2018年12月30日日曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問4

プロキシの問題は認証がよく出ます!

ども。書かなきゃと思いながら、おかげさまで多忙な毎日を送っており、手を付けられずにいました。今度はプロキシに関する問題です。ネットワークスペシャリストでは、サーバに関連する問題も出ますが、基本はメール、DNS、Proxy、Webサーバ(Apache等)の情報系サーバです。そのほかにも、NTPや監視系のサーバも出ますが頻度は低いです。今度整理してアップしますね。


設問4.[プロキシサーバの検討]について、(1)、(2)に答えよ。


(1)本文中の下線⑥について、プロキシサーバに必要な機能名を10字以内で答えよ。また、営業員を特定するために必要な設定内容を20字以内で述べよ。


まず下線⑥についてですが、本文中には「プロキシサーバのログから各営業員を特定できるようにする」とあります。

したがって、プロキシサーバが吐くログに、営業員が特定できる何かが書いてあれば良いということになりますね。ログを見て一番注意してみるところは、やはりIPアドレスですが、下線⑥の前の章で、VPNサーバがIPアドレスを自動で割り振るとあります。残念ですが、IPアドレスは使えません。(まぁ、IPアドレスはプロキシの機能でもないですし。)
あと残るは、IDでの認証です。プロキシを使う場合に、ログインIDをパスワードを入力させ、そのIDをログに出力することができます。
(多くの会社では利用しているかも。インターネットを起動すると、IDとパスワードを入力させるポップアップが表示されたり。)

Dを営業員ごとに割当てると、だれがいつ何を見たかが特定できるというわけです。

答え:プロキシに必要な機能名:プロキシ認証
   設定内容:営業員ごとに利用者IDを登録する。


(2)本文中の下線⑦について、HTTPSのRequest-URIから取得できるログの内容を二つ挙げ、それぞれ10字以内で答えよ。


この問題は意外と難しい。HTTPS利用時のプロキシの動作をよくわかってないと答えれません。まず、リクエストURIってなんですかってことですよね。
通常、http://aaaaaa.bb.cc/sample/index.htmにアクセスする際には、GETメソッドは以下になります。

 GET /sample/index.html HTTP/1.1

上の、”/sample”がURIです。

それで、HTTPSの時は、[ カ ]の空欄の答えである"CONNECT"メソッドを発行する形となります。CONNECTメソッドではホスト名だけのURIでプロキシが相手のサーバとHTTPコネクションを張ることになり、以下になります。

 CONNECT aaaaaa.bb.cc:443 HTTP/1.1

これで、おわかりのように、HTTPのログからログからわかるものは、ホスト名とポート番号です。

 答え:接続先ホスト名、接続先ポート番号


最後に


今年も、もう終わりますね~。どんな1年でしたでしょうか。私は今年もたらふく仕事をしました。毎日遅くまで仕事をしていたせいか、4歳になる子からは、「お父さんの家はどこなの」と聞かれる始末でした。。
働き方改革…
俺も働き方変えるぞ!来年は、早く帰れて、面白い仕事をたくさんするぞ!
ということで、来年もよろしくお願いします。


2018年11月26日月曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問3

情報処理試験の難しさは文章の読解力?

しばらく時間が取れずに書いていませんでした。ごめんなさい。今回は問2の設問3です。VPNをするときのセキュリティの話です。
私は正直答えを間違えました。詳しくは今から説明しますが、文章って難しーという問題です。

設問3.[VPN接続の検討]について、(1)、(2)に答えよ。


(1)本文中の下線④について、報告を受けたモバイルネットワーク管理者がとるべき行動を、紛失したVPN接続の利用者IDに着目して20字以内で述べよ。


まず下線④では「営業員が、これらを紛失した際には、直ちにモバイルネットワーク管理者に報告するという運用ルールを策定する」とあります。
自分が運用管理者だったら何をするか。それは何かを止めるということです。でも本文中の下線④の前には「例えば、利用者ID、固定パスワードを用いて利用者認証を行う場合、これらが漏えいすると直ちにインターネットから不正アクセスが可能となり…」とあります。
え?ハードウェアトークン使うんじゃないの?利用者ID使うの?使わないの?どっちよ。となります。
答えは、利用者ID+ハードウェアトークンで認証です。いわゆる二要素認証というやつです。
認証の流れはこうなります。

 ①タブレット→サーバ
  利用者ID、パスワードを送る

 ②サーバ
  パスワード認証

 ③タブレット→サーバ
  ハードウェアパスワード認証用のワンタイムパスワードを送る。

 ④サーバ
  ハードウェアトークンの認証

携帯を落とした場合、携帯会社に行って携帯電話の利用をリモートで止めます。これと同じやり方でOKと思ったのですが、問題文には「利用者IDに着もして」とあります。
そうなるとサーバ側で利用者IDを止めるなんですね。う~む。悩んだ割には簡単な答え。
間違えた。。

因みに2要素って認証が2回あれば良いってもんじゃないよ。「利用者が知っている」・「持っている」・「有している」情報のうち2種類の認証を使うってことだよ。

過去問にあります。
***************************
 2要素認証に該当する組はどれか。
  ア.ICカード認証,指紋認証

  イ.ICカード認証,ワンタイムパスワードを生成するハードウェアトークン

  ウ.虹彩認証,静脈認証

  エ.パスワード認証,パスワードリマインダ
***************************
答え:ア(イに騙されんな!)

 答え:VPN接続の利用者IDを停止する。


(2)本文中の下線⑤で、許可する通信を、図1中の字句用いて25字以内で答えよ。


これは仕事でネットワークをしている人には簡単。なぜなら、ネットワークの仕事のほとんどが、「何の通信をどういう経路で通すか」が作業のほとんどだからです。
経験がものをいう問題です。
今回の場合は、本文に書いています。

 ・タブレット端末は、VPNサーバとVPN接続を行い、VPN接続後の名前解決は、
  内部DNSサーバを用いて行う。

 ・VPN端末から販売管理サーバ及びインターネット上のサーバの通信は、VPN接続を
  通して、プロキシサーバ経由で行う。

そのほかは書いていないよね。うん!

 答え:プロキシサーバと内部DNSサーバへの通信


最後に

今回は問題数が少なかったので、少し所感を…
「自分は一端のネットワーク技術者になるんだ」と頑張ってきましたが、年齢的にも、最近なかなか機械をいじる時間が無くなってきました。
でもネットワークの世界はやればやるだけ奥深いことに気づかされます。
そして、ネットワークの世界は次々と新しいものが出るので刺激が多いです。
(それに、通信が通ったら、やっぱり毎回すげーうれしいです。)

正直、まだまだ、現場でいっぱいスイッチ触りたい!っす。
最先端を肌で感じていたい!っす。

でも、機械いじるのはほどほどにして、マネジメントしてかないとお金もらえない!
ジレンマ!

以上、おっさんの愚痴でした!

2018年11月11日日曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問2

無線LANって便利だけど、セキュリティが…

久しぶりです~。試験が終わったら急にアクセス数が減ってしまったので、モチベーションが駄々下がりでした。ただ、自分の勉強とも思って再開です。設問2は無線LANのセキュリティについてです。無線LANは便利だけど、通信が漏れまくりということは忘れてはいけません。


設問2.[無線LAN接続の検討]について(1)~(3)に答えよ。


(1)本文中の下線①についてステルス機能の動作を25字以内で述べよ。


まずは下線①とその周りをじっくり読みます。
と言っても、「SSIDを隠蔽するステルス機能」とだけ。完全な知識問題ですな。ただ、どの参考書にも書いてます。無線LANって最近はほとんどの人が使ったことあるからわかると思いますが、なんか電波を発しているよね。あれは、ビーコン信号と言ってAP(アクセスポイント)が定期的に信号を出しているのです。これを拾ったパソコンなどの機械がLANに接続できるようになるんですね。信号を拾った後はPSK認証など、認証の手続きに入ります。
この方法をパッシブスキャンっていうらしい。なんか、どこかで聞いたことある。
それに対して、SSIDを隠してしまって、知っている人だけが使う方法があります。パソコンでSSIDを指定して、プローブ信号とやらを送信するとアクセスポイントが見つけてくれる。この方法はアクティブスキャンというらしい。何がアクティブなのか…

 答え:定期的に送信するビーコン信号を停止する。


(2)本文中の下線②についてSSIDやMACアドレスは容易に取得される可能性がある。その理由を、電波を用いて通信を行う無線LANの特性に着目して、20字以内で述べよ。


まず、理由を聞かれているから、回答文の最後は「○○だから」となります。
(1)で説明したように、パソコン等の機械がプローブ信号を投げるんだよ。ここがポイント。頭の良い人は、そこら中に発信されるプローブ信号を盗み見ます。当然か。。
あと、もう1点。
よくする手がMACアドレスでフィルタリングをかける方法があるんだけど、これも、フレームを盗んだら、あまり意味がない。(MACアドレスって簡単に詐称できるし。そんなソフトもフリーであるし。)
ここで、問題文に戻るけど、暗号化して意味があるかと言われるとNOです。だって、認証が始まる前にSSIDとMACアドレスがばれてるー!

 答え:SSIDやMACアドレスは暗号化できず、傍受されるから


(3)本文中の下線③について、重複してはいけないセグメントを図1中の(A)~(E)から選べ。


多分だけど、この問題ってテストだから構えてしまって答えられないんだよね。
まず、本文中の下線③「このプライベートIPアドレスは他のネットワークと重複しないように設計する」の中の「このプライベートIPアドレス」ってどこよ?っていう話ですが、タブレット端末があるところは、図1中の(A)です。
この(A)とのIPアドレスが重複するとNGであるところを探します。

まず、(A)についてですが、Wi-FiルータがDHCPサーバになって、タブレットにIPアドレスを配布します。(私ですと、192.168.1.1~200とかをDHCPで配布したりします。)
その際、他にもあるWi-Fiルータ配下のタブレット同士が同じIPになると困る!と判断しそうですが、タブレットはWi-FiルータのグローバルIPで外に抜けていくので、ここはあまり、意識する必要はありません。

次に(B)ですが、本文中(下線③より後の方)に「モバイルWi-Fiルータは電源投入時に…グローバルIPアドレスが割り当てられる」とあります。対象外です。

最後に(C)と(D)についてですが、本文中(下線③より更に後の方)に「E社データセンタのVPNサーバにはグローバルIPアドレスを割り当てる」とあります。なので、(C)と(D)もグローバルIPアドレスなので対象外です。

(E)ですが、(A)のタブレットではL2TPで仮想的なNICが作成され、そこに割当てられるアドレスが、通信先(E)と同じセグメントのネットワークアドレスとなります。
仮に、(A)のネットワークアドレスが(E)と同じ出会った場合、当然、Wi-Fiルータを経由して外に抜けようとしないため、通信ができません。

ヒントが下線部より後にあるとわかりづらいよね。


因みに今回のL2TP over IPSECでは、タブレットとVPN間がL2TP通信しているのをIPSECで更にカプセル化して暗号化していますね。
リモート接続する際によくやる方法でよくやる手としては、pppoeでインターネット接続した後にIPSECで暗号化します。
現場でも、流れるフレームの形まで意識できると、障害が発生した時に、より切り分けが早くなると思います。

最後に

2018年度試験終わりましたが、皆さんいかがでしたでしょうか。
過去問解説は、来年までぼちぼち続けますので、残念だった方は、また、見てみてください。

2018年10月10日水曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問2-設問1

わかっちゃいるけど難しい。モバイルのセキュリティ。

問2は、モバイルネットワークのセキュリティでした。
講評に「全体として正答率は低かった」とあるように、やや難しめの問題でした。
主にLANを中心にしているせいか私も、実際、仕事でもモバイルネットワークはあまり経験したことがありません。
今回もとりあえず6割目指してトライです。



設問1.本文中の【 ア 】~【 カ 】に入れる適切な字句を答えよ。



【 ア 】


知識問題です。午後Ⅱに似たような問題がありました。

*******************
問.無線LANにおけるWPA2の特徴はどれか。
ア.AHとESPの機能によって認証と暗号化を実現する。

イ.暗号化アルゴリズムにAESを採用したCCMP(Counter-mode with CBC-MAC Protocol)を使用する。

ウ.端末とアクセスポイントの間で通信を行う際に,TLS Handshake Protocolを使用して,お互いが正当な相手かどうかを認証する。

エ.利用者が設定する秘密鍵と,製品で生成するIV(Initialization Vector)とを連結した数字を基に,データをフレームごとにRC4で暗号化する。
*******************
 答え:イ
 因みにア:IPSSec、
    ウ:TLSを使用する規定はない、
    エ:128ビット以上のAESが推奨


 答え:AES


【 イ 】


こちらも知識問題です。
WPA2は無線LANの認証方式でIEEE802.XとPSK(事前共有鍵)の2種類を規定しています。
問題文では、「あらかじめタブレット端末とモバイルWi-Fiルータに同じパスフレーズを設定する」とあるので、ここの答えはPSKであることがわかります。

 答え:事前共有鍵


【 ウ 】


これも、モロ知識問題です。
というか、私は正解できなかったのですが、答えを見ておもわず「あ~」と言ってしまいました。
SIMカードです。通信事業者が契約者を特定留守ための情報が記憶されたものです。
お持ちのスマートフォンに刺さっていると思います。

 答え:SIMカード


【 エ 】


私はこちらも正解できませんでした。しかも「あ~」とはならず、「へ~」でした。
APN(Access Point Name)というものらしく、携帯電話からインターネットに接続して
通信する際に指定するのだそうです。通信事業者がAPNの情報を公開しており、契約者は携帯電話の購入時にAPNを設定して通信するのだそうです。
したっけかな~?受付のお姉さんがしてくれたのかな。。

 答え:APN


【 オ 】


出たー!
本文に「IPアドレスとポート番号の変換処理が行われる」とあります。
迷わずNAPTです。IPマスカレードではなく、ネスぺではNAPTです。
何年に1度はでるので必須です。(みんな知っているね)

 答え:NAPT


【 カ 】


これも王道問題!
仕事でもたまに出るので覚えていて損のない用語です。また、よく出る用語なので、ぜひとっとこう!
本文に「HTTPSプロキシの場合、プロキシサーバは、タブレットからの【 カ 】要求によってHTTPSへのTLSトンネルの中のをそのまま転送する」とあります。
HTTPS通信では、」ブラウザからプロキシサーバにCONNECTメソッドが発行されます。
トンネルが確立されるとクライアントPCとサーバ間のプロキシはそのままパケットを中継します。

 答え:CONNECT


最後に


携帯電話の用語以外は結構よくでる用語でした。
取りこぼさなければ6割はいけると思います。
2018年は10/21だね。いよいよラストスパートに入りましょう!
悔いの無いように、過去問を解きまくるんだ!


2018年10月5日金曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問3

今や当たり前、SPF!

設問1の最後はSPFの設定です。一昔前は「何だこりゃ?意味あんの?」と思ってましたが、今ではこれがないとメールが出せません。
やっぱり、役に立ってるのかな。まぁ、仕組みはそんなに難しくないので、ぜひ取ってしまいましょう!


設問3.[SPFの導入]について、(1)、(2)に答えよ。


(1)本文中の下線⑤について、送信ドメインが得られるSMTPプロトコルのコマンドを答えよ。


今時、コマンドを使う人はおりませんが、ネットワークエンジニアはメールの設定を行うとき、必ず1回は打ちます。でも、毎回忘れているのでグーグル先生のお世話になります。コマンドは以下です。

 EHLO マシン名 →メール送信の開始を宣言する
 STARTTLS 暗号化を宣言する(メールサーバがSTARTTLSに対応している場合)
 MAIL FROM: <送信元アドレス> →送信元(エラーの通知先)を指定する
 RCPT TO: <送信先アドレス>  →メールの送信先を指定する
 DATA   →メール本文を開始する
 QUIT   →メール送信を終了する

因みに最初はEHLO (Extended HELLO) コマンドですが、 昔は、HELO (HELLO) コマンドでした。
午後Ⅱの過去問でもありました。この問題(1)のズバリの問題ですね。
やはり過去問大事!

***********************
問.送信元を詐称した電子メールを拒否するために,SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

ア.Resent-Sender:,Resent-From:,Sender:,From: などのメールヘッダの送信者メールアドレスを基に送信メールアカウントを検証する。

イ.SMTPが利用するポート番号25の通信を拒否する。

ウ.SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。

エ.電子メールに付加されたディジタル署名を検証する。
***********************
 答え:ウ

因みに、SPFの動きは以下です。

①送信元は、自ドメインのDNSサーバのSPFレコード(TXTレコード)に、メールサーバのIPアドレスとホスト名を登録・公開

②送信元から受信先へ、メールが送信される。

③受信先メールサーバは、受信先ドメインのDNSサーバを通じて、MAIL FROMコマンドに記載された送信元メールアドレスのドメインを管理するDNSサーバに問い合わせ、SPF情報を取得。

④SPF情報との照合でSMTP接続してきたメールサーバのIPアドレスの確認に成功すれば、正当なドメインから送信されたと判断。

絵で見たい人はググッてね。


答え:MAIL FROM


(2)本文中の下線⑥で行われる処理内容について、SPFレコードと照合される情報を20字以内で具体的に答えよ。

さっきの(1)で書いちゃった。これって、本文に全然関係ない知識問題?ネスぺらしからぬひねりの無い問題だ。

 答え:送信元メールサーバのIPアドレス


今週のひとこと


自分が経験あるからか、メール問題はぜひ取った方が良いと思います。実際の現場では、グループウェアやメール無害化、リレー、アクセス制御など、本当に複雑な場合が多く、嫌になるときがあるけど、試験では結構シンプルな構成が出るようです。
また、設問2もがんばるよ~
だれか見てね~


2018年10月3日水曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問2

メールのセキュリティにやりすぎということはない!

次はメールサーバのセキュリティに関する問題です。ここら辺が情報処理安全確保支援士 (昔のセキスぺ)との違いというか境界がわかりません。まぁ、とにかく、メールサーバを設定する時は、流行りのセキュリティ設定をするに越したことはありません。
踏み台にされたらえらいことですから。



設問2.[サポート業務委託時のメール運用の検討]について、(1)~(5)に答えよ。


(1)本文中の下線①について、この設定がないことによって生じる情報セキュリティ上のリスクを25字以内で答えよ。

本文中の下線①には、「たとえB社のPCからMSV3へSMTPによるメール送信ができたとしても、MSV3は、a-sha.co.jpドメイン以外への宛先へは、そのメールを転送しない設定となっています」とあります。最近のメールソフトでは、当たり前のように設定するから、忘れがちですが、大事な設定です。
これを設定しとかないと、第三者がこのメールサーバを経由して大量の迷惑メールをリレーさせることができるから。昔Sendmailの時代に、この設定せずに、踏み台にされました。(あのときは怖かった~)
答えを言ってしまいましたが、メールサーバを立てるときは、ドメイン名やIPアドレス、メールアドレスの制限をかけるのは当然の設定です!(めんどくさがらずにね。)

 答え:不正メールの踏み台にされてしまうリスク

(2)本文中の下線②のルータ名を答えよ。

まずは、OP25B(Outbound Port 25 Blocking)とは、外部に対してポート25番宛ての通信を遮断することで、スパムメールを防止する機能です。最近のプロバイダとかは必ず設定されています。
午前Ⅱにもありました。
******************
問.スパムメールの対策として,宛先ポート番号25番の通信に対してISPが実施するOP25Bの説明はどれか。

ア.ISP管理外のネットワークからの受信メールのうち,スパムメールのシグネチャに該当するメールを遮断する。

イ.動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する。

ウ.メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからのメールを遮断する。

エ.メール不正中継の脆(ぜい)弱性をもつメールサーバからの受信メールを遮断する。
******************
 答え:イ

まず、本文中に「P社及びQ社はいずれも迷惑メールの送信を防止する対策としてOP25Bのポリシーでメールシステムを運用している」とあります。だからQ社の場合、ルータ4かルータ5です。次にこれはもう暗記してよいですが、OP25Bはインターネットとの境界で行います。理由はLAN内では行う必要がないから。(OP25Bは外部への25番ポートアクセスを禁止します。)総合するとルータ4です。

 答え:ルータ4 


(3)表1の【 オ 】~【 キ 】に入れる適切な字句を答えよ。


この問題はOP25Bを知っていたら簡単です。【 オ 】と【 キ 】はSMTPのポートだから、25/tcp。つまり、【 オ 】が「TCP」で【 キ 】が25。よゆーですね。次に【 カ 】ですが、B社PCからなので、Q社から割り当てられたグローバルアドレスになります。

答え:【 オ 】:TCP、【 カ 】:a.b.0.0/20、【 キ 】:25

(4)本文中の下線③について、このポートを何と呼ぶか答えよ。


これは知識問題です。結論から言うとサブミッションポートというのですが、午前Ⅱにも出ています。仕事でもために出るので覚えておこう!

******************
問.TCPのサブミッションポート(ポート番号587)の説明として,適切なものはどれか。

ア.FTPサービスで,制御用コネクションのポート番号21とは別にデータ転送用に使用する。

イ.Webアプリケーションで,ポート80番のHTTP要求とは別に,サブミットボタンをクリックした際の入力フォームのデータ送信に使用する。

ウ.コマンド操作の遠隔ログインで,通信内容を暗号化するためにTELNETのポート番号23の代わりに使用する。

エ.電子メールサービスで,迷惑メール対策としてSMTPのポート番号25の代わりに使用する。
******************
 答え:エ


(5)本文中の下線④について、2種類の通信の宛先ポート番号をそれぞれ答えよ。


まず、2種類の通信は「メール送信」と「メール受信」です。メールの送信については、本文にもあるように、サブミッションポートで接続するため587/tcpですね。
因みに25/tcpとはポートが異なりますが、実は平文です。

次に「メール受信」ですが、こちらは本文に以下の文章があります「受信についてはPOP3をTLSで暗号化」のようにPOP3です。また次のポチで、STARTTLSが唄われています。
STARTTLSは本文の説明のように「接続時に平文で通信を開始して途中で暗号化通信に切り替える」だそうです。そしたら、110/tcpだね。


最後に

う~む。改めて解いたら意外といけますね。この年は私も一応午後Ⅰは解けましたよ!
本番まであと少し、がんばれ~!

2018年10月2日火曜日

【ネスペ過去問解説】平成28年度 午後Ⅰ 問1-設問1

インフラエンジニアの基本!メールサーバ。

インフラエンジニアになるときに必ず、しかも一番最初に勉強するサービスは、DNS(Bind)、メール(Postfix)、プロキシ(Squid)、Web(Apache)の4つです。これを知らない人は、本当にモグリと言って良いです。そのため、ネットワークでもソフトウェア、OSでもどのジャンルを極めるにしても、この4つは避けて通ることができません。(私がはじめたときはSendmailが主流でしたが…)設問1については、誰しもが経験があるものだからか、講評でも「全体として、正解率は高かった」とあります。
さぁ、みんなもチャレンジしてみましょう!なんなら、自分のPCにPostFixをインストールしてみましょう!


設問1.本文中の【 ア 】~【 エ 】に入れる適切な字句を答えよ。


【 ア 】、【 イ 】


本文中には「外部のメールサーバは、DNS3に設定された資源レコードのうち【 ア 】レコードの情報に従って、A社ドメイン宛てのメールを【 イ 】に転送する」とあります。これはA社のメールの受信の流れについての説明です。Bindだけでなく多くのDNSサーバを立てたことのある人にはラッキー問題です。というか、立てたことのない人はすぐ、今すぐインストールしてください!絶対に役に立つから。
そして、以下ぐらいは少なくとも覚えておこう。

 A…ホストのIPアドレス
 MX…ドメインのメール・サーバ名
 NS…ドメインのDNSサーバ名を指定する
 PTR…IPアドレスに対するホスト名
 CNAME…ホスト名のエイリアス(別名)
 TXT…ホストへのテキスト情報

因みに結論から言うと、【 ア 】はMXね。午前Ⅱの過去問でもたくさん出ています。

**********************
問.DNSのMXレコードで指定するものはどれか。

ア.宛先ドメインへの電子メールを受け付けるメールサーバ

イ.エラーが発生したときの通知先のメールアドレス

ウ.複数のDNSサーバが動作しているときのマスタDNSサーバ

エ.メーリングリストを管理しているサーバ
**********************
答え:ア
※注意すべきは「宛先ドメインへ」というところ、送信する時、宛先となる
  メールサーバを検索する時に参照するのね。

他にもこんな問題も。
**********************
問.DNSゾーンデータファイルのMXレコードに関する記述のうち,適切なものはどれか。

ア.先頭フィールド(NAMEフィールド)には,メールアドレスのドメイン名を記述する。

イ.プリファレンス値が大きい方が優先度は高い。

ウ.メール交換ホストをIPアドレスで指定する。


エ.メールサーバの別名を記述できる。
**********************
答え:ア
※因みにMXレコードは通常以下の様に記載します。
 →プリファレンス値(下の10と20)の小さいほうが優先度が高いです。

  example.com IN MX 10 smtp1.example.com
  example.com IN MX 20 smtp2.example.com

次に、【 イ 】ですが、本文中に「A社は、社内利用のためのMSV3を社内に立上げ、自社ドメイン(a-sha.co.jp)でメールシステムを運用している」と書かれています。つまり、メールサーバを自社で作って公開しているんですね。

 答え:【 ア 】:MX 【 イ 】:MSV3


【 ウ 】


本文中には「(B社は)各社員のPCにインストールしたメールクライアントから、【 ウ 】にSMTPSでメールを送信しています」とあります。
これ、答えが書いています。「B社は、社内メールサーバをもたず、Q社のメールサービスを利用している」とありました。Q社のメールサーバはMSV2です。

 答え:【 ウ 】:MSV2


【 エ 】


メールサーバのユーザ認証の方法は「SMTP-AUTH」と「POP before SMTP」の2つがあります。
どちらも午前Ⅱ問題でよく出てきます。

**********************
問.SMTP-AUTHの特徴はどれか。

ア.ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP接続を禁止する。

イ.PCからメールサーバへの電子メール送信時に,ユーザアカウントとパスワードによる利用者認証を行う。

ウ.PCからメールサーバへの電子メール送信は,POP接続で利用者認証済の場合にだけ許可する。


エ.電子メール送信元のサーバが,送信元ドメインのDNSに登録されていることを確認して,電子メールを受信する。
**********************
答え:イ
※因みにア…OP25B、ウ…POP before SMTP、エ…SPF

また、【 エ 】の近くに「SMTPプロトコル上で認証を行う」とあります。POPを使用しないということは、「SMTP-AUTH」で決まり!

 答え:【 エ 】:SMTP-AUTH


最後に

初めて自分以外の人が見てくれている痕跡がありました!まだコメントは0件だけど、うれしー!やる気出てきた!がんばるよ~

2018年9月13日木曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問4

最後は監視!

ども。いよいよH29のラストです。VPNの監視についてです。それにしても、H29 は午後Ⅰが難しかった。因みに、午後Ⅱは無線LANの問2が簡単でした。もう1つの問1はSDNでしたので、即、あきらめました。私も、もう古い人間の部類に入ってきたので、SDNとかは気持ちが乗らないのです。というより、頭がついていきません。


設問4.本文中の⑥について、二つあるVPNトンネルをそれぞれ監視する目的を35字以内で述べよ。


まず、通信の正常性を確認するために、K社から対抗のルータのインターフェース(e)と(f)にpingを打っています。また2つのVPNはアクティブ/スタンバイ構成です。アクティブのVPNaが死んだどきは、スタンバイに切り替わります。この時は、フェールオーバするので、一次的に通信切れたりするため、よく気づきます。しかし、スタンバイのVPNbが死んだときは、何も起こらないため気づかないケースもあります。

ただ、スタンバイのVPNが死んだままの状態では問題です。せっかく高いお金をかけて作った冗長構成が動かない状態では、何の意味もありません。
(ただ、最近の機械なかなか壊れないんだよね。本当に待機系っているのかなと思う時ときが多々あります。)
そのためVPNの両系を監視しておく必要が有るんですね。

そういえば、余談ですが、SNMPv2を深く理解している人がどれだけいるのでしょうか。
私も周りの人間も、監視を導入するときは、いつもSNMPについて理解しないまま、ソフトウェアの仕様に合わせて設定しているだけです。そのため、いまいち仕組みをよくわかっていません。(専門書も読んでみたけど、なかなか難解でした。)
もしかしたら、SNMPに代わる監視のプロトコルを考えついたら、億万長者になれるかも。
余談が過ぎました。

 答え:ネットワーク接続の冗長構成が失われたことを検出するため。


H29の終わりに


やっと1年分の午後Ⅰを書き終えました。ほんと私自身も勉強になりましたよ。次回は、過去問解説は1回休んでから、H28の午後Ⅰにチャレンジします。

そういえば皆さんは、勉強はかどっているでしょうか。もう9月も中頃になるので、そろそろ追い込みを始めている方もいるかもしれません。
ただ、ラストスパートにはちと早いので気を付けてください。ネットワークスペシャリストは、考える問題も多いですが、一般的な知識や暗記もので解ける問題が約4割出題されます。暗記ものを本気でするなら最後の3週間です!早く始めても減速します。

ネスぺの勉強を通して、仕事に生かすスキルを身に着けるのは当然のことですが、結局は受からなければ、せっかくの勉強した時間がもったいないです。
なので、スパートをかける元気は最後の3週間にとっておいてくださいね
では、また~

2018年9月12日水曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問3

動的ルーティングはやっぱ便利!

ということで、BGPやOSPFの仕組みについての問題です。今の時代、もうルータやL3スイッチが3台以上並んだら、動的ルーティングです。スタティックでやってるとめんどくさくてかないません。でも、BGPについては本当に勉強不足だな~。一応、問題文で答えが出せるように工夫されていますが、やっぱ知識不足では解けませんね。


設問3.[K社NWとL社クラウドサービスとの経路情報の交換の検討]について(1)~(4)に答えよ。


(1)本文中の下線③について、静的経路制御と比較して動的経路制御を選択した利点を40字以内で述べよ。


利点って、経路情報を簡単に構築できるから簡単で便利だからです。ただ、これだと点数はもらえないです。本文に基づいて少しひねった回答をすればOKです。(私はうまい答えを導きませんでしたが。)

今回の問題で注目すべきは2本のVPNを結んでいます。また、前半の[クラウドサービスとネットワーク接続の検討]の章の中盤に「VPNトンネルは、VPNa1をアクティブ、VPNb1をスタンバイとする。」とあります。
つまり、動的ルーティングで冗長化も実現しようとしているんですね。VRRPとか駆使すればできるかもしれませんが、その前にL3SWがいるから、PCのデフォルトゲートとなるだろう仮想アドレス等あまり考えないで良いんです。

ただ、答えは40字です。上の内容を少し整理してうまく書く必要があります。

 答え:BGPによって回線断や機器障害を検知し、トラフィックを迂回できる。

なるほど。うまい。


(2)本文中の下線④について、パッシブインターフェースの動作の特徴を、20字以外で述べよ。


これは、知識問題です。特にCatalystなどでOSPFを設定したことのある人にはラッキー問題でした。
特にOSPFのエリアの境界あたりルータやスイッチを配置した場合、パッシブインターフェースの設定をして余計な経路情報を出さないためにHelloパケットを止めます。例えば、10系のネットワークでは経路情報を流したいけど、vlan11にだけHelloパケットを出したくない場合は、以下のコマンドを書きます。

 ***********
 Cata1(config)#router ospf 1
 Cata1(config-router)# network 10.0.0.0/8 area 0
 Cata1(config-router)# passive-interface vlan11
 ***********

 答え:Helloパケットを出さない。

(3)本文中の【 A 】に入れる適切な字句を答えよ。


この問題は山勘でも解けます。「大きい」か「小さい」です。(正解率50%)ただ、午前問でもおなじみの内容です。OSPFではコスト値が小さい方を経路として採用します。
それで、(1)でもありましたが、「VPNa1をアクティブ、VPNb1をスタンバイ」です。
本文では、「VPNb1側のコストをVPNa1と比べて【 A 】します。」もう、おわかり。

 答え:大きい


(4)本文中の下線⑤について、経路のループを防止するために必要な経路制御情報を40字で述べよ。


経路情報の再配布は異なるルーティングプロトコル間の通信がある場合に発生することが多いです。本文にもあるように「VPNa1とVPNb1が、BGPで受けた経路情報をOSPFに再配布する」と言っています。

異なるルーティングプロトコル間では、なかなかそれぞれの仕様が異なるから、下手するとループするような経路情報が登録されたりするんですね。TTLが死ぬまでぐるぐる回ります。Tracerouteすると面白いよ。

回避策としてよくやる手は、スイッチのACLなどのフィルタリング設定で、怪しい機器からは経路情報を受け取らないようにします。
昔、私もRIP→OSPF変換でなぜかうまくいかず、ネットでいろいろ調べてルートフィルタリング(経路情報をアドバタイズするかどうかを制限する機能)という設定したらうまくいったことがありました。まぐれでしたが、なんとかクリア。
でも、この問題間違えました。経験生かせてね~。頭悪いのかな~。。自信なくす~。。


 答え:eBGPからOSPFへ再配布された経路をeBGPへ再配布しない。

それにしても、アクセス数増えんな。。

最近は良い問題集が多いからか、アクセスしてくれる人いないな。。
少々心が折れてきましたが、H29問題もあと少し、ひとまずやり遂げるぞ!


2018年9月11日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問2

いきなりインターネットVPN!

次はインターネットVPNについてです。これもネットワーク関連の仕事をしていると年に1回は設定する機会が訪れますが、いつも同じConfigを使いまわしているので、意外と仕組みを忘れてしまいがちです。講評にも「VPNやトンネリング技術について、ネットワーク技術者として正確に理解してもらいたい」とあります。これを機にもう1回復習します。

設問2.[インターネットVPN接続の検討]について、(1)、(2)に答えよ。


(1)本文中の下線①について、今回の構成では、トランスポートモードを選択している。選択した根拠をIPアドレスに着目して30字以内で述べよ。


これは難しい。正直、難解です。つーか、もっと良い方法あるよ!と言いたくなります。なぜなら、2つの用語(機能)を使って、合わせ技で暗号化する必要があるからです。
(仕事ではこの方法は、おそらく選ばないと思う。。)

まずは、IP in IPです。正直、今までほとんど耳にしたことのない言葉です。ただ、何となく、言葉の意味からも分かるように、IPパケットにIPヘッダを付けてカプセル化すると考えます。

次に、午後問に到達している方々はご存知、IPsecにはトランスポートモードとトンネルモードの2つの通信モードがあります。大きな違いは、「もとのパケットのIPヘッダが暗号化されるかどうか」です。トランスポートモードでは、パケットのもとのIPヘッダは変更されませんが、トンネルモードではパケットのもとのIPヘッダも暗号化します。

本文に戻ります。[インターネットVPN接続の検討]の章の初めに、「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して…IP in  IPを用いてトンネルが構成される。このトンネルの通信をIPSecを用いて暗号化する」とあります。

つまり、既にグローバルIPアドレスでオリジナルIPパケットはカプセル化されています。
それを暗号化する際、トンネルモードだと、さらにVPN用の新規IPアドレスでカプセル化して、グローバルIPアドレスのヘッダ以降の全てを暗号化する必要があります。
(せっかく、IP in IPでグローバルアドレスのIPヘッダを付けているのに!)

それに対して、トランスポートモードだと、グローバルIPアドレスのIPヘッダは変更せず、オリジナルIPアドレスのヘッダ以降を暗号化します。
(文章で伝わるかな…。近日中に絵を付けます。待っててね!)

〇トランスポートモード
 IPヘッダ(グローバルIP)
  +ESPヘッダ
   +オリジナルIPヘッダ(プライベート)
    +IPペイロード

〇トンネルモード
 新規IPヘッダ
  +ESPヘッダ
   +IPヘッダ(グローバルIP)
    +オリジナルIPヘッダ(プライベート)
     +IPペイロード

言い換えると、既に、グローバルIPアドレスでの通信できる状態だから、このIPヘッダも含めてIPSecで暗号化しなくて良いってこと!
え~と。だから~。。もうやめます。
※だめだ。。説明が下手だ。。

 答え:暗号化対象の通信がグローバルIPアドレス間の通信だから


(2)本文中の下線②について、IP in IPで作成されたトンネルインターフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を30字以内で述べよ。ここで、インターネットを含むすべてのインタフェースのMTUの値を1,500とする。


(1)にあるように、最初、オリジナルIPヘッダ(プライベート)+IPペイロードまでで、MTU1,500です。それにいろいろ付くので、1,500を超えます。こんな時は、過去問やっていると何回も出ていますが、ルータにて分割(フラグメント)します。ルータが忙しくなるので、負荷が上がります。
ただ、答えを見てびっくり。

 答え:フラグメントとリアセンブルの処理が発生する

なんですか「リアセンブル」って?
調べてみると、通信先のルータで、分割されたIPパケットが全て送信されたら、作り直す(組み立てる)処理を行っているらしい。う~ん。フラグメントだけで、半分点数もらえるのかな。

今回の感想

(1)は時間をかけてやっと解けたけど、実際のテストの時間内では解けなかっただろう。ただ、「グローバルIPアドレス」を使っているという点はかけたかも。(負け惜しみですね。)よーし。また明日もがんばろー!

2018年9月6日木曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問1

OSPFはいいけど、BGPはどうかな… 

ども。問3に入ります。これは当時の試験では選択しませんでした。なぜなら、問題文をパラパラ見たときに、BGPの文字を見つけたからです。正直、使ったことない…です。でも、いずれ使うかも。いや、使う機会ないかも。講評にも設問2,3,4で軒並み「正解率は低かった」とありました。いや、、でも、覚えていて損はないはず。さぁ、挑戦だ!


設問1.本文中の【 ア 】~【 カ 】に入る適切な字句を答えよ。


【 ア 】


これは簡単!文章に「FWでIPアドレスとポート番号の変換処理」とあります。NAPTです。NATではないので要注意です。違いは以下です。(詳しくはグーグル先生へ。)

 NAT(Network Address Translation)
   グローバルIPアドレスとプライベートIPアドレスを1対1で変換。

 NAPT(Network Address Port Translation)
   1つのグローバルIPアドレスと複数のプライベートIPアドレスに変換。
   ※NAPTは名前に「port」が入っています。(IPアドレス+ポート番号を変換)

※NAPT以上に出題回数の多い問題あるのかな。午前問にもありました。
************
問題:ダイヤルアップルータやブロードバンドルータが、IPマスカレード(NAPT)機能実現するために管理している情報はどれか。

【ア
IPアドレスと、ネットワークインターフェースカード固有のMACアドレスの対応


一定時間内にアクセスしたURLとそのページの内容

プライベートIPアドレス及びそのポート番号と、グローバルIPアドレス及びそのポート番号の対応

ホスト名とISPへ接続するたびに変わるグローバルIPアドレスの対応

 答え:ウ

************

 答え:NAPT




【 イ 】


IPsecのVPN通信についてです。IPsecは、本当によく出ます。頑張って覚えよう。(仕事でもよく使うし。)

IPsecではフェーズ1とフェーズ2という2段階で、暗号化用の通信を開始します。
まず、フェーズ1では、お互いのルータ間で認証、鍵の生成、暗号化アルゴリズム(3DESとかAES等)などを決めます。それで、ISAKMP SA(IKE SAとも言う)という制御用のトンネルを作ります。

次にフェーズ2では実際の通信で使う鍵情報:IPsec SAを作ります。IPsec SAは上りと下りで2本です。

説明していて難しいな。ためしにルータか、一番安いFortigateとか買って設定してみてください。(2台いるけど)実際設定してみたら、「なんだそんなことか」という感じ。


この問題では、フェーズ1で、お互いのルータが認証する方法を聞いています。デジタル署名を使う方法とかいろいろあるんですが、一番使われているのが、事前鍵共有(パスフレーズ)方式です。文章の中でも「両方の機器であらかじめ同じ鍵を共有する方式」とあります。

 答え:事前共有鍵(Pre Shared Key)

これも、一度ルータを設定してみてください。「こんな簡単なもの?」と思います。


【 ウ 】


とうとう出ましたBGP。まずはBGPについて、下の午前問題(頻出)を読んでください。

************
問題:IPネットワークのルーティングプロトコルの一つであるBGP-4の説明として、適切なものはどれか。ここで、自律システムとは、単一のルーティングポリシによって管理されるネットワークを示す。

】経由するルータの台数に従って最短経路を自動的に決定する。サブネットマスクの情報で通知できないなどの理由で、大規模なネットワークには適用しにくい。


】自律システム間を接続するルーティングプロトコルとして規定され、経路が変化したときだけ、その差分を送信する。

】自律システム内で使用され、距離ベクトルとリンクステートの両アルゴリズムを採用したルーティングプロトコルである。

】ネットワークをエリアと呼ぶ小さな単位に分割し、エリア間をバックボーンで結ぶ形態を採り、伝送路の帯域幅をパラメータとして組み込むことができる。


 答え:イ

 ア:RIPの説明

 イBGP-4の説明
 ウEIGRPの説明
 エOSPFの説明

 EIGRPは、Ciscoだけの機能ではないのか…(まぁ、いっか。)
************

本題に戻ると問われている用語は「特定のルーティングポリシーで管理されたルータの集まり」です。上の参考問題の中に入っちゃってますが、「自律システム:AS」のことです。因みにASとは、これも午前問題で問われてます。

************
問題:BGP-4におけるASに関する記述として,適切なものはどれか。

【ア
あるルータが作成したRouter-LSAが伝播するルータの集合である。

接続されるルータの数,ブロードキャストやマルチキャストの使用の有無,トポロジ種別などによって区分けされたネットワーク群であり,Helloプロトコル
によって隣接関係を確立する。

同一の管理ポリシによって管理されるネットワーク群であり,2オクテット又は4オクテットのAS番号によって識別される。


リンクステート型の共通のプロトコルを使用して,ルーティング情報を相互に交換するルータの集合である。


 答え:ウ(ア、イ、エはOSPFの説明)

************

 答え:AS


【 エ 】


これ、解けなかった。。答えを見て、問題文投げたくなったし。
でも、文章の中に「トランスポートプロトコル」とか、「ポート番号」とか「コネクション」とかって親切に言ってますね。。

 答え:TCP

ちくしょー!考えすぎた!


【 オ 】【 カ 】


突然、Pingの問題です。因みに、これを「ピング」って読む人は日本人だけです。正式には「ピン」です。そこんとこ、よろしく。(でも仕事で「ピン」って使うと少し恥ずかしい気持ちになる。)
pingのプロトコルはICMPです。これはTCPやUDPと同じL4です。
通信試験でおなじみのコマンドで、echo requestを監視対象機器に飛ばしてecho replyが返ってくることで疎通できるか確認します。

 答え:オ:ICMP、カ:echo reply


なんか、知識問題の説明は、自分のつたない日本語より、午前問の例題の方がわかりやすいですね。今度からそうします!


2018年9月4日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問4

VDIは仮想。だから何かあったら大変!

VDIは当然、物理的なクライアントではないので、ウィルス感染などの被害にあったときに、ケーブルを抜くなどの簡単な操作では対応できません。そのとき、どうするというのが問われています。あまり深く考えずに、素直にいきましょう。


設問4.本文中の【 ア 】~【 ウ 】に入れる適切な字句を答えよ。


【 ア 】


上と同じことを言いますが、仮想PCにはケーブルが繋がっていません。では、ウィルスなどのマルウェアに感染した時にはどうすればいいのでしょうか。まずは、他への感染を防ぐために、対象の仮想PCをネットワークから遮断する必要があります。文章には「その仮想PCを【 ア 】から切り離す」とあります。
そこで、文章に戻ると、前半の[VDIの事前調査]の章をみると、(2)に「仮想PCは仮想SWとの接続によって、外部との通信が可能となる」とあります。

 答え:仮想SW


【 イ 】、【 ウ 】


まず、この問題は標的型攻撃対策装置がC&CサーバのIPアドレスを特定した時の話です。
C&Cサーバって何でしょうか。
グーグル先生に聞くと以下の答えが返ってきました。

C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのことである

なんか漫画「ブラッディ・マンデイ」に出てきそうな攻撃です。
(こういうのをかっこいいと、つい思ってしまいます。)
要はクライアント側がインターネット上のサーバと何らかの通信をするということです。

次に、UTMで行うフィルタリング定義についてですが、本文中では、「インターネット方向の通信を遮断する」とあります。つまり、内部LANからインターネットへの上向きの通信で対応しちゃおうということです。

そうなると送信元である【 イ 】は、他の仮想PCも含めて全て(任意)ですね。宛先の
【 ウ 】はC&Cサーバです。

 答え:【 イ 】:任意、【 ウ 】:C&Cサーバ

私、【 イ 】の答えに「any」と答えてしまいました。あれは正解だったのかなぁ。。部分点もらえなかったかな。。


問2を書き終えて思うこと。

ブログを書き始めて、2週間近くたち、グーグル先生で検索かけても、なかなか出てこない日々が続きました。(正直、独り言はさみしいっす。)でも、いろいろと調べてみると、「Google Search Console」に登録しないといけなかったんですね。あと、誰かにリンクしてもらわないと、クロールという人が見つけてくれないんですね。
今まで離れ小島だったんだ。。
勉強不足でした。
この世界もまた深い。

ただ、今日、初めて検索に引っ掛かりました!うれしい!

やる気が出ました。まだ、身内にしか見られていませんが、誰かの目にとまり、誰かの役にたてるときが来る日を楽しみに、続けるつもりです。
H29もあと少し。頑張ります。
だれかリンクしてー!


【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問3

一旦VDI関係は忘れて、今度は帯域制御です!


