2018年10月10日水曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問1

わかっちゃいるけど難しい。モバイルのセキュリティ。

問2は、モバイルネットワークのセキュリティでした。
講評に「全体として正答率は低かった」とあるように、やや難しめの問題でした。
主にLANを中心にしているせいか私も、実際、仕事でもモバイルネットワークはあまり経験したことがありません。
今回もとりあえず6割目指してトライです。



設問1.本文中の【 ア 】~【 カ 】に入れる適切な字句を答えよ。



【 ア 】


知識問題です。午後Ⅱに似たような問題がありました。

*******************
問.無線LANにおけるWPA2の特徴はどれか。
ア.AHとESPの機能によって認証と暗号化を実現する。

イ.暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。

ウ.端末とアクセスポイントの間で通信を行う際に,TLS Handshake Protocolを使用して,お互いが正当な相手かどうかを認証する。

エ.利用者が設定する秘密鍵と,製品で生成するIV(Initialization Vector)とを連結した数字を基に,データをフレームごとにRC4で暗号化する。
*******************
 答え:イ
 因みにア:IPSSec、
    ウ:TLSを使用する規定はない、
    エ:128ビット以上のAESが推奨


 答え:AES


【 イ 】


こちらも知識問題です。
WPA2は無線LANの認証方式でIEEE802.XとPSK(事前共有鍵)の2種類を規定しています。
問題文では、「あらかじめタブレット端末とモバイルWi-Fiルータに同じパスフレーズを設定する」とあるので、ここの答えはPSKであることがわかります。

 答え:事前共有鍵


【 ウ 】


これも、モロ知識問題です。
というか、私は正解できなかったのですが、答えを見ておもわず「あ~」と言ってしまいました。
SIMカードです。通信事業者が契約者を特定留守ための情報が記憶されたものです。
お持ちのスマートフォンに刺さっていると思います。

 答え:SIMカード


【 エ 】


私はこちらも正解できませんでした。しかも「あ~」とはならず、「へ~」でした。
APN(Access Point Name)というものらしく、携帯電話からインターネットに接続して
通信する際に指定するのだそうです。通信事業者がAPNの情報を公開しており、契約者は携帯電話の購入時にAPNを設定して通信するのだそうです。
したっけかな~?受付のお姉さんがしてくれたのかな。。

 答え:APN


【 オ 】


出たー!
本文に「IPアドレスとポート番号の変換処理が行われる」とあります。
迷わずNAPTです。IPマスカレードではなく、ネスぺではNAPTです。
何年に1度はでるので必須です。(みんな知っているね)

 答え:NAPT


【 カ 】


これも王道問題!
仕事でもたまに出るので覚えていて損のない用語です。また、よく出る用語なので、ぜひとっとこう!
本文に「HTTPSプロキシの場合、プロキシサーバは、タブレットからの【 カ 】要求によってHTTPSへのTLSトンネルの中のをそのまま転送する」とあります。
HTTPS通信では、」ブラウザからプロキシサーバにCONNECTメソッドが発行されます。
トンネルが確立されるとクライアントPCとサーバ間のプロキシはそのままパケットを中継します。

 答え:CONNECT


最後に


携帯電話の用語以外は結構よくでる用語でした。
取りこぼさなければ6割はいけると思います。
2018年は10/21だね。いよいよラストスパートに入りましょう!
悔いの無いように、過去問を解きまくるんだ!


2018年10月5日金曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問3

今や当たり前、SPF!

設問1の最後はSPFの設定です。一昔前は「何だこりゃ?意味あんの?」と思ってましたが、今ではこれがないとメールが出せません。
やっぱり、役に立ってるのかな。まぁ、仕組みはそんなに難しくないので、ぜひ取ってしまいましょう!


設問3.[SPFの導入]について、(1)、(2)に答えよ。


(1)本文中の下線⑤について、送信ドメインが得られるSMTPプロトコルのコマンドを答えよ。


今時、コマンドを使う人はおりませんが、ネットワークエンジニアはメールの設定を行うとき、必ず1回は打ちます。でも、毎回忘れているのでグーグル先生のお世話になります。コマンドは以下です。

 EHLO マシン名 →メール送信の開始を宣言する
 STARTTLS 暗号化を宣言する(メールサーバがSTARTTLSに対応している場合)
 MAIL FROM: <送信元アドレス> →送信元(エラーの通知先)を指定する
 RCPT TO: <送信先アドレス>  →メールの送信先を指定する
 DATA   →メール本文を開始する
 QUIT   →メール送信を終了する

因みに最初はEHLO (Extended HELLO) コマンドですが、 昔は、HELO (HELLO) コマンドでした。
午後Ⅱの過去問でもありました。この問題(1)のズバリの問題ですね。
やはり過去問大事!

