2018年11月26日月曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問3

情報処理試験の難しさは文章の読解力?

しばらく時間が取れずに書いていませんでした。ごめんなさい。今回は問2の設問3です。VPNをするときのセキュリティの話です。
私は正直答えを間違えました。詳しくは今から説明しますが、文章って難しーという問題です。

設問3.[VPN接続の検討]について、(1)、(2)に答えよ。


(1)本文中の下線④について、報告を受けたモバイルネットワーク管理者がとるべき行動を、紛失したVPN接続の利用者IDに着目して20字以内で述べよ。


まず下線④では「営業員が、これらを紛失した際には、直ちにモバイルネットワーク管理者に報告するという運用ルールを策定する」とあります。
自分が運用管理者だったら何をするか。それは何かを止めるということです。でも本文中の下線④の前には「例えば、利用者ID、固定パスワードを用いて利用者認証を行う場合、これらが漏えいすると直ちにインターネットから不正アクセスが可能となり…」とあります。
え?ハードウェアトークン使うんじゃないの?利用者ID使うの?使わないの?どっちよ。となります。
答えは、利用者ID+ハードウェアトークンで認証です。いわゆる二要素認証というやつです。
認証の流れはこうなります。

 ①タブレット→サーバ
  利用者ID、パスワードを送る

 ②サーバ
  パスワード認証

 ③タブレット→サーバ
  ハードウェアパスワード認証用のワンタイムパスワードを送る。

 ④サーバ
  ハードウェアトークンの認証

携帯を落とした場合、携帯会社に行って携帯電話の利用をリモートで止めます。これと同じやり方でOKと思ったのですが、問題文には「利用者IDに着もして」とあります。
そうなるとサーバ側で利用者IDを止めるなんですね。う~む。悩んだ割には簡単な答え。
間違えた。。

因みに2要素って認証が2回あれば良いってもんじゃないよ。「利用者が知っている」・「持っている」・「有している」情報のうち2種類の認証を使うってことだよ。

過去問にあります。
***************************
 2要素認証に該当する組はどれか。
  ア.ICカード認証,指紋認証

  イ.ICカード認証,ワンタイムパスワードを生成するハードウェアトークン

  ウ.虹彩認証,静脈認証

  エ.パスワード認証,パスワードリマインダ
***************************
答え:ア(イに騙されんな!)

 答え:VPN接続の利用者IDを停止する。


(2)本文中の下線⑤で、許可する通信を、図1中の字句用いて25字以内で答えよ。


これは仕事でネットワークをしている人には簡単。なぜなら、ネットワークの仕事のほとんどが、「何の通信をどういう経路で通すか」が作業のほとんどだからです。
経験がものをいう問題です。
今回の場合は、本文に書いています。

 ・タブレット端末は、VPNサーバとVPN接続を行い、VPN接続後の名前解決は、
  内部DNSサーバを用いて行う。

 ・VPN端末から販売管理サーバ及びインターネット上のサーバの通信は、VPN接続を
  通して、プロキシサーバ経由で行う。

そのほかは書いていないよね。うん!

 答え:プロキシサーバと内部DNSサーバへの通信


最後に

今回は問題数が少なかったので、少し所感を…
「自分は一端のネットワーク技術者になるんだ」と頑張ってきましたが、年齢的にも、最近なかなか機械をいじる時間が無くなってきました。
でもネットワークの世界はやればやるだけ奥深いことに気づかされます。
そして、ネットワークの世界は次々と新しいものが出るので刺激が多いです。
(それに、通信が通ったら、やっぱり毎回すげーうれしいです。)

正直、まだまだ、現場でいっぱいスイッチ触りたい!っす。
最先端を肌で感じていたい!っす。

でも、機械いじるのはほどほどにして、マネジメントしてかないとお金もらえない!
ジレンマ!

以上、おっさんの愚痴でした!

2018年11月11日日曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問2

無線LANって便利だけど、セキュリティが…

久しぶりです~。試験が終わったら急にアクセス数が減ってしまったので、モチベーションが駄々下がりでした。ただ、自分の勉強とも思って再開です。設問2は無線LANのセキュリティについてです。無線LANは便利だけど、通信が漏れまくりということは忘れてはいけません。


設問2.[無線LAN接続の検討]について(1)~(3)に答えよ。


(1)本文中の下線①についてステルス機能の動作を25字以内で述べよ。


まずは下線①とその周りをじっくり読みます。
と言っても、「SSIDを隠蔽するステルス機能」とだけ。完全な知識問題ですな。ただ、どの参考書にも書いてます。無線LANって最近はほとんどの人が使ったことあるからわかると思いますが、なんか電波を発しているよね。あれは、ビーコン信号と言ってAP(アクセスポイント)が定期的に信号を出しているのです。これを拾ったパソコンなどの機械がLANに接続できるようになるんですね。信号を拾った後はPSK認証など、認証の手続きに入ります。
この方法をパッシブスキャンっていうらしい。なんか、どこかで聞いたことある。
それに対して、SSIDを隠してしまって、知っている人だけが使う方法があります。パソコンでSSIDを指定して、プローブ信号とやらを送信するとアクセスポイントが見つけてくれる。この方法はアクティブスキャンというらしい。何がアクティブなのか…

 答え:定期的に送信するビーコン信号を停止する。


(2)本文中の下線②についてSSIDやMACアドレスは容易に取得される可能性がある。その理由を、電波を用いて通信を行う無線LANの特性に着目して、20字以内で述べよ。


まず、理由を聞かれているから、回答文の最後は「○○だから」となります。
(1)で説明したように、パソコン等の機械がプローブ信号を投げるんだよ。ここがポイント。頭の良い人は、そこら中に発信されるプローブ信号を盗み見ます。当然か。。
あと、もう1点。
よくする手がMACアドレスでフィルタリングをかける方法があるんだけど、これも、フレームを盗んだら、あまり意味がない。(MACアドレスって簡単に詐称できるし。そんなソフトもフリーであるし。)
ここで、問題文に戻るけど、暗号化して意味があるかと言われるとNOです。だって、認証が始まる前にSSIDとMACアドレスがばれてるー!

 答え:SSIDやMACアドレスは暗号化できず、傍受されるから


(3)本文中の下線③について、重複してはいけないセグメントを図1中の(A)~(E)から選べ。


多分だけど、この問題ってテストだから構えてしまって答えられないんだよね。
まず、本文中の下線③「このプライベートIPアドレスは他のネットワークと重複しないように設計する」の中の「このプライベートIPアドレス」ってどこよ?っていう話ですが、タブレット端末があるところは、図1中の(A)です。
この(A)とのIPアドレスが重複するとNGであるところを探します。

まず、(A)についてですが、Wi-FiルータがDHCPサーバになって、タブレットにIPアドレスを配布します。(私ですと、192.168.1.1~200とかをDHCPで配布したりします。)
その際、他にもあるWi-Fiルータ配下のタブレット同士が同じIPになると困る!と判断しそうですが、タブレットはWi-FiルータのグローバルIPで外に抜けていくので、ここはあまり、意識する必要はありません。

次に(B)ですが、本文中(下線③より後の方)に「モバイルWi-Fiルータは電源投入時に…グローバルIPアドレスが割り当てられる」とあります。対象外です。

最後に(C)と(D)についてですが、本文中(下線③より更に後の方)に「E社データセンタのVPNサーバにはグローバルIPアドレスを割り当てる」とあります。なので、(C)と(D)もグローバルIPアドレスなので対象外です。

(E)ですが、(A)のタブレットではL2TPで仮想的なNICが作成され、そこに割当てられるアドレスが、通信先(E)と同じセグメントのネットワークアドレスとなります。
仮に、(A)のネットワークアドレスが(E)と同じ出会った場合、当然、Wi-Fiルータを経由して外に抜けようとしないため、通信ができません。

ヒントが下線部より後にあるとわかりづらいよね。


因みに今回のL2TP over IPSECでは、タブレットとVPN間がL2TP通信しているのをIPSECで更にカプセル化して暗号化していますね。
リモート接続する際によくやる方法でよくやる手としては、pppoeでインターネット接続した後にIPSECで暗号化します。
現場でも、流れるフレームの形まで意識できると、障害が発生した時に、より切り分けが早くなると思います。

最後に

2018年度試験終わりましたが、皆さんいかがでしたでしょうか。
過去問解説は、来年までぼちぼち続けますので、残念だった方は、また、見てみてください。