ども。設問3に入ります。先ほどまでは、VDI関係通信について触れておりましたが、今度は、VDIをするときの帯域制御についてです。


設問3.[帯域制御の設計]について、(1)、(2)に答えよ。


(1)本文中の下線④について、帯域制御の設定を行わなかった場合、TCの操作性が悪化することが懸念される。TCの操作性が悪化する原因を、プリント通信の特性に着目して25字以内述べよ。


何を聞いているかわからない…。VDI通信とプリント通信が一緒だとTCの通信用の空きがなくなるからじゃないの…?
よくわかりませんが、とにかく問題文に「プリント通信の特性に着目して…」とあります。なので、こういう時は素直にプリント通信の特性を探してみよう。

本文には「PCからプリントサーバに印刷データを送信したときは、一次的に大量の帯域を使用する」とあります。つまり、プリント通信は、回線の帯域をあるだけ全部使っちゃうんですね。そこで、帯域制御をしていないと、画面転送が遅延してしまいます。

仕事の中でもよくあります。クライアントが一斉にソフトのアップデートをかけたりして、帯域不足となり、業務システムへのアクセスができなくなったりします。

ただ、問題に「操作性が悪化する原因」とあります。深く考えすぎてしまいがちですが、ここの答えはいたってシンプル。

 答え:プリント通信が画面転送通信を圧迫するから。

この答えをすぐに出せる人いるのでしょうか。。
まぁ、ネスぺの問題の鉄則で、「理由を聞かれたときはシンプルな答え。目的を聞かれたら深い答え」と覚えておきましょう。私も自信はなかったですが、時間がなかったので、
とりあえず、「えい!」と書いたらあたりました。よかった。。

(2)本文中の下線⑤について本社から各支店方向の通信の帯域が、各支店のアクセス回線ん契約帯域を超過した時、帯域制御装置がパケットに対して行う制御の内容を、15字以内で述べよ。


ここではシェーピングの機能にかんする説明を問われています。この問題は午前問を繰り返し説いていた人にはラッキー問題です。なぜなら、何年に一度必ずでる問題だからです。午前問題で以下のような問題があります。

************
問題:ネットワークのQoSで使用されるトラフィック制御方式に関する説明のうち,適切なものはどれか。

【ア通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の
状況に応じて通信を制御することを,アドミッション制御という。


入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分の
パケットを破棄するか優先度を下げる制御を,シェーピングという。


パケットの送出間隔を調整することによって,規定された最大速度を超過しない
ようにトラフィックを平準化する制御を,ポリシングという。


フレームの種類やあて先に応じて優先度を変えて中継することを,ベストエ
フォートという。

************

答えは「ア」です。ただ、ポイントはそこではなく、この問題文では、「イ」と「ウ」の説明が「シェーピング」と「ポリシング」で逆なんですね。つまり、「シェーピング」はパケットの「送出間隔を調整」するのです。(「エ」を選んだ方。。勉強不足ですよ。もう一度午前問題にチャレンジしてください!)

 答え:送出タイミングを調整する。


なんとなく、解説書っぽくなってきました。(自己満)
明日も頑張るぞ!みんな、がんばれ!


2018年8月29日水曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問2

VDI関連で必ずでる王道問題!

ども。前回の設問1に引き続きVDIの問題です。ここに出た問題はVDI関連問題において王道中の王道です!ぜひ体験してください。因みに平成22年度午後Ⅰ問2が仮想デスクトップ(シンクラ)問題です。こちらも要チェックです。

設問2.[ネットワーク構成の検討]について、(1)~(3)に答えよ。


(1)本文中の下線③について、VDI導入前に広域イーサ網を経由する通信を一つ、VDI導入後に経由する通信を二つ、本文中の通信名を用いてそれぞれ答えよ。


まず、「VDI導入前」とは今の図1の構成のことです。図1の中の広域イーサ網とはL2通信できる回線のことです。なので一般的なLANと同じような通信が可能です。もちろんブロードキャストも通信されます。
文章の前半に「現行のネットワークでは、次の3種類の通信が行われる」とあります。その3つの中から1つ選べば良いのですね。因みに以下です。

 ①ファイル転送通信
 ②プリント通信
 ③インターネット通信

上の中で支社から本社への通信は、PCからファイルサーバへの通信①になりそうです。

次に、「VDI導入後」ですが、お分かりのように図2です。ここで、早まって①インターネット通信を選んではいけません。VDI関連問題でのポイントはPCは仮想PCであって、VDIサーバの中にあるということ。必ずこの問が1問はでます。それで、文章を読んでいくと、「仮想PCから行われる通信」というものがあります。そこに2つあります。

 ①画面転送通信
 ②ファイル転送通信
 ③プリント通信
 ④インターネット通信

上の①~④の中で支社から本社への広域イーサ網を通るのはどれか。まず、TCから仮想PCにつながらないと何もできないため①です。次が難しい!②のファイル転送は、実際は仮想PCからファイルサーバへの通信のため、広域イーサ網を通らない!(TC → 仮想PC → ファイルサーバ)。④のインターネットも同じ!(TC → 仮想PC → インターネット)。あと1つはプリント通信。これはプリンタが支社にあるから通る!

 答え:VDI導入前:ファイル転送通信、VDI導入後:画面転送通信、プリント通信


(2)本文中の【 a 】~【 c 】に入れる適切な数値を求めよ。


計算問題です。なぜか午後問の計算問題苦手なんだよね。。ちょっとひねってるから。

【 a 】

文章中に【 a 】の計算方法は、以下とあります。

 [アクセス回線の契約帯域] ÷ [ピーク時に必要な帯域]=安全率

また、(1)の問題で、現行(VDI導入前)の通信はファイル転送通信だけでした。よっしゃ、わかった。あとは文章中の数字を入れるだけ。

 [アクセス回線の契約帯域]
 →前半にある「本社が1Gビット/秒、各支社が100Mビット/秒」
 
 [ピーク時に必要な帯域]
 →本社従業員向けに200Mビット/秒、全ての支店従業者向けの合計が800Mビット/秒

どの数字を使えばいいんだ。。広域イーサ網は支社と本社間の通信で使用します。
そのため、以下になります。

 [1Gビット/秒] ÷ [800Mビット/秒]=1.25
 
 答え:a)1.25

【 b 】【 c 】

正直、私はこれは答をかけず空欄でした。今じっくり読んでみて時間をかけたらわかった。文章中にいろいろな数字があるからこれは罠です。
ポイントは、まず支社は10カ所ということ。次に(1)の答えでVDI導入後の通信は、画面転送通信とプリント通信の2つで文章中に「プリント通信は確保しない」とあること。最後に、図2の中に、「各支社の従業員40人」とあること。(ここがみつけきらんかった!)

 本社への通信料=200Kbps × 10カ所 × 40人 = 80Mbps 
 これに安全率1.25をかけると、100Mbps。支社は10カ所で1/10なので10Mbps。


 答え:b)100、c)10


(3)本文中の下線②について、インターネット接続回線を廃止する理由を、インターネットの通信に着目して30字いないで述べよ。また、現行ネットワーク構成と比べた時の情報セキュリティ対策上の利点を30字以内で述べよ。


まず、1つ目のインターネット接続回線を廃止する理由です。これは、(1)でもあったようにインターネット通信は [TC] → [本庁の仮想PC] → [インターネット]に変わるから。つまり、支社にインターネットの出口は必要なくなるからです。

 答え:インターネット通信は本社の仮想PCから行われるから

次に、情報セキュリティ対策上の利点についてです。これは確か午前Ⅱの過去問に似たようなものありました。(文章中にヒントがあるのかな。見つけきらなかった。。)

クライアントの運用の難しさは、いろんなところにバラバラあることなんだよね。パッチとかウィルスソフトのパターンファイルとか当てるのにも帯域使ったり、人の手介したり、おまけにどこにいるかわからなくなったり。VDIの利点は、その逆です。1カ所にいつもあること。それを考えると以下の答えになります。これは暗記で良いかも。

 答え:情報セキュリティ対策を本社で集中的に行うことができる。


今回は、長かった~。でも気持ち良いほど王道!

2018年8月28日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問1

今度はVDI!

問1に比べたら少し簡単な問題でした。講評にも「全体として、正解率は高かった」とあります。私は当時、問1と2を選んだのですが、正直、この問2に救われました。(先週まで問1を偉そうに解説しましたが、実は間違いだらけでした。あぶなかった。)
なお、世の中にはいろんなVDIがありますが、ネットワークスペシャリストでは、細かいソフトウェアの仕様より、VDIで使う通信が話題となります。
それでは、今週もがんばろー!


設問1.本文中の下線①の現象を引き起こすトラフィックを何というか。15字以内で答えよ


まず、下線①を参照すると、「PCからプリントサーバに印刷データを送信したときは、一時的に大量の帯域を使用する。」とあります。これは知っている人は解けた問題ですね。短時間で急激に(わーっと)通信料が増える通信のことで、一般的にバーストトラフィックといいます。FTPとかがバースト性が高いといわれています。仕事をしているとたまに使う言葉で、「通信がバーストしているため異常な状態です」とか言うと、お客さんや業務SEから尊敬されます。

 答え:バーストトラフィック


今回は、かなり短い問題でした。
少しボリュームが少なかったので余談をします。
このネットワークスペシャリストという資格ですが、H29の合格率は13.6%だそうです。結構な難易度です。

今、勉強を頑張っている方、本当に受かってほしいです。
心からそう思います。

なぜなら(ここからは私の合格体験記になりますが)、受かると、とても嬉しいからです。子供みたいな感想ですみません。
ただ、これは本当のことです。特に、私のような特別でない普通の人間でも、技術者の入り口に立てたということが、精神的にもすごい支えとなりました。
それに、「ネットワークスペシャリスト」という名前がとにかくかっこ良いと思いませんか?この資格の名前を考えてくださった方、本当にあざーす!
あと、嫁さんがすごい褒めてくれました。

でも、合格するためにはやっぱり、それなりの時間をかけないといけません。
ということで、家に帰っても、なかなかやる気が出ないという方に、私のおすすめの方法を紹介したいと思います。
それは、とりあえずテレビを消して、時計を見ながら15分ボーっとすることです。15分もぼーっとしていると、いい加減に飽きて、しかも、なぜか少し焦りがでて、何かしたくなります。そこで過去問を解きます。
以上です。

答えは次の日の通勤電車の中で本を開きます。(このブログでも良いです!)

このブログを見てくれた人が、合格できますよーに!


2018年8月25日土曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問1-設問4

今度はL3スイッチのACL!

前回の続きで、今度はL3スイッチのACLに関する問題です。特に開発用LANについては、なんでこんな回りくどい方法で通信制限するんだと思いました。ACLがあるなら、それで直接制限すればいいじゃないか! …さぁ、問題に愚痴らず、がんばろー!

設問4:問題1の解決策について、(1)(3)に答えよ。


(1)本文中の下線(Ⅳ)について、表2のアクセスリストを設定すべきインターフェースを、図2中のの表記で全て答えよ。ここで、アクセスリストはインターフェースの入力方向に設定するものとする。


まず注意しないといけない点は問題文の「アクセスリストはインターフェースの入力方向に設定するものとする」です。フィルタリングのことを考えるときは必ず向き(通信の方向)を意識することが重要です。

次に注意する点は文章中の「Sさんは、問題1の解決策は…」の部分です。
問題1とは「顧客システム構築ネットワークに対して、当該業務とは関係がないPCから不
正なアクセスを受ける可能性がある」でした。
不正なアクセスとは… ここが悩むところですね。

ただ、これ、答えが文章の中に書いてました。表2の下です。
「具体的には、開発LANから顧客システム構築ネットワークへの直接アクセス(SSL-VPNを経由しないアクセス)と、それ以外の不正な通信を禁止する。」

例えば、E社システムサーバ機器を見た場合、まず、開発LANからの直接アクセスは禁止なので、⑤に入ってくる通信は禁止です。次に、F社、G社システムサーバ機器からの通信は不正というかいらない通信です。また逆にF社、G社システムサーバ機器から見るとE社システムサーバ機器からの通信は不要です。なので、②、③、④への入力は禁止です。
①についてですが、FW経由で内部LANに直接入ってくる通信はないので対象外ですね。あと、⑥ですが、ここで172.16.0.0/16を禁止しちゃったら、せっかくVPN組んだ意味がない!ということで対象外です。

 答え:②、③、④、⑤

因みに、私は「具体的に…」の文章を見落としてて、見つけるのに15分ぐらいかかっしまいました。後の問題の時間が無くなり、かなり焦った。。(時計を見て一瞬頭が真っ白。)


(2)本文中の下線(Ⅴ)について、禁止される通信は何か。本文中の字句を用いて45字以内で答えよ。


あれ?この問題は、(1)とほぼ同じ内容が問われていますね。でも、短い文章でわかりやすく答えを書くのってすごく難しいですよね。私はテストで良い点をとるコツは知りませんが、答えを書くルールは勉強しました。(前に読んだ参考書に書いていました。これを書いた先生、パクッてすみません。)

 ・問題文で「…通信は何か」と聞かれたら、答えの最後に「○○通信」と書きます。
 ・問題文で「…理由は何か」と聞かれたら、「○○だから」と答えます。
 ・問題文で「…目的は何か」と聞かれたら「○○ため」です。

IPAの答えはかなり上手な文章でした。さすがです。

 答え:顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信

因みに、別の参考書に、「答えを書く前に、関係のありそうなキーワードを紙の余ったところに羅列し、接続後などで結び付けて作文しよう」とありました。
あの短い試験時間の中で、こんなに時間的に余裕のある人はいるのだろうか…
私は挑戦しましたが、当日パニクってうまくできませんでした。。


(3)本文中の下線()について、表3のアクセスリストを設定すべきインターフェースを、図2中のの記号で答えよ。ここで、アクセスリストはインターフェースの入力方向に設定するものとする。


設問1の最後の問題です。
まず、表3を見ると、送信元のIPアドレスに10系のアドレスが並んでいます。次に宛先IPアドレスを172系のアドレスが並んでいます。また、注記2に「どのルールにも該当しないものは禁止される」とあります。(暗黙のDenyというやつです。)

表3の1行目は、E社がSSL/VPN接続して、SSL-VPN装置で10.100.1.1~200のうち1つのIPアドレスが割り当てられて、そのIPアドレスで、E社システムサーバ機器:172.16.100.0/24とだけ通信できると言っています。逆を言うと、E社のPCからF社、G社のサーバへはアクセスできないということで、問題文にある「VPN-PCからの不正な通信を禁止する」という意味になります。

このフィルタリングリールが必要なインターフェースは、そう⑥です。
(他の①~⑤に繋がっている機器は、そもそも10系のアドレスではないです。)

それにしても、なぜ割当IPアドレスが「1~200」なのでしょうか。書いていませんが、「201~254」は、SSL-VPN装置やL3スイッチなどで使われているのでしょうね。

 答え:⑥


ふ~。あまり技術的なところを、うまく説明できませんでしたが、おいおい(私も勉強しながら)紹介していくつもりです。

2018年8月24日金曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問1-設問3

最頻出!ファイアーウォールの問題!


今度は、SSL/VPN接続した後、どのような通信を行うかです。特にファイアーウォールのフィルタリングルールに関してで、毎回おなじみの主題形式となっています。ここは絶対落とすことはできません!

設問3:表1中の【 カ 】~【 ケ 】に入れる適切な字句を答えよ。


FWルール問題出たー!この試験を受ける方は「FWを設定したことがある」という方が多いかもしれません。(仕事をしていない学生さんはすみません。)必ず1問は出るので、絶対覚えてください。


【 カ 】、【 キ 】、【 ク 】


FWルール問題の中でも、元先のネットワーク名を書かせる問いが必ず出ます。表11行目がそれにあたります。それで、表1の下の図2を見ると、そこには新しく必要になる通信が点線で書いてあるので、「あ、【 カ 】は「開発LAN」で【 キ 】は「SSL-VPN装置」ね!」と回答しがちです。
しかし、宛先IPアドレスを見ると「202.y.44.0/28」とあります。あれ、なぜ「202.y.44.2/32」じゃないんんだ!と気づいた方。かなり正解に近いです。
もう1つ通信を忘れておりました。問題文の冒頭に「H社は内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている」と記載がありました。なるほど。これをまとめると、【 カ 】はもっと広いネットワークで、「内部LAN」となりそうです。また、【 キ 】は、DMZです。さらに、【 ク 】は図2を見ると「172.16.0.0/16」とあるので、それが正解になりそうです。

 答え:【 カ 】:内部LAN、【 キ 】:DMZ、【 ク 】:172.16.0.0/16

【 ケ 】


表1の3行目の通信です。アクセス経路が「インターネット → DMZ」とあります。あと「プロトコル/宛先ポート」が「TCP/443」です。今SSL-VPNの問題を解いているので、そう、SSL-VPN装置のアドレスです。ただし、表中の他のアドレスがCIDR表記なのを忘れずに!

 答え:202.y.44.2/32


因みにFWルール問題の注意事項です。TCP/IPの通信には、ご存知の通り行きと帰りがあります。ネットワークスペシャリストに出てくるFWは、行きの通信に合わせて帰りの通信を判断してフィルタ透過します。ベンダごとに違いはあるようですが、ステートフルインスペクションとか動的フィルタリングとか言うようです。両社の違いは、いろいろと読んだのですが、私の知識・経験では説明できませんでした。。すみませんが、詳しくはまたググッて下さい。(私にも教えてください。)

あと、私の説明でもよく「このネットワークが…」といいますが、この「ネットワーク」という言葉。わたくしはL2通信できる範囲で使っています。なので、ルータやL3スイッチ、FWで区切られて分割されたアドレス体系の一部を指しています。間違えていたらすみません。こちらも正しい使い方があったら、だれか教えてください。


2018年8月22日水曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問1-設問2

SSL/TLSアルゴリズムの問題は続く!


設問1に続いてSSLの基本動作についてです。よく考えるとSSL/TLSに関する知識問題だけで、結構な問題量です。

設問2:[顧客システム構築業務の問題とその解決策]について(1)(3)に答えよ。


(1)本文中の下線()について、2種類の暗号アルゴリズムと1種類のハッシュアルゴリズムのそれぞれの用途を応えよ


この問題では、SSLを行うときの手順について問われています。
これは、設問1の【 ウ 】、【 エ 】で説明しました順番の通りです。
この中で、暗号化アルゴリズムを使うのが2つ、ハッシュアルゴリズムを使うのが1つります。さぁ、どれでしょうか・・・

結論から言うと、③、⑥と⑦と⑩、⑫で使われます。
③、⑥では、サーバ証明書やクライアント証明書をそれぞれ暗号化して送りあって、それぞれが正当な相手かどうかの認証処理を行います。
次に、⑦では、クライアントがプリマスターシークレットという48バイトの乱数を暗号化して送ります。それぞれがこのプリマスターシークレットから鍵を作ります。この結果、サーバとクライアントは同じ鍵を作ることになるため、これを共通鍵として使用します。
最後に、⑩と⑫では、一連の通信でのやり取りをメッセージ認証コードとして交換し、第三者に改ざんされていないかお互いチェックします。

よくできた仕組みですね。やっぱりここはフル暗記です!一度ググッてみて詳しいサイトをぜひ読んでみてください!