***********************
問.送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

ア.Resent-Sender:,Resent-From:,Sender:,From: などのメールヘッダの送信者メールアドレスを基に送信メールアカウントを検証する。

イ.SMTPが利用するポート番号25の通信を拒否する。

ウ.SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。

エ.電子メールに付加されたディジタル署名を検証する。
***********************
 答え:ウ

因みに、SPFの動きは以下です。

①送信元は、自ドメインのDNSサーバのSPFレコード(TXTレコード)に、メールサーバのIPアドレスとホスト名を登録・公開

②送信元から受信先へ、メールが送信される。

③受信先メールサーバは、受信先ドメインのDNSサーバを通じて、MAIL FROMコマンドに記載された送信元メールアドレスのドメインを管理するDNSサーバに問い合わせ、SPF情報を取得。

④SPF情報との照合でSMTP接続してきたメールサーバのIPアドレスの確認に成功すれば、正当なドメインから送信されたと判断。

絵で見たい人はググッてね。


答え:MAIL FROM


(2)本文中の下線⑥で行われる処理内容について、SPFレコードと照合される情報を20字以内で具体的に答えよ。

さっきの(1)で書いちゃった。これって、本文に全然関係ない知識問題?ネスぺらしからぬひねりの無い問題だ。

 答え:送信元メールサーバのIPアドレス


今週のひとこと


自分が経験あるからか、メール問題はぜひ取った方が良いと思います。実際の現場では、グループウェアやメール無害化、リレー、アクセス制御など、本当に複雑な場合が多く、嫌になるときがあるけど、試験では結構シンプルな構成が出るようです。
また、設問2もがんばるよ~
だれか見てね~


2018年10月3日水曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問2

メールのセキュリティにやりすぎということはない!

次はメールサーバのセキュリティに関する問題です。ここら辺が情報処理安全確保支援士 (昔のセキスぺ)との違いというか境界がわかりません。まぁ、とにかく、メールサーバを設定する時は、流行りのセキュリティ設定をするに越したことはありません。
踏み台にされたらえらいことですから。



設問2.[サポート業務委託時のメール運用の検討]について、(1)~(5)に答えよ。


(1)本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のリスクを25字以内で答えよ。

本文中の下線①には、「たとえB社のPCからMSV3へSMTPによるメール送信ができたとしても、MSV3は、a-sha.co.jpドメイン以外への宛先へは、そのメールを転送しない設定となっています」とあります。最近のメールソフトでは、当たり前のように設定するから、忘れがちですが、大事な設定です。
これを設定しとかないと、第三者がこのメールサーバを経由して大量の迷惑メールをリレーさせることができるから。昔Sendmailの時代に、この設定せずに、踏み台にされました。(あのときは怖かった~)
答えを言ってしまいましたが、メールサーバを立てるときは、ドメイン名やIPアドレス、メールアドレスの制限をかけるのは当然の設定です!(めんどくさがらずにね。)

 答え:不正メールの踏み台にされてしまうリスク

(2)本文中の下線②のルータ名を答えよ。

まずは、OP25B(Outbound Port 25 Blocking)とは、外部に対してポート25番宛ての通信を遮断することで、スパムメールを防止する機能です。最近のプロバイダとかは必ず設定されています。
午前Ⅱにもありました。
******************
問.スパムメールの対策として,宛先ポート番号25番の通信に対してISPが実施するOP25Bの説明はどれか。

ア.ISP管理外のネットワークからの受信メールのうち,スパムメールのシグネチャに該当するメールを遮断する。

イ.動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。

ウ.メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからのメールを遮断する。

エ.メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
******************
 答え:イ

まず、本文中に「P社及びQ社はいずれも迷惑メールの送信を防止する対策としてOP25Bのポリシーでメールシステムを運用している」とあります。だからQ社の場合、ルータ4かルータ5です。次にこれはもう暗記してよいですが、OP25Bはインターネットとの境界で行います。理由はLAN内では行う必要がないから。(OP25Bは外部への25番ポートアクセスを禁止します。)総合するとルータ4です。

 答え:ルータ4 


(3)表1の【 オ 】~【 キ 】に入れる適切な字句を答えよ。


この問題はOP25Bを知っていたら簡単です。【 オ 】と【 キ 】はSMTPのポートだから、25/tcp。つまり、【 オ 】が「TCP」で【 キ 】が25。よゆーですね。次に【 カ 】ですが、B社PCからなので、Q社から割り当てられたグローバルアドレスになります。

答え:【 オ 】:TCP、【 カ 】:a.b.0.0/20、【 キ 】:25

(4)本文中の下線③について、このポートを何と呼ぶか答えよ。


これは知識問題です。結論から言うとサブミッションポートというのですが、午前Ⅱにも出ています。仕事でもために出るので覚えておこう!

******************
問.TCPのサブミッションポート(ポート番号587)の説明として,適切なものはどれか。

ア.FTPサービスで,制御用コネクションのポート番号21とは別にデータ転送用に使用する。

イ.Webアプリケーションで,ポート80番のHTTP要求とは別に,サブミットボタンをクリックした際の入力フォームのデータ送信に使用する。

ウ.コマンド操作の遠隔ログインで,通信内容を暗号化するためにTELNETのポート番号23の代わりに使用する。

エ.電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。
******************
 答え:エ


(5)本文中の下線④について、2種類の通信の宛先ポート番号をそれぞれ答えよ。


まず、2種類の通信は「メール送信」と「メール受信」です。メールの送信については、本文にもあるように、サブミッションポートで接続するため587/tcpですね。
因みに25/tcpとはポートが異なりますが、実は平文です。

次に「メール受信」ですが、こちらは本文に以下の文章があります「受信についてはPOP3をTLSで暗号化」のようにPOP3です。また次のポチで、STARTTLSが唄われています。
STARTTLSは本文の説明のように「接続時に平文で通信を開始して途中で暗号化通信に切り替える」だそうです。そしたら、110/tcpだね。


最後に

う~む。改めて解いたら意外といけますね。この年は私も一応午後Ⅰは解けましたよ!
本番まであと少し、がんばれ~!

2018年10月2日火曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問1

インフラエンジニアの基本!メールサーバ。

インフラエンジニアになるときに必ず、しかも一番最初に勉強するサービスは、DNS(Bind)、メール(Postfix)、プロキシ(Squid)、Web(Apache)の4つです。これを知らない人は、本当にモグリと言って良いです。そのため、ネットワークでもソフトウェア、OSでもどのジャンルを極めるにしても、この4つは避けて通ることができません。(私がはじめたときはSendmailが主流でしたが…)設問1については、誰しもが経験があるものだからか、講評でも「全体として、正解率は高かった」とあります。
さぁ、みんなもチャレンジしてみましょう!なんなら、自分のPCにPostFixをインストールしてみましょう!


設問1.本文中の【 ア 】~【 エ 】に入れる適切な字句を答えよ。


【 ア 】、【 イ 】


本文中には「外部のメールサーバは、DNS3に設定された資源レコードのうち【 ア 】レコードの情報に従って、A社ドメイン宛てのメールを【 イ 】に転送する」とあります。これはA社のメールの受信の流れについての説明です。Bindだけでなく多くのDNSサーバを立てたことのある人にはラッキー問題です。というか、立てたことのない人はすぐ、今すぐインストールしてください!絶対に役に立つから。
そして、以下ぐらいは少なくとも覚えておこう。

 A…ホストのIPアドレス
 MX…ドメインのメール・サーバ名
 NS…ドメインのDNSサーバ名を指定する
 PTR…IPアドレスに対するホスト名
 CNAME…ホスト名のエイリアス(別名)
 TXT…ホストへのテキスト情報

因みに結論から言うと、【 ア 】はMXね。午前Ⅱの過去問でもたくさん出ています。

**********************
問.DNSのMXレコードで指定するものはどれか。

ア.宛先ドメインへの電子メールを受け付けるメールサーバ

イ.エラーが発生したときの通知先のメールアドレス

ウ.複数のDNSサーバが動作しているときのマスタDNSサーバ

エ.メーリングリストを管理しているサーバ
**********************
答え:ア
※注意すべきは「宛先ドメインへ」というところ、送信する時、宛先となる
  メールサーバを検索する時に参照するのね。

他にもこんな問題も。
**********************
問.DNSゾーンデータファイルのMXレコードに関する記述のうち,適切なものはどれか。

ア.先頭フィールド(NAMEフィールド)には,メールアドレスのドメイン名を記述する。

イ.プリファレンス値が大きい方が優先度は高い。

ウ.メール交換ホストをIPアドレスで指定する。


エ.メールサーバの別名を記述できる。
**********************
答え:ア
※因みにMXレコードは通常以下の様に記載します。
 →プリファレンス値(下の10と20)の小さいほうが優先度が高いです。

  example.com IN MX 10 smtp1.example.com
  example.com IN MX 20 smtp2.example.com

次に、【 イ 】ですが、本文中に「A社は、社内利用のためのMSV3を社内に立上げ、自社ドメイン(a-sha.co.jp)でメールシステムを運用している」と書かれています。つまり、メールサーバを自社で作って公開しているんですね。

 答え:【 ア 】:MX 【 イ 】:MSV3


【 ウ 】


本文中には「(B社は)各社員のPCにインストールしたメールクライアントから、【 ウ 】にSMTPSでメールを送信しています」とあります。
これ、答えが書いています。「B社は、社内メールサーバをもたず、Q社のメールサービスを利用している」とありました。Q社のメールサーバはMSV2です。

 答え:【 ウ 】:MSV2


【 エ 】


メールサーバのユーザ認証の方法は「SMTP-AUTH」と「POP before SMTP」の2つがあります。
どちらも午前Ⅱ問題でよく出てきます。

**********************
問.SMTP-AUTHの特徴はどれか。

ア.ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。

イ.PCからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。

ウ.PCからメールサーバへの電子メール送信は,POP接続で利用者認証済の場合にだけ許可する。


エ.電子メール送信元のサーバが,送信元ドメインのDNSに登録されていることを確認して,電子メールを受信する。
**********************
答え:イ
※因みにア…OP25B、ウ…POP before SMTP、エ…SPF

また、【 エ 】の近くに「SMTPプロトコル上で認証を行う」とあります。POPを使用しないということは、「SMTP-AUTH」で決まり!

 答え:【 エ 】:SMTP-AUTH


最後に

初めて自分以外の人が見てくれている痕跡がありました!まだコメントは0件だけど、うれしー!やる気出てきた!がんばるよ~