ネットワークスペシャリスト掲示板
午後2 問2 回答晒します[0115]
間違ってるなど指摘があればお願いします。
問2
設問1
a IPアドレス
b ICMP
c 3
d 内部LAN
e DMZ
設問2 ア any
名前解決
設問3
(1) 送信元に疎通確認して、疎通が確認できなかったら通信を許可しない
(2) α.β.γ.15
設問4
(1)
イ シーケンス
ウ 確認応答
エ 1
(2) 3Wayハンドシェイクが成立するまでメモリを確保しないから
(3) インターネットからDMZへの通信に一切FPへの通信を許可していない
(4) あて先が社内でない外部からのメールを転送しない
(5)
オ α.β.γ.6
カ any
設問5
(1)
キ コンテンツサーバのIPアドレス
ク フルリゾルバのIPアドレス
ケ 53
コ n
サ m
(2) DNSヘッダの識別子、UDPヘッダの送信元ポート番号(やっちまった!)
(3) インターネットからDNSサーバ2への通信はFWで許可していないから
設問6
(1) i e g h f j
(2) 3
(3)C&Cサーバへ3分以上おいてからアクセスする
(4) 何度もプロキシ認証に失敗しながら、インターネットにアクセスしようとする
(5)内部DNSサーバにC&Cサーバの名前解決を行い、内部DNSサーバで名前解決ができない
らしいです。
uRPF(Unicasat Reverse Path Forwarding)とは、ルータ上のルーティングテーブルの仕組みを利用した
パケットフィルタリングの技術のことです。uRPFは、ルータのインターフェースに着信してくるパケットの
送信元IPアドレスをチェックして、その送信元IPアドレスがルーティングテーブルに存在しているかを確認
して、存在する場合は正常にパケット転送を行い、存在しない場合はパケットをドロップします。
引き続き、私もメモ代わり含め(問題用紙に書かず、頭の中に残った状態ですので、忘れないよう)
記載させて頂きます!
設問1
a IPアドレス
b UDP Unreachable
c 3
d 内部DNSサーバ
e R社DNSサーバ
設問2
ア x.y.z.1
通信の名称:DNSインフォーム
→※DNS notifyが思い出せず、適当なこと書いてます(DNS notifyにしても違う…)
設問3
(1)存在しない送信元IPアドレスからの通信については、ISPのネットワーク内でフィルタリングし、ISP利用者に転送させない。
(2)α.β.γ.255 →※今見ると、ネットワーク部28bitなので、間違えてますね…。
設問4
(1)
イ シーケンス
ウ 確認応答
エ 1 →※間違え。受信データバイト数が正しい。
(2)送信者とTCPコネクションが確立するまでメモリ確保を行わないため
(3)インターネット側からFPサーバへのリクエスト通信は許可されないため
(4)送信元ドメインが社内メールサーバの場合を除き、
宛先ドメインは社内メールサーバ以外への転送を許可しない
(5)
オ α.β.γ.6
カ x.y.z.1
設問5
(1)
キ コンテンツサーバのIPアドレス
ク フルリゾルバサーバのIPアドレス
ケ 53
コ n
サ m
(2)
・宛先ポート番号
・識別子
(3)送信元ポート番号をランダムにすることで特定が困難になり
外部DNSサーバへの偽装応答が難しくなるため。
設問6
(1)a→c→g→h→d→b
(2)3分
(3)宛先ホスト名をランダムに生成して利用する
(4)外部コネクションを試みるが、IDとパスワード入力を行わない通信
(5)ファイアウォールのフィルタリングルールにより通信が許可されないため
見てるだけでもチラホラ間違えてますが…なんとか6割願ってます;;
uRPFの意味については
略称前の英文、Unicasat Reverse Path Forwarding
から、送信元のユニキャストを辿っていって確認するのかな〜…
…とか思ってそれっぽいこと書きました。笑
部分点だけでも!!!どうか!!!!!
