【ネスペ】令和4年春午後1問1の解説(ネットワークスペシャリスト試験)
このNoteでは、ネットワークスペシャリスト試験 令和5年春午後1問2の解説をします。
今回のテーマは、隔離したネットワーク間でのファイルの受渡しと、ネットワーク機器の監視についてでした。
設問と答えは、オーソドックスなネスペだな、という印象でした。無茶ぶりはなかったので、腰を据えて解けば大丈夫です。
ひとまず問題文を読んで「USBメモリってセキュリティ的にやばいなぁ」「面倒くさい手動手続きだなぁ」と思えば、セキスペでもネスペでも良いセンスです。
このNoteは私の学生時代の独学合格体験、IT専門学校での資格対策授業の経験を盛り込んでいます。少しでも信用して頂けたら嬉しいです。
それでは始めましょう!
\私の3ヶ月の学習記録/
設問1(1)a | SyslogかSNMPか
設問1(1)a:Syslog
今後は必ず正解してください。
Syslogプロトコルは良く出てきます。失点しちゃったならここで覚えましょう。
SNMPと書いた方は惜しかったですね。でもいいセンス。今後はSyslogとSNMPの2択でいきましょう。>SNMPのNote
SNMPとSyslogの違いが気になりますよね。ネスペ平成30年秋午後1問2に出題されました。
SNMPはネットワーク/機器の監視に特化、Syslogは機器/アプリのログ収集に特化。SNMPの方がネットワーク接続については深堀調査し易いとのこと。>SNMPとSyslogの違い(Youtube, まさるの勉強部屋様)
設問1(1)b | 基礎は落とさない
設問1(1)b:ダイジェスト
必ず正解してください。午前2で対策済みですから。>HTTPの認証Note
ベーシック認証:IDとPWDを平文で送ります。base64でエンコードし暗号化はしません。
ダイジェスト認証:IDとPWDをハッシュ値にして送信します(ハッシュ関数はMD5)。
認証に関連してPAP, CHAP, EAPも知っておきましょう。>PPPの認証
設問1(1)c
設問1(1)c:CONNECT
今後必ず正解してください。
HTTPで~メソッドといえば、GETかPOSTしか知らなかったから勘でどちらか書いた方OKです。CONNECTもカードに加えましょう。>GET/POSTのNote
GET:情報をURLに含めて伝送する。「https://www.bing.com/search?q=IPA」
POST:情報をHTTPボディに含めて伝送する。
HTTPコマンドには、GET, POST, CONNECTだけでなく、GET, POSTなどもあります。HTTPコマンド(リクエスト)は、:method属性に格納されます。さらに属性には:schemeや:pahtなどもあります。
なぜ私がこんなに書いたのか。違和感を持って下さいね。出たってことですよ。>NW令和5年春午後1問1の解説Note
高度試験は同じ答えを問われるのは稀です。しかし、同じテーマの違う用語を問うのは良くあります。復習で正解を学ぶだけでなく、テキストやWebで周辺もまとめて勉強してください。芋づるで勉強して効果を実感して欲しいです。
設問1(2) | 当たり前の言語化
設問1(2):社外からサーバに侵入されたときにOAセグメントの機器に侵入されるリスク
サーバをDMZに置くのは当たり前ですね。
いざ問われると言語化が難しいですよね。頑張って書いて下さい。セキスペでもネスペでも、難しい答えが求められてると思ったら、な~んだってことよくあります。背伸びする前に、分かっている範囲のことを書きましょう。
私の解答は、「メールやビジネス資料のあるセグメントへの外部からのアクセスを防げる」34文字。イマイチかもですが、問題文の言葉(太字)を使うと書き易いので。守りたいものを具体的に書きました。
設問2(1)
設問2(1):LDAPサーバ
必ず正解してください。3頁に「内部メールサーバと、プロキシサーバは、ユーザ認証のためにLDAPサーバを参照する」とあるので、LDAPサーバ。
設問文に「既存のサーバ」とあるので、候補はそんなにないですね。外部メール, プロキシ, 内部メール, LDAP, 制御サーバの5つから考えます。
一瞬FTAに認証機能ないかなぁと思いますが、LDAPサーバを既に認証に使っています。FTAもLDAPサーバに「このIDとPWDの人、正しい?」って聞く体制のが良いですね。
LDAPは今までセキスペにも出てきました。
>セキスペ令和6年春午後問1のNote
>セキスペ令和4年秋午後1問2のNote
個人的には、ディレクトリサービスと云うから、なんかファイルとかデータベースにアクセスして、攻撃によく悪用されてた印象が強かったです。今回の認証・ユーザ情報の管理で、本来のLDAPの目的に沿って出題されたなぁと思い、逆に新鮮でした。
設問2(2)
設問2(2):管理セグメント, OAセグメント
必ず正解してください。FTAの働きを把握します。
例えば表1。項番1で、PC(OAセグメント)や操作端末(管理セグメント)からFTAにアップロードしています。項番5も同じですね。
設問2(3)
設問2(3)認証:FTAの利用者が本人であることを確認するため
設問2(3)認可:操作ごとに実行権限を有するかを確認するため
認証と認可を一般論で書くと以下。
認証は、利用者本人なのかを確認すること
認可は、利用者の行動を許可すること
模範解答は一般論に少しFTAを混ぜていますね。問題文の具体例に寄せるか、一般論に寄せるか判断が難しいところ。
私は問題文に寄せた解答を一度書いてみました。
認証:「利用者の本人確認をして、FTAを操作できる」21文字
認可:「上長の承認によりアップロードの正当性が認められる」24文字
認可:「正当性が認められ、ダウンロードできるようになる」23文字
設問文が「何をするため使われるのか」なので、認証はログイン、認可はファイルの受渡し、に焦点を当てて書きました。
でも認可が字数制限が厳しく書きにくいと感じ、一般論寄りなのかな、とも考えました。
文字数が少ないと簡単・問題文から抽出、多いと書くのが難しい・多岐に渡るとメタ読みしています。
認証:「利用者本人と確認し、FTAにアクセスさせること」23文字
認可:「ファイルの受渡しを正当と認め、許可すること」21文字。
認証に「FTA」、認可に「ファイルの受渡」を残して「何をするために使われるか」の具体性を出しました。一般論では「利用者本人と確認」がログイン、「正当と認め」が許可(認可)を指しています。
ひとまず過去問演習では、認証に「(利用者)本人」という言葉が入っていれば、センスは良い、と思ってOKです。
設問3(1)d | ネスペ頻出の言葉
設問3(1)d:フラッディング
今後必ず正解してください。
フラッディング(flooding)は、洪水・溢れる意味。
ネットワークでは、スイッチの全ポートから転送すること・許容量を超えた時に起こる麻痺現象・大量のパケットを送り付ける攻撃行為などを指します。結構幅広くニュアンス的。「フラッディング」は、午後問題の用語で良く出てきます。
今後も出ます。>ネスペ令和5春午後1問2の解説Note
別解。「全ポートから転送する」も正解にしてくれると思います。設問文が「何というか」だったらIT用語ですが、今回は違うので文章でも成立するはず。
設問3(2) | ネスペならではの視点
設問3(2):送信側と受信側のトラフィックを合計1Gビット/秒までしか取り込めない。
閃くのは難しいですね。強いて言えば、問題文にわざわざ「NPBにつながるケーブルは全て1000BASE-SX」と書いてあるのに違和感を持つしか。ファインプレイすぎますね。
また下線④に「トラフィック量が少ないので~ミラーポートを用います」とあるので、裏を返せば、トラフィックが多ければタップを使う必要があったんだなと。
答えを見てしまえば、ですが、一応ヒントあり。とはいえ、センサや機械の台数が多いのか記述ないし、通信速度が課題になるとは考えつかないですね。
さてタップとミラーポート、分かりづらかったですね。特に下線④前「タップを使う方法では~NPBの入力ポートは2ポート必要」のところ。
タップは受信した全てのデータを、監視用ポートから出力する機器。私たちの電源でも「テーブルタップ」って使いますよね。
タップもミラーポート(スイッチの機能)もハブ(物理層)も、受信データをそのまま出力する点は同じです。ただし性能に違いがあり、スイッチやハブでは取りこぼしやネットワークへの影響があり得るとのこと。>アイピーネットフュージョン社のWebサイト
後は1000BASE-SXの通信速度を覚えているかどうかですね。1000なので1Gbitとは推測はつきますが。
一応数値なしで書くとしたら「ネットワークタップの半分のデータ量までしかNPBに入力できない制約」33文字。「半分」という言葉で具体性を付けたつもりでしが、絶妙かなぁ。私が採点者なら不正解にはしませんが、果たして。
設問3(3) | 図で通信経路を把握する
設問3(3):制御サーバ
必ず正解してください。
まずは消去法で。L2SWの接続口(ポート, インタフェース)に繋がっているのは、センサのコントローラ・工作機械のコントローラ・制御サーバの3つ。
「1ポート」だけ選ぶなら、制御サーバしかないです。何故ならセンサのコントローラとのポートだと、工作機械のデータが取れません。工作機械のコントローラのポートだと、センサのデータが取れませんから。
制御サーバとのポートをミラーポートにすれば、ポートから制御サーバに送信されるデータに、センサからのデータも工作機械からのデータも含まれています。
設問3(4) | ネスペで良くでる機器設定
設問3(4)モード:プロミスキャス
設問3(4)フレーム:宛先MACアドレスが自分のMACアドレス以外のフレーム
必ず正解してください。ネスペでもセキスペでも良く出ます。IDS, IPSで良く見ますね。
プロミスキャスモード:全ての通信(自分宛てでない通信も)を受信するモードで、ミラーポートに接続するときに使う。
インラインモード:回線途中に機器を設置する。いわば空港の持ち物チェック。
設問3(5) | 計算問題もなるべく拾う
設問3(5):1,080 Gバイト
必ず正解してください。簡単なので。
$$
100kビット/秒 × (60 × 60 × 24 × 1,000)秒 × 1/8 \\
= 10^2 × 10^3 × 3600 × 24 × 10^3 × 1/8 バイト\\
= 10^8 × 3600 × 3 バイト\\
= 10^{10} × 108 バイト\\
= 1,080 × 10^9バイト\\
= 1,080 Gバイト
$$
計算結果が1,000を超えてるので、テラ(T)じゃなくていいのかなぁ、とちょっと不安になりましたね。
もし指数が苦手だったら関連Noteをどうぞ。>指数の公式Note
まとめ
お疲れ様でした!
今回の問題は高得点を狙えます。
いつも△は「個人によって正解」「次回正解しよう」の意味ですが、今回は更に○寄り。「できれば正解したい」。過去問演習を通して高めていきましょう。
Syslogは昔から, フラッディングは近年よく出題されています。またCONNECTリクエストやLDAPサーバ(認証)は学びになりましたね。更に1Gビット/秒の通信量への配慮はネスペならではの問い方。これぞ「ネスペ基礎力」。
ネスペ基礎力が、凡庸点か高得点を分ける問題でした。
今後も問題演習を続けて「ネスペ基礎力」を身に着けて、粘り強く点をゲットして、合格を固くしていってくださいね。でわでわ。
\私の3ヶ月の学習記録/
いいなと思ったら応援しよう!