 答え:暗号化アルゴリズム:鍵交換、認証 ハッシュアルゴリズム:メッセージ認証


(2)本文中の下線()について、判断の根拠となった、H社が構築する顧客システムの特徴を30字以内で述べよ。


 いよいよネットワークスペシャリストらしい問題となりました!
下線(Ⅱ)は、「H社の場合はL2フォワーディング方式が望ましいと、Sさんは判断した」とありました。SSL-VPNの特徴は、設問1の【 オ 】で説明したとおりです。
ここで考えないといけないのは、この顧客システムは何をしているものなのだ?ということです。仕事で使うシステムがWeb系(HTTP)のシステムばっかりなので、勝手にそう思い込んでおりました。問題をよく読みなおしてみると冒頭に、「様々なサーバ機器、OS、ミドルウェアなどを組み合わせて構築され、利用されるプロトコルも様々である」とありました。
そうでした。システムは、メールやらVDIやらVoIPやらいろいろなシステムがあります。その通信をいろいろと考えずに使うには、やっぱL2通信!ということで答えは以下。

 答え:顧客システムは、様々なプロトコルを利用している。


(3)本文中の下線()について、割り当てられたIPアドレスは、PCのどのネットワークインターフェースに設定されているか。図2の字句を用いて答えよ。


 これは過去問(平成20年午後Ⅱ)をといておけば答えがわかります。そこでは午後Ⅱだったので、かなり詳しい内容まで突っ込んで問われています。で、わたくしは「ソフトNIC」と答えちゃいました。チクショー。設問には「図2の字句」とあります。そのため、答えは以下。(問題はちゃんと読みましょう…)

 答え:vNIC

因みに、L2フォワーディング方式はメーカーごとにいろいろな方法があるため、一概にこれが正しい方法というのはありません。
ただし、文章には顧客システム構築ネットワークは「172.16.z.0/24」で、図にはSSL-VPN装置のIPアドレスプールは「10.100.k.1200」とあります。L2フォワーディングといいつつ、IPL3)通信をしてそうです。(SSL-VPN装置がルータやL3スイッチのようにIP中継しているといえます。)ネットワークスペシャリストでは過去問をみてもなぜかこの方式です。(今後はL2のフレームをカプセル化する問題が出るかもしれません。)

2018年8月21日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問1-設問1

頻出!SSL/VPNに関する問題!


本ブログにおける初の問題はSSL/VPNとなりました。VPN関係はかなりの頻度で出るので、絶対おさえておきたい内容です。同じSSL/VPNL2型の問題が平成20年に出題されてて、これをやった人は「来たー!」となります。私も飛びつきました。が、甘かったです。内容が難しい。IPAの採点講評にも「全体として正答率が低かった」とありました。何となく技術的な部分以上に文章の読解力が必要だったような気がします。

設問1:本文中の【 ア 】~【 オ 】に入れる適切な字句を答えよ。


【 ア 】


文章の中に、「十分な安全性を確保できないとされるハッシュアルゴリズム」とあります。1つはMD5で文章中にあるので、あと一つは?ってことです。
昔よく使われていて今使われていないのはMD5SHA-1です。これは暗記してください。

MD5128ビットのハッシュ値を返す。
 ・SHA-1160ビットのハッシュ値を返す。

下の奴はシャーワンと呼ぶそうです。仕事の時にシャーイチと言っていた。少し恥ずかしい。。今主流はSHA-2です。224256384512ビットの値を返します。特に256がよく使われます。

答え:SHA-1


【 イ 】


文章中に「MD5又はSHA-1を使用しないで済むようにTLSのバージョン【 イ 】以上を利用する」とあります。現時点で、TLSで安全とされているバージョンは1.2です。因みに1.3もあるそうですがまだドラフト版で定着していません。解く時代が変わると答えもかわりますね。あまり良い問題ではないかも。だから解けなくても良いかも。

 答え:1.2


【 ウ 】、【 エ 】


ウとエは続き物です。文章中に「SSL/TLSのコネクション開設時に、クライアント側から贈られる【 ウ 】メッセージとサーバ側から贈られる【 エ 】メッセージの交換」とあります。まず、SSLの通信は以下の流れを覚えておく必要があります。(というか、これだけきっちり覚えていたら大体の問題は解けます。)

①暗号スイートをどれにするか聞く
 クライアント →(Client Hello)→ サーバ
②暗号スイートの決定結果を送る
 クライアント ←(Server Hello)← サーバ

③サーバ証明書を送る
 クライアント ←(Certificate)← サーバ
※クライアント側にてサーバの認証
④クライアント証明書をくださいと言う ※クライアント認証をする場合
 クライアント ←(Certificate Request)← サーバ
⑤メッセージを送ったとの通知
 クライアント ←(Server Hello Done)← サーバ

⑥クライアント証明書を送る ※クライアント認証をする場合
 クライアント →(Certificate)→ サーバ
※サーバ側でクライアント認証
⑦プリマスターシークレット(乱数)を送る
 クライアント →(Client Key Exchange)→ サーバ
 ※サーバ側、クライアント側でプリマスターシークレットから共通鍵を作成する。
⑧クライアント署名を送る ※クライアント認証をする場合
 クライアント →(Certificate Verify)→ サーバ
⑨暗号化の開始宣言
 クライアント →(Certificate Chipper Spec)→ サーバ
⑩これまでのメッセージ確認
 クライアント →(Finished)→ サーバ

⑪暗号化の開始宣言
 クライアント ←(Certificate Chipper Spec)← サーバ
⑫これまでのメッセージ確認
 クライアント ←(Finished)← サーバ

長い!本当にあの一瞬でこんな処理が行われているのか!?と疑いたくなりますが、実際に行われているそうです。因みに⑦のプリマスターシークレットって何かと言うと、共通鍵を作成するためにクライアントとサーバが共有する情報で、サーバの公開鍵で暗号化されたものが送られ、サーバは秘密鍵で復号します。よくわからない方は、ググってください。たくさん検索結果が出てきます。(ただし、よくわからなくても絶対暗記です!)

 答え:ウ)Client Hello エ)Server Hello


【 オ 】


文章中に「SSL-VPNの基本的な動作」とあります。これも以下の3つの方式を暗記です。過去問を数年分解いていたら、全方式の出題例があるので悩まず書けるはずです。(さぁ、過去問を解こう!)因みに実務ではポートフォワード方式を使ったことはありません。大体は、利便性からリバースプロキシ方式かL2フォワーディング方式でした。

①リバースプロキシ方式(平成18-午後Ⅰ)
 →リバプロサーバで代理応答。ブラウザ上で動くアプリのみ対応可能。

②ポートフォワード方式(平成25年、23年午後Ⅰ)
 →クライアントに専用ソフトか、アクセス時にJavaアプレットをダウンロードしてから
通信する。ポート番号が固定の場合は使える。

L2フォワーディング方式(平成28年午後Ⅰ、平成20年午後Ⅱ)
 →クライアントに専用ソフトが必要。L2通信なので、大概のことはできる。

 答え:リバースプロキシ

2018年8月20日月曜日

【ネスペ過去問解説】午後問を始める前に

ネスペ午後問解説プロジェクト開始!


このサイトにアクセスしていただき、どうもありがとうございます。
私は、普段、地方の会社でITインフラ系の設計・構築をしているものです。
日々ネットワーク職人になるために精進しておりまして、2017年にやっとネットワークスペシャリストを獲得できました。
ここで得た経験が皆さんの役に立てたらと思って、このブログを立ち上げました。
このサイトでは、ネスペの過去問の中で、特に午後Ⅰを中心にで解説します。
なぜ、午後Ⅰかというと、文章量、問題数など気軽にできるサイズで、私個人的に好きだからです。(一応午後Ⅱにも頑張ってチャレンジしてみます。)


午前問について


ネットワークスペシャリストでは、午後問に入る前に午前Ⅰと午前Ⅱの2つの関門があります。それについても少しふれておきます。それぞれの特徴は以下です。

〇意外と難しい午前Ⅰ
試験区分レベル3で選択形式(4択)の問題が合計30問出題されます。その中で6割(18問)正解するとクリアとなります。また、1回合格すると、翌2回は、午前Ⅰ免除という形で試験を受けなくても良いというありがたい制度が採用されています。
ちなみに試験区分とは、難易度的なやつでレベル3は「応用情報技術者試験」クラスとのこと。
  
〇実務をしていたら案外いける午前Ⅱ
試験区分レベル4で選択形式(4択)の問題が合計25問出題されます。その中で6割(15問)正解するクリアです。これには免除制度はありません。
 実務を経験していると結構使う用語に関する問題が多く、午前Ⅰより行けるのでは?と思う人も多いです。


午前問題の傾向


午前Ⅰと午前Ⅱともに、過去の出題問題と全く同じか少し変化させたもの(変化球)が、全体の約6割出題されます。そのため、電車の移動中やちょっとした時間に、何度も何度も繰り返しといてください。最近では、携帯からでも問題をクイズ形式で出題してくれるサイトもあるので、半分楽しみながらするのも良いと思います。

ただ、答えを覚えるだけだと変化球に対応できなくなるので、都度解説を読んで、なんで正解/不正解なのか理解しておく必要が有ります。
でも、まぁ、安心してください、最初は0点でも3ターン超えるころには何となく答えがわかるようになっています。
あと、知っておきたいのは、直前の年や期の問題はあまり出ないということ。大体2つ飛ばし以下ってとこです。(午前Ⅱでいうと、2つ飛ばしは、2018年だったら2016年以前の問題がよくでる。)


午前問の勉強方法


勉強のやり方として、まずは2週間程度で参考書(教科書的なもの)をざっと読んでください。そして、先に書いた方法で午前Ⅰと午前Ⅱの過去問をひたすら1ヶ月間解いてください。
そしたら、大体平均して6~7割とれるようになります。
そこまで来たら、午後問への挑戦開始です。
さぁ、IPAのサイトに行って、過去問を落とそう!
(やっと土俵に上った感じです!がんばろー!)