メモれてた分だけ記載します。
設問1
a IPアドレス
b Destination Unreachable
c 3
d 内部LAN
e DMZ
設問2
ア x.y.z.1
ゾーン転送
設問3
(1) (帰りの経路が行きと異なるような通信をあらかじめフィルタする的な)
(2) α.β.γ.15
設問4
(1)
イ シーケンス
ウ 確認応答
エ 1
(2) シーケンス番号は計算で導出できるので、メモリに保存する必要がないから
(3) インターネットからFPサーバへの通信はFWのルールで許可されていないから
(4) 宛先が外部ドメインのメールは、送信元が内部メールサーバの場合のみ転送する
(5)
オ α.β.γ.6
カ any
設問5
(1)
キ コンテンツサーバのIPアドレス
ク フルリゾルバサーバのIPアドレス
ケ 53
コ n
サ m
(2) 送信元ポート番号、識別子
(3) インターネットからDNSサーバ2への通信はFWのルールで許可されていないから
設問6
(1) e g h f
(2) 3
(3) 3分以上間隔を空けてからアクセスする
(4) 同じサイトに何度もアクセスを試み、かつプロキシ認証に連続で失敗する
(5) 内部LANからインターネットへの通信はFWのルールで許可されていないから
問2
設問1
a プロトコル
b UDP
c 3
d 内部DNSサーバ
e R社DNSサーバ
設問2 ア x.y.z.1
ゾーン情報の転送要求
設問3
(1) 送信元IPアドレスが存在するかをしらべ,存在しない場合はパケットを破棄する
(2) α.β.γ.15
設問4
(1)
イ シーケンス
ウ シーケンス(確認応答と迷ったものの,イとどっちも外して0点より固く2点をとる戦略)
エ クッキー
(2) メモリの確保を3wayハンドシェークが送信者と装置の間で成立後に行うから
(3) FWのルール上,インターネットからFPへの通信を許可していないから
(4) 内部LAN以外からの,インターネット側にあるメールサーバへのメール転送を無視する
(5)
オ α.β.γ.6
カ α.β.γ.1
設問5
(1)
キ α.β.γ.1
ク α.β.γ.6
ケ 53
コ n
サ m
(2) 識別子、宛先ポート番号
(3) キャッシュを持つフルリゾルバサーバへのアクセスは内部LANとDMZからに集約できるから
設問6
(1) a,c,g,h,d,b
(2) 3
(3)名前解決のたび,異なるボットへアクセスさせる
(4) 特定のNPCにおいて,プロキシ認証に頻繁に失敗している通信
(5)内部LANから直接インターネットにアクセスする通信をFWのルールで許可していないから
午後1で足切られそうなので,採点されないかもしれないなー(棒
設問5の(3)、完全にやってしまいました…
直後の文章、ちゃんと読んでいればミスらなかったのですが
こういう国語のミスで点数落とすのホント、バカ丸出しなんで
いい加減にしてもらいたいです(to自分)
これでギリギリ不合格(60点未満)とかだと
ホント、凹みますよ…
晒します。
※はコメントです。解答ではありません。
すでに間違っていることがはっきりしている部分の補足などです。
午後I
問2
設問1
T社がIPアドレスIP-w1を変更してもA社は対応が不要である。
設問2
(1)ア:順番 イ:80 ウ:200 エ:set cookie オ:cookie
(2)送信元を識別できない
※だからロードバランシングできないってことを書くのが正解でしょう。
(3)セッションID によるセッション維持
設問3
(1)カ:FW 変更内容:IP-w2を送信元に限定する制限を削除する。
(2)shop IN A 199.α.β.2
(3)XFFヘッダが付与されていない場合、XFFヘッダを追加する。
問3
設問1
機能名:リレーエージェント スイッチ:L3SW1、L3SW2
※スイッチについては、リレーのあとはDHCPとユニキャストになると
たまたま本で読んだけど、L3SW0との接続によってはそっちに1つでもOK
ですね。問題の設定はどっちだったか・・・
設問2
(1)利用者が固定IPを設定したPCが通信可能となる。
(2)DHCPスヌーピングを無効にする。
※苦し紛れで書いた・・・はずれ
(3)a:エ b:ア c:エ d:オ
設問3
(1)台数:7
(2)L3SW1、L2SW11、L2SW12、L2SW13
※勘違いで設問3は全損。会社にある対策装置(L2SW毎に設置)を想像してしまった。
※正解は2台 L3SW1、L3SW1、L3SW1、空きだと思う。
管理セグメント用、フロアの2つのセグメント用それぞれ、そして設問では
ポートVLANなので3本接続、ひとつ空き
設問4
機器名:L3SW0
変更内容:対処用セグメントの通信に関する設定
機器名:DHCPサーバ
対処用セグメントに付与するIPアドレスの設定
午後U
問2
設問1 a:syn b:rst c:3 d:内部DNSサーバ e:メール中継サーバ
※bはどうも設問のRFCからICMPのようです。私はICMPからrstという
意味不明な文字に書き換えてしまいました・・・
設問2
ア:x.y.z.1
名称:ゾーン転送
※正確にはゾーン転送要求だと思いますが、仕組み自体を答えればよいとして
ゾーン転送で許してくれないでしょうか・・・
設問3
(1)インターネットