポートか?また設定するVLANの内容を答えよ:
物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する。
・OpenFlowコントローラとOpenFlowスイッチを通信させるためにOpenFlowスイッチにTCPコネクションの確立に必要な最小限の情報は何か?:
・仮想FWの設定で必要なネットワーク設定情報を6つあげよ:
①フィルタリングルール
②仮想FWのVLAN ID
③仮想FWのIPアドレス
④仮想FWのサブネットマスク
⑤仮想FWの仮想MACアドレス
⑥ルーティング情報
※仮想FWに限らずこれらをFWに設定する
・3つの物理サーバに3顧客の仮想サーバを分散して配置することにより発生する可能性がある問題を答えよ:
3顧客のシステムが同時に止まってしまう。
・上記の対処方法として取るべき仮想サーバの配置を答えよ:
3顧客向けの仮想サーバを、それぞれ異なった物理サーバに配置する。
・同一サーバ(同一セグメント)にあるFWとLBがOFSを経由せずに通信ができる理由を答えよ:
FWの内部側ポートとLBの仮想IPアドレスを持つポートは、同一セグメントであり、同じ物理サーバ内で処理されるから。
------------------------------------------------------------------------------------
(平成29年過去問より)
午後I
問1
(覚えておきたい単語)
・ハッシュアルゴリズムで十分な安全性を確保できないとされるハッシュアルゴリズムはMD5または、( )である。:
・TLS1.0 は安全性が確保できないのでバージョンが上のTLS( )以上を使用すべき:
1.2
・SSL/TLS のコネクション開設時にクライアント側からサーバ側に送られるメッセージは( )メッセージ:
Client Hello
・サーバ側からクライアント側に送られるメッセージは( ):
Server Hello
・SSL-VPNの基本動作は( )、ポートフォワーディング、L2フォワーディングの3方式がある。:
リバースプロキシ
①使用する暗号アルゴリズム=RSAなどの公開鍵の場合、用途を2つ答えよ:
認証、鍵交換
②使用する暗号アルゴリズム=AESなどの共通鍵の場合、用途を1つ答えよ:
暗号化通信
③使用する暗号アルゴリズム=SHA-256などのハッシュアルゴリズムの場合、用途を1つ答えよ:
メッセージ認証(改ざん検知)
問2
(覚えておきたい単語)
・一時的に大量の帯域を使用する現象を引き起こすトラフィックを何というか?:
バーストトラフィック
(覚えておきたい出題パターン)
・専用線(DVI)経由で本社と支店を結ぶとき 、支店で引かれていたインターネット回線を廃止する理由は?また情報セキュリティ対策上の利点は?:
※本文にヒントあり
(理由)インターネット通信は本社の仮想PCから行われるから
(利点)情報セキュリティ対策を本社で集中的に行うことができるから
・支店と本社間でDVIの画面転送通信と本社プリントサーバへのプリンタ出力通信指示の通信が混在しているとき、画面転送の操作性が悪化する場合がある。その原因は?:
プリンタ通信が画面転送通信を圧迫するから
・本社から支店方向の通信の帯域が各支店のアクセス回線の契約帯域を超過したときに、帯域制御装置がパケットに対して行う制御の内容を答えよ。※その制御は支店への複数クラスのパケットに対するシェーピングが可能である。:
送出タイミングを調整する
問3
(覚えておきたい単語)
・IPアドレスとポート番号の変換処理を( )という:
NAPT
・接続する相手を認証する方式として、両方の機器であらかじめ、( )と呼ばれる同じ鍵を共有する方式がある。:
事前認証鍵(PSK)
・BGPの概念で、特定のルーティングポリシーで管理されたルータの集まりを ( )という:
AS ※Autonomous System 自律システム
・BGP接続ではルータ間をトランスポートプロトコルのひとつである( )のポートを使用して経路情報の交換を行う。:
・Pingは( )※プロトコル名 のecho requestパケットを監視対象に送り、( )パケットが監視対象から返ってくることで到達性を確認する。:
ICMP、echo reply
(覚えておきたい出題パターン)
・ある状況下において通信の暗号化モードを選ぶとき、IPヘッダも暗号化対象とするトンネルモードではなく、IPヘッダは暗号化対象としないトランスポートモードの接続を選択する理由を、IPアドレスに着目して答えよ(ヒント:グローバルIPアドレスを用いて通信する):
暗号化対象の通信がグローバルIPアドレス間の通信だから
※プライベートIPアドレスの通信ならばトランスポートモードは使用できる
・MTUの値が1500だった場合(最大サイズ)、パケットサイズが暗号化によってそれ以上となったとき、ルータで発生する処理を答えよ:
フラグメントとリアセンブルの処理が発生する。
※最大値を超えるとパケットは分割されて送信され、受信側で再構成される
・冗長構成の通信方式でBGP(動的経路制御)を選択した場合、静的経路制御を用いる場合にはない利点を答えよ。:
BGPによって回線断や機器障害を検知し、トラフィックをう回できる。
・経路情報の交換を行う必要がないパッシブインターフェースの動作の特徴を答えよ:
Helloパケットを出さない。
・冗長化しているVPN接続AとBがあるとき、Aを優先(アクティブ)したい。その場合Bの設定はどうすればよいか?:
Bのコストを大きくする
・BGPとOSPFが入り混じった経路ルーティングがある。BGPからOSPFの経路情報がループしてしまうとき、経路のループを防ぐために必要な経路制御を答えよ。:
BGPからOSPFへ再配布された経路を再びBGPへ再配布しない。
・2つある冗長化したVPNトンネルがそれぞれの経路を監視している目的を答えよ:
ネットワーク接続の冗長構成が失われたことを検出するため。
午後II
問1 ※この問題はほとんど図表の解読力を即興で問う問題
(覚えておきたい単語)
・名前解決(DNS)で別名を適用するためのレコードの文字列は?:
CNAME
(覚えておきたい出題パターン)
・複数の接続可能なエッジサーバがあり、DNSクライアントが選択権を持っていてより適したエッジサーバを選択するのはどのような場合か?DNSクライアントはDNSフルリゾルバを経由する:
DNSクライアントとDNSフルリゾルバが、ネットワーク上で離れた位置にある場合
・クライアント―サーバ間の通信の間に、CDN(Contents Delivery Network:コンテンツ配信ネットワーク)を設けることにより解消されるTAT(Turn Around Time)の要因を二つ答えよ:
①サーバの処理能力不足
②クライアント・サーバ間の通信遅延
・ネットワークを拡張し、OFCを用いて自社のサーバリソースを自由にカスタムできるようにしたとき、障害復旧時間(RTO)を短縮できる要因をふたつ述べよ:
①転用する業務サーバに関する物理配線の変更が不要になる
②管理ソフトウェアを用いて、社内要員だけで対応できる。
※本文中にヒントあり
・国外に拠点をDRとして持っておくメリットは?:
国外を利用するので国内の広域災害の影響を回避できる。
問2
(覚えておきたい単語)
・80.211b = ( ) GHz ・ 最大( )Mビット/秒:2.4 , 11
・80.211g = ( ) GHz ・ 最大( )Mビット/秒:2.4 , 54
・80.211a = ( ) GHz ・ 最大( )Mビット/秒:5 , 54
・80.211n = ( ) GHz ・ 最大( )Mビット/秒:2.4 and 5 , 600
・80.211ac = ( ) GHz ・ 最大( )Gビット/秒:5 , 6.9
・無線LAN接続機能として( )での接続要求を拒否する機能がある:
any
・WEPはRC4暗号化アルゴリズムを使用した( )鍵暗号方式:
共通
・WPA2はAES暗号化アルゴリズムに対応し、IEEE( )準拠の方式:
802.11i
・WEPは1バイト単位の( )暗号であるRC4を使用してパケット暗号化を行う:
ストリーム
・WEPは( )のWEPキーが使用され続けるリスクがある:
同一
・WPAでは( )で動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末および( )の両者で生成される。:
認証サーバ
・TKIP暗号アルゴリズムは一時鍵、IV(Initialization Vector)、無線LAN端末の( )を混合してキーストリームを生成する:
・WPA2では事前( )の方法およびPMKの保持方法が規定されている。:
認証
・IEEE802.3at規格のPoE機能の呼称は?:
PoE+
(覚えておきたい出題パターン)
・APとクライアントPCの利用者認証を済ませた後はWLCを経由しないで通信できる仕組みにおいて、そのメリットを2つ答えよ。:
①WLCに通信の負荷が集中するのを抑制することができる
②認証後にWLCに障害が発生しても、その無線LAN端末の通信は継続できる
・無線通信において外来電波による悪影響を答えよ:
電波干渉によって、通信障害が発生する。
・周波数帯が異なる自社APのセル(カバー範囲)を重ねる理由を2つ答えよ:
①ハンドオーバーをスムーズに行わせるため
②APの負荷分散を行わせるため
・ダウンロードサーバがクライアント証明書を管理するとき、クライアントPCで必要となる情報を2つ答えよ:
①CAの自己証明書
②クライアントの秘密鍵
・無線LANAPでクライアント証明書を配布するときのセキュリティ上の問題を答えよ:
ダウンロードサーバの認証情報が漏えいすると、来訪者(第三者)もクライアント証明書などがダウンロードできてしまう。
・訪問者に無線LAN APを接続させるとき、知らせないといけない情報2つを答えよ:
①ESSID
②PSK
・ APとクライアントPCの利用者認証を済ませた後、WLCに障害が発生した場合、クライアントPCで発生する問題を答えよ。またその理由も答えよ。:
(問題)ハンドオーバができなくなる
(理由)クライアントPCに配布したPMKと認証関連情報がWLCで保持されているから
------------------------------------------------------------------------------------
(平成28年過去問より)
午後I
問1
(覚えておきたい単語)
・メールをどのメールサーバに転送するとき参照する資源レコードを( )レコードという:
MX (Mail Exchanger)
・SMTPプロトコル上でユーザ認証を行う方式を何というか?:
・TCPの587番ポートで、メールを送信するためのポートを何という?:
サブミッションポート
・POP3のポート番号は何番?:
110
HELO(EHLO)
・SMTP通信中に送信元ドメインが得られるSMTPプロトコルのコマンドは(送信元メールアドレスの通知)?:
MAIL FROM
・SMTP通信中の宛先メールアドレスのSMTPプロトコルのコマンドは?:
RCPT TO
・SMTP通信中のメール本文送信のSMTPプロトコルのコマンドは?:
DATA
(覚えておきたい出題パターン)
・自社ドメイン以外への宛先へ、メールを転送することを行えない設定はどのような情報セキュリティ上のリスクを避けるためか?:
不正メールの踏み台にされてしまうリスク
・SPF(送信元ドメイン認証)において、SPFレコードと照合される情報は何か?:
送信元メールサーバのIPアドレス
問2
(覚えておきたい単語)
・WPAの暗号化アルゴリズムは?:TKIP
・WPA2の暗号化アルゴリズムは?:AES
・無線LANの認証方式は( )認証である:事前共有鍵
・モバイルWifiルータに挿入する通信事業者が契約者を識別する情報が記録されているものは?:
・モバイルWifiルータに設定するゲートウェイの設定項目の名称は?:
APN(Access Point Name)
・モバイルWifiルータで行われるIPアドレスとポート番号の変換処理を何という?:NAPT
・プロキシサーバはタブレット端末からの( )要求によってHTTPSサーバへ情報を転送される:
CONNECT
(覚えておきたい出題パターン)
・無線APのSSIDを隠蔽するステルス機能の動作を答えよ:
定期的に送信するビーコン信号を停止する。
・無線APのステルス機能とMACアドレスフィルタリングを用いた対策でもSSIDやMACアドレスは容易に取得されてしまう。その理由を電波を用いて通信を行う無線LANの特性に着目して答えよ:
・ユーザがVPN接続用途の会社貸与のタブレット端末やモバイルWifiルータ、ハードウェアトークンを紛失したとき、ネットワーク管理者が取るべき行動を紛失したVPN接続の利用者IDに注目して述べよ:
VPN接続の利用者IDを停止する。
・プロキシサーバのログからユーザを特定するためにプロキシサーバに必要な機能名を答えよ:
プロキシ認証
・またそのための設定の内容を答えよ:
ユーザごとに利用者IDを登録する。
・HTTPSの場合、HTTPと比較して取得できるログの内容が限られる。HTTPSのRequest-URIから取得できるログの内容を2つ挙げよ:
①接続先ホスト名
②接続先ポート番号
※HTTPS接続のCONNECTメソッド内で接続先を指定するRequest-URIには接続先ホスト名(FQDNかIPアドレス)と接続先ポート番号の2つだけが含まれる。
問3 ※この大問はほぼネットワーク図の読解
(覚えておきたい単語)
・プライマリDNSがセカンダリDNSにゾーン情報を更新することを何という?:
ゾーン転送
・メールゲートウェイとメールサーバの間でメールが転送されるときに使用されるプロトコルの名称は?:
(覚えておきたい出題パターン)
・メールゲートウェイ(送信元)からメールサーバ(宛先)へのメール転送において、DNSラウンドロビンを用いても負荷の偏りが生じやすい。それが起きる条件とその理由は?※送信元の方が送信先より機器の台数が少ない:
(条件)送信元が少数の場合
(理由)送信元は、DNSキャッシュが生存している間、宛先を変えないから
・メールゲートウェイと通信しているメールサーバを更改する際に、双方を経由しているFWの設定を変更する必要がある。どのように設定変更するか?:
新メールサーバとメールゲートウェイとの間のSMTP通信を、双方向とも許可する。
午後II ※この大問はほとんど図表の解読力を即興で問う問題
問1
(覚えておきたい単語)
・システム切り替え時に問題発生時に行う手段として( )に要する時間を考慮すべきである。:
切り戻し
(覚えておきたい出題パターン)
・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、Webサーバが増えた場合FWの設定変更内容を2つ答えよ。LBでNAT変換している。:
①許可する通信を追加する。
②宛先NATに関する定義を追加する。
・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、インターネット回線(社外)を別々の会社の2回線に冗長化した。LBは通信の行きと戻りを同じISP経由にする。社外からWebサーバへのアクセス時に行きと戻りが同じIPSを経由しなかった場合に発生する問題を答えよ:
応答が行きの宛先IPアドレスとは異なる送信元IPアドレスから戻る。
問2
(覚えておきたい単語)
・SA(Security Association)の内容が確定すると、SAに関連付けされたSPI(Security Parameters Index)が( )ビットの整数値で割り当てられる。:
32
・SP(セキュリティポリシー)を選択するキーを( )と呼び、IPアドレス、プロトコル、ポート番号が利用される。:
・IPSecルータの両端が固定IPアドレスの場合は( )モード、動的IPアドレスを使う場合を( )モードを使う。:
メイン、アグレッシブ
・イーサネットインターフェースのMTUサイズを適正な値に変更することにより、パケットの( )を防げる:
断片化(フラグメンテーション)
・ライフタイムが終了してSAが消滅したあとに、SAを再作成する処理を( )という:
リキー(ReKey)
・IPパケットの最大長はMTUで表され、イーサネットの場合( )バイトである。:
1500
(覚えておきたい出題パターン)
・IPSecで認証する2つの対象を答えよ:
①通信相手のIPSecルータの認証
② 転送データの完全性の認証(データが通信中に改ざんされていないこと)
・Y社で検討中のIPSecルータは、OSPFの通常の設定では、リンクステート情報の交換パケットをカプセル化できない。その理由を答えよ。※ヒントとしてIPSec ではユニキャストのIPパケットをカプセル化して転送する。:
OSPFのリンクステート情報交換は、IPマルチキャスト通信で行われるから
・通信暗号化GRE(レイヤー3利用)とL2TP(レイヤー2利用)があり、いずれもマルチキャスト通信が可能。GREを利用する利点をL2TPを利用する場合として比較して影響の度合いを考慮して答えよ。※ヒントとして1パケットで転送するデータ量がGREの方が多い。:
カプセル化によるオーバーヘッドがL2TPより小さいので、一つのパケットで転送するデータ量が多い。
・ESP認証データ長はパラメータで選択された方式によって変換する。その理由を答えよ。※本文にヒントあり:
ESP認証データ長は、使用する認証アルゴリズムによって変化するから
・STPを使用しない形のネットワーク機器4台のループ構造(L3スイッチ、L2スイッチA、L2スイッチB、ルータ)でレイヤ2のループを発生させないためには、どのようにサブネットを設計すればよいか。L2スイッチAとL2スイッチBの設定で実現させよ:
L2スイッチAとL2スイッチBを異なるサブネットにする。
・支店にはVRRPで冗長構成されたルータが2台あり、支店のPCはそのルータを経由して外部のサーバにアクセスする。2台のルータを直接接続している接続が切れたとき、支店のPCの外部のサーバまでのアクセス経路を''VRRPのマスタルータ''という字句を用いて答えよ。※VRRPのマスタルータはどちらのルータかは本文からはわからない。:
どのサーバアクセスも、VRRPのマスタルータが稼働する機器に接続されたWAN回線を経由して行われる。
------------------------------------------------------------------------------------
(平成27年過去問より)
午後I
問1
(覚えておきたい単語)
・SSO(Single Sign On)の方式はサーバにソフトウェアモジュールをインストールして実現するエージェント方式とSSOサーバにおいて全ての通信の中継を行う( )方式がある。:
リバースプロキシ
・あるサーバへのサービス要求を別のサーバに向け直すことを( )という:
リダイレクト
・WebサーバがPCにCookieを受け渡す方法は送出されるHTTP応答パケットの( )ヘッダフィールドに属性を付与する。:
Set-Cookie
・PCからあるドメインへの認証リクエストの宛先がVIPアドレスとなるように( )サーバに設定する:
・SSOサーバが自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。そのためVIPアドレスを付与した( )インタフェースをSSOサーバに設定する。:
ループバック
・IPアドレス重複エラー検知に用いられるARPの名称を答えよ。※自分のIPアドレスに対するMACアドレスを解決する目的のARP:
GARP
(覚えておきたい出題パターン)
・WebブラウザからCookieが平文でネットワーク上に意図せず流れてしまうことを防ぐためにサーバがCookieを発行するために実施すべき方策を答えよ:
CookieにSecure属性を付ける。
・SYNパケットにはCookieなどのレイヤ7情報が含まれていないとすると、通信を振り分ける機器 (LB)はレイヤ7の情報を基にして振り分け先サーバを選定するような方式に対応できない。その理由を答えよ:
SYNパケットにはレイヤ7情報が含まれていないから
・同じVIP(Virtual IP address)がLBとSSOサーバに設定されてしまっているためARPによって重複エラーが検知された。SSOサーバに対してどのように設定すれば対処できるか:
VIPアドレスに対するARPリクエストに応答しないように設定する。
問2
(覚えておきたい単語)
・1秒当たりの転送データ量を( )という。転送量ではなく処理能力の面から答えよ:
スループット ※ビットレート ではない。ビットレートは転送量
・1秒当たりの転送の単位は転送( )数:
パケット
・FWの故障発生時にセッション( )ができない:
維持
(覚えておきたい出題パターン)
・FWがセッションの終端ノードでない場合、2台のFWによる負荷分散ではパケットに対して行える操作に制約がある。その制約のためサーバ負荷分散で使われる仮想IPアドレスを用いる方式は使用できない。その制約とは何か?:
宛先IPアドレスを書き換えられない。
・2台のLBの間にFWも2台ある(経路が2つ。負荷分散のため)。2つのLBによるパケットの振り分けは、FWでの動的フィルタリングが正しく行われるように実行される必要がある。これはある条件が成立しなければならない。その条件を答えよ:
セッション単位に、2台のLBが同じFWを選択する(コネクションの往路と復路が同一のFWを経由しなければならないということ)。
・2台のFW構成のところにもう1台FWを追加する。処理能力補強の理由以外でもう1台追加する理由を答えよ:
故障発生時の性能を不足させないため
・2台のLBの間にFWが3台ある。対向するLBとの間で、経由するFWをを変化させながら、相互にヘルスチェック用パケットを送信する。LBがFWに対してヘルスチェック用パケットを送信するやり方と比べた利点を答えよ:
FWを経由するLB間の経路の障害を検出できる。
・上記構成でFW1台が故障したときFWを挟んでいる両LBが、RSTフラグをオンにしたパケットをTCPコネクションの両端に送信する。これを行うことによりTCPコネクションの両端のノードにどのような利点を与えるか:
リトライアウト(再送処理)を待たずにコネクションの切断を検知できる。
問3
(覚えておきたい単語)
・シグネチャ型と異なり、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなす検知方法を( )型という:
アノマリ(もしくは異常検知)
・本来であれば宛先ではないポートにフレームが届くようにスイッチ上で設定するポートを( )ポートという:
ミラー もしくは ミラーリング
・ブロードキャストフレームを除き、無差別にすべてのフレームを取り込むネットワークポート(NIC)の動作モードを( )モードという:
プロミスキャス
・TCPによる攻撃をやめさせるためにパケットの送信元にICMPヘッダのコードに設定するパケットの設定は( )portである。:
unreachable
(覚えておきたい出題パターン)
・IDSとFWが連携することで不正な接続を遮断する仕組みを答えよ。:
FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。
・ICMPを使った攻撃抑止のために攻撃者に送出するパケットが、実際には攻撃者に届かないことがある理由を答えよ:
不正アクセスの送信元アドレスが偽装されている可能性があるから
・防御対象のサーバに新たな脆弱性が発見された場合のIPSの一時的な運用とは何か答えよ。※遠く離れた段落にヒントあり。かつて「アプリケーションへの影響確認テストに時間が掛かり、当該サーバにセキュリティパッチを適用するまで、営業支援システムを数日間休止せざるを得なかった」事件があった。:
保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断する。
・IPSの機能の一部が故障した場合に備えた機能として、通信を継続して利用できる状態にするためのIPSの機能を答えよ:
通信をそのまま通過させ、遮断しない機能
・IDSやIPSのセキュリティレベルの継続的な向上のために、管理用PCを使って行うべきことを答えよ:
不正アクセスへの対応を最適化するために、ログを取得して解析する。
午後II
問1
(覚えておきたい単語)
なし
(覚えておきたい出題パターン)
・「業務サーバと設備」が通信しており、設備の稼働情報をサーバは定期的に入手している。稼働情報取得のトリガは、設備ではなく業務サーバ側にあるが、それは運用上の利点となっている。その理由を述べよ。:
稼働情報の収集周期の変更が容易である。 ※本文にヒントあり
・「設備―通信アダプタ―中継装置―業務サーバ」という形で接続されている。それぞれの機器がGETリクエストを送信する間隔が異なる。GETリクエストして得た情報はキャッシュされるがそれぞれの情報得る間隔がことなるのはなぜか。キャッシュに注目して答えよ:
中継装置より通信アダプタのキャッシュの更新頻度が高く新しいから
・上記の構成で「設備ー通信アダプタ」間の最新の更新情報が取得できなかったときどのような場合か2パターン答えよ。:
①設備とTCPコネクションが確立できない場合 (設備が故障している場合)
②設備がNot Modified を応答した場合 (設備から新しい稼働情報が得られなかった場合)
・「設備―通信アダプタ」間の情報取得周期を長くした場合(例えば1分間隔から2分間隔へ変更)、業務サーバが受け取る応答への影響を述べよ:
電源断などで設備との通信ができない場合の稼働状況が古くなる
・HTTP(TCP)を変換してCoAP(UDP)でデータ送信するときターンアラウンドタイムが向上する。CoAPとUDPの特徴を2つ挙げよ:
①TCPコネクションの確立と終了の手順が不要である。
②CoAPはヘッダ長が短いなど、データの格納効率が良い。
・同時コネクション数を軽減するという目的において、中継装置のTCPコネクション保持時間はどのような設定方針にすべきか:
正常な通信に支障がない範囲でなるべく小さくする
・TCPコネクション保持時間を短縮するという目的において、業務サーバからの情報取得依頼のリクエストにおけるクローズ接続オプションの使い方について述べよ:
後続がないリクエストに付与し、コネクションを切断する。
・同時コネクション数を削減したい。そのためトランザクションをパイプライン化する工夫をしたいが、その前提として設備のリソースを指定する際のURL(設備はそれぞれFQDNを持つ)に関する設計方針を述べよ。複数の設備を通信アダプタがまとめて接続管理している:
通信アダプタにFQDNを付与し、同一コネクションを使って複数の設備から稼働情報を取得する。
問2 (覚えておきたい単語)
16ビット ※ポート番号の最大は2の16乗である65535
FTPでサーバからクライアントが指定したポートに対してTCPコネクションの確立を試みるモードを何という?:
アクティブモード
上記の逆でFTPクライアントからサーバにTCPコネクションを確立するモードを何と言う?:
パッシブモード
クラスD ※範囲224.0.0.0-239.255.255.255
フレームは何を基準にデータを送る?:
(覚えておきたい出題パターン)
・プライベートIPアドレスを使用していて複数顧客のネットワークを束ねるCPEとCGN装置間のネットワークでどのようなときに問題が生じるか?:
PCのネットワークアドレスと、CPEとCGN装置間のネットワークアドレスが重なったとき
・顧客宅のPCがインターネット上のWebサーバにアクセスしたとき、PCを特定するのにWebサーバがログとして記録する必要がある情報を3つ挙げよ
①送信元IPアドレス
②送信元ポート番号
・暗号化方式AHではIPアドレス変換が行われると認証エラーが発生する。その理由を認証対象に着目して答えよ:
IPヘッダが認証対象なので、IPアドレスが書き換えらると認証データが計算値と一致しなくなるから
・暗号化方式ESPではポート変換が行えない。理由を述べよ:
TPC又はUDPヘッダが暗号化の対象であり、ポート番号が暗号化されていてわからないから
もしくは
ESPヘッダにはポート番号が存在しないから
・ISAKMPメッセージの送信元ポート番号及び宛先ポート番号を500から4500に変更する。このときNATが行われると送信元ポート番号が変換されるので、IPsecを使用する機器の、受信パケットに対するフィルタリング設定を変更する必要がある、どのように変更するかを答えよ:
送信元ポート番号が500と4500以外のISAKMPメッセージも受信できるようにする。
・マルチキャスト通信にてスイッチから送出されるマルチキャストのデータがフラディングされるのはマルチキャストMACアドレスがスイッチによって学習されないからである。その理由を述べよ:
マルチキャストMACアドレスが送信元アドレスになることがないから
※スイッチは送信元MACアドレスのみを学習し、宛先MACアドレスは学習しない
・VXLANをセグメントによって通信路が論理的に分離されるとき、VLAN数の制限を緩和できる。その理由を答えよ:
膨大な数の論理セグメントが構成できるから(VXLANごとに、VLANを利用できるから)
・宛先不明の機器に通信したい。マルチキャストで通信する必要があるがユニキャストで行われない理由を答えよ:
宛先となる機器(VM)の存在場所が不明だから
・ユニキャストで可能な通信をすべてマルチキャストで送信するときに顕在化する問題を答えよ:
不要なマルチキャストパケットがネットワーク内に転送されるので、L3SWやネットワークの負荷が高まる。
------------------------------------------------------------------------------------
(平成26年過去問より)
午後I
問1
(覚えておきたい単語)
・OSPFのコストのメトリックは?:
帯域幅
・OSPFのバックボーンエリアはエリア番号は?:
0
・QoSの通信優先評価はIPヘッダの何というフィールドが基準?:
ToS (イーサネットの場合はCoSが基準)
・その通信優先評価基準のQoSの名前は?:
DiffServ (その反対の基準はIntServ)
(覚えておきたい出題パターン)
・VRRPの仮想IPアドレスは、AセグメントのPCのデフォルトゲートウェイとしてどう設定する?:
Aセグメントに対応した仮想ルータのIPアドレスを設定する
・特定のセグメントが意図した仮想ルータにアクセスするようにするにはルータの設定をどうする?:
該当するルータがアクティブになるようにプライオリティ値を設定する
・通信高速化する機器が、データキャッシュを送信する機能があるときにどういう状況で本領発揮する?:
ラウンドトリップ時間が大きいとき
・2拠点の両端に置かれた通信高速化する機器が自動で停止する機能はどういうとき発動する?:
片方が故障したとき
問2
(覚えておきたい単語)
・ネットワークアドレスとポート番号を変換する機能の名前は?:
NAPT
・通信のための管理情報をネットワーク機器が自動で引き継ぐのは( )フェールオーバ起動と呼ぶ:
ステートフル
・接続ポートのリンクLEDが消灯しているのは何層の問題?:
物理層、もしくは1層
・機材変更などで自ポートに設定されたIPアドレスの解決を他の機器に対して更新要求する機能を何という?:
GARP
・レイヤ2層で用いるテーブルは?:
MACアドレステーブル
・複数のVLANを1本にまとめるために物理ポートではなくデータを基準にしたVLAN技術は?:
タグVLAN
(覚えておきたい出題パターン)
・冗長構成の機器の間にスイッチを入れる目的は?:
①:リンク断をふせぐ ②障害の特定が容易になる。
・冗長構成の機器を負荷分散するにはどうすればよいか?:
それぞれのセグメントでそれぞれをアクティブ(Active)にする
問3
(覚えておきたい単語)
・多数のコンピュータが標的を集中的に攻撃するのは何という?:
分散型DoS攻撃
・大量のデータを送信して相手のサービスを妨害する攻撃を何という?:
フラッド攻撃
・問い合わせを受けたサーバが他にサーバに回答を問い合わせることを( )的な問合せという?:
再帰的
・発信元を偽装してその応答を押し付けるDNSの攻撃を何という?:
DNSリフレクタ攻撃
・オープンリゾルバで自分が攻撃主にされてしまったときの立場を何と言う?:
踏み台
・自分の組織に侵入するテストを行うことを何という?:
(覚えておきたい出題パターン)
・大きいサイズのICMPエコーの応答を使った攻撃を防ぐにはFWにどんな機能を持たせたらよいか?:
断片化されたエコーパケットを許可しない機能
・DNSのキャッシュを無効にしておかないとどんなリスクがある?:
DNSキャッシュが改ざんされる
・FWで内部から外部への不正な通信を発見、防止するために必要なFWの機能は?2つ挙げよ:
①内部から外部への通信に対する遮断ルールを設定する
②FWで遮断した通信の結果ログを監視する
・インシデント対応後に将来発生するインシデントへの対応としてセキュリティ担当者が実施すべきことは?:
対処結果の評価を行い、インシデントの対処方法を見直す。
午後II
問1
(覚えておきたい単語)
・HTMLで作成されたコンテンツを送受信するプロトコルは?:
HTTP
・データに含まれる特定の文字列を遮断する機能は?:
コンテンツフィルタリング
・Connect処理が完了して通路が出来たTCPデータをそのまま転送するのは何処理?:
トンネリング
・送信者のDNSレコードに送信者のメールサーバのIPアドレスを登録されており、受信メール認証するシステムを何という?:
SPF
・ディジタル署名をメールヘッダに付与して受信メールサーバで検証する送信ドメイン認証を何という?:
(覚えておきたい出題パターン)
・送信メールのドメインが正しいか確認するとき、2つの何のドメインを比較する?:
①メール送信元のIPアドレスが所属するドメイン ②メールのドメイン
・SPFを採用するとき、自社メール中継サーバ(外部と直接送受信するメールサーバ)を自社DNSサーバに登録するのはなぜか?:
社外に送信されるメールの送信元IPアドレスがメール中継サーバになるから
・サーバ証明書が正当だと判断するには何が必要?:
プロキシサーバのルート証明書
・SSL通信でPCとWebサーバの間にプロキシサーバがあるとき、PC間とWebサーバを抜いたらプリマスタシークレットの共有に失敗する理由は?:
プロキシサーバが暗号化されたプリマスタシークレットを復号できないから。
・ログの検査間隔を短縮して定期的に検査を行うことで得られる恩恵は?:
マルウェア(問題)を早期発見ができる
問2
(覚えておきたい単語)
・音声データを転送する場合の一般的なプロトコルは?:
RTP (Real time Transport Protocol)
・SIPで使われるメッセージの形式は?:
テキスト形式
・HTTPSのポート番号は何番?:
443
・電話をかけたり切るなどの呼制御を行うプロトコルは?:
(覚えておきたい出題パターン)
・VPNで生成した仮想IPアドレスはどのようなものであるべきか?:
サービス提供用内部LANのネットワークに属するIPアドレス
・冗長化を実現する上で実物の機器ではなくSDNを利用するときのコスト面での有利な理由は?:
ネットワーク機器ごとに異なるハードウェアを用意せずに済む
------------------------------------------------------------------------------------
(平成25年過去問より)
午後I
問1
(覚えておきたい単語)
・SSLハンドシェイクプロトコルでは( )メッセージにより暗号化アルゴリズムを決定する:
HELLO
・ループバックアドレスの範囲のIPアドレスは?:
127.0.0.1 ~ 127.255.255.254
・Javaアプレットで特定のIPアドレスとサーバの( )を対応するよう設計する:
・サーバ証明書の正当性を本人に代わり認証してくれる組織は?:
・HTTPSのポート番号は?:
443
(覚えておきたい出題パターン)
・外部と通信する際にプライベートIPアドレスではなくループバックアドレスを使用するセキュリティ的なメリットは?:
外部からの不正利用が発生しない
・クライアントからサーバへのデートアクセスで、待ち受けポートとプライベートアドレスを紐づけたマッピングテーブル用いるときに、この方式ができないのはアプリケーションのどんな特徴があるか?:
サーバ側のポート番号が変化する
・通信装置のデータ保持(キャッシュ)時間を延ばすことで得られるメリットは?:セッション確立による負荷を軽減させるため
・クライアント証明書の管理に必要な情報は?:
クライアント証明書の有効期限
問2
(覚えておきたい単語)
・DHCPの要求をほかのルータに求めるルータの機能は何という?:
DHCPリレーエージェント
・IPアドレスとMACアドレスの対応を表しているテーブルを何という?:
ARPテーブル
5GHz帯
・MACアドレスのOUIは何の固有の値?:
製造主
・MACアドレスは全何ビット?:
48ビット
・そのうちOUIは何ビット?:
24ビット
・スイッチのトラフィックモニタを接続して計測のために使用するポートの形状を( )ポートという?:
ミラーポート
・DHCPメッセージの流れの4工程をそれぞれ言うと?:
DHCPDISCOVER→DHCPREQUEST→DHCPOFFER→DHCPACK
(覚えておきたい出題パターン)
・管理者の許可を得ずにPCに固定IPアドレスを振るときに起こる可能性のある問題は?:
IPアドレスの重複
・MACアドレスを登録した機器にしかIPアドレスを振れないシステムを実装するときに必要な暫定的な対処は?:
・DHCPフレームを転送中にSwitch上でポートのフレーム送受信が高速に点滅しているときに起こっているであろう事象は?:
SWとSWの間でのブロードキャストフレームの折り返し
・複数のL2SWを用いてVLANを構成するときにどういう構成だと輻輳が発生しにくいか? ※STP以外の方法で:
SW単位にVLANを設定し、VLAN間経路制御とDHCPリレーを行う構成
問3
(覚えておきたい単語)
・IEEE802.1QのVLANで用いられる32ビットの要素は何?:
タグ
・IEEE802.1QのVLANで使用するタグのVIDは何ビット?:
12ビット
・複数の物理筐体(L2スイッチなど)を接続し、一つのスイッチとして機能させる機能を何と言う?:
スタック
(覚えておきたい出題パターン)
・スイッチ間のリンクアグリゲーションのメリットは何?二つ答えよ:
リンクの冗長化、帯域の有効活用
・L3SWにVRF(Virtual Routing and Fowarding)機能を持たせるとき、一つのL3機器に複数のどのような機能を持たせるか?:
仮想ルータ機能
・共有NWで複数の顧客のVLANで発生する可能性のある問題を2つ挙げよ?:
①個々の顧客で使用しているVLAN IDが重複する ②VLAN数に制限があるが、これを超える
・L2SWの2台で冗長化を実現する方法を2つ答えよ:
①STPを動作させブロックポイントを設ける ②リンクアグリゲーションを単一のリンクとして扱う
・FW2台を Active – Standby 構成で冗長化するためにFW装置に必要な機能を答えよ:
複数の独立したFWを1台のFW装置で稼働させる機能
午後II
問1
(覚えておきたい単語)
・パケットフィルタリングを行うことができる機器は?:
ルータ、レイヤ3スイッチ
・スイッチをSTPでルートブリッジにするにはブリッジIDの値をどのようにする?:
最小 にする
802.11
・無線LANの認証でWEPキーを利用するとき、APから受信した乱数をPCは( )して返送する。:
暗号化
・WPA2の暗号アルゴリズムは?:AES
・APのネットワーク識別子は?:SSID もしくは ESSID
・宛先IPアドレスへの送信方法の種類を3つ答えよ:
ユニキャスト、マルチキャスト、ブロードキャスト
・転送先アドレス(のMACアドレス)が更新されたとき、当事者である機器が同一サブネット内の機器に対して、それらの機器が持つARPテーブルキャッシュを書き換えるために行う通信プロトコルのプロトコル名は?:
GARP
・他のホストの代理でARPを応答する仕組みを何と言う?:
プロキシARP
(覚えておきたい出題パターン)
・STPでスイッチAとBの特定のポート(X)をブロッキングポートとした。そのポートをブロッキングポートとした理由は?:
スイッチAとスイッチBのXへの経路のパスコスト値が最も大きいから
・WEPの無線通信の重大なセキュリティリスクは?:
暗号化されたデータが盗聴されてしまうこと
再認証が不要になるから
・PCが無線接続時にローミングして接続先APが変わり、新しい接続先APの接続先デフォルトゲートウェイが元のAPと異なるとき、PCがLANやインターネットに繋がらなくなった理由は?:
PCが持っている設定のデフォルトゲートウェイに接続できないから
・GARPを発信する目的は?:
同一サブネット内のIPノードが持つARPキャッシュを更新させるため
・無線LAN APのサイトサーベイで調査すべき電波の状態を3つ:
社外から送信される無線LANの電波状態
APからの電波到達範囲
壁やパーティションの電波の透過状態
・サイトサーベイの調査結果を基に導入作業前に確定すべき設計項目を4つ挙げると:
APの設置場所の設計
使用するチャンネルの設計
APの設置方法の検討
APの出力電波強度の設計
・APを設置した後に無線子機で行うテストを2つ挙げると?:
機器を移動させてのローミング可否テスト
FTPなどによる実行通信速度のテスト
問2
(覚えておきたい出題パターン)
・オーバレイ方式のSDN(レイヤ3ネットワーク上にレイヤ2データをカプセル化して接続用トンネルを作る)を用いるとき、サーバ接続用スイッチに必要な機能は?:
接続用トンネルを終端する機能 もしくは カプセル化用ヘッダを追加・削除する機能
・オーバレイ方式で拠点間の接続で起こる可能性のある問題は?:
中継路でのフラグメンテーション発生
・TRILLにはできなくてOpenFlowでできる経路選択の柔軟性は何?:
最短経路以外の経路が利用できる
・PC-AがARPを発信したとき、別ネットワークにあるPC-B(本来関係ないPC)とPC-C(MACアドレスを知りたい対象PC)のIPアドレスが特定の条件下で重複している。PC-Aに起きる問題は?:
別ネットワークのPC-BのMACアドレスをPC-CのものとしてPC-Aが登録してしまう
・認証を求めるフレームを発信するPCと認証サーバがMACアドレスを基に認証を行うとき、この2つの間に中継スイッチを置いた場合、中継スイッチが必要な機能は?:
認証フレームの透過転送機能。
・ポートベースで「PCと認証サーバ間」で認証を行うとき、この両者の間に中継スイッチを置いた場合、発生するセキュリティ上の問題は?(状況:中継スイッチのポートで認証を行う):
1台のPCが認証されると後続のPCは認証なしで接続できる
・PCが認証フレームを発信する代わりに認証スイッチがそれ発信し認証サーバが認証フレームを検出する。その経路の間に中継スイッチを置いた場合、PCが認証フレームを発信しないといけない理由は?:
中継スイッチ経由だとPC接続ポートがリンクアップしても認証スイッチでは検出できないから
------------------------------------------------------------------------------------------
(以下自分用メモ)
・問題文の1文1文がネットワーク図の前提条件。1文1文に斜線を引いて意識しながら問題文を読み込みたい。
・問題を解くときはできるだけ自分でネットワーク図を書き写し、図に本文の条件をどんどん追記していく。本文に記された条件を見逃すと正解にたどり着けない。
・記述式の問題はいきなり回答欄を埋めるのではなく軽くメモ書きで解答を書いておき、のちに清書して解答を埋める(思い込みによる誤答の防止のため)
・問題文で問われていることをしっかり読む(思いこまない)。理由を訊かれる問題は「~から」で締めくくること。
・解答が思付かないときは本文に戻り、本文の条件(ヒント)から答えを導きだす。
・記述問題はなるべく本文の語句を利用して回答する。
・解答のヒントは問われている部分の直前を探し、徐々に探索範囲を広げていく。ヒントが無い問題もあるので、そういうときはこだわらず次の問題に進む。
・どうしても解答が思いつかず、また本文に答えの手掛かりが見つからなければ深入りせず、飛ばして先に進む。時間をいくらかけてもわからないとんでもない難問もあるので、時間を浪費しないようにしたい。
・本文に描かれたネットワーク図は重要だけど、図の注意書きや本文に書かれた条件が正答を導き出すヒントの場合も多いので問題を解くときは図に引っ張られすぎないようにしたい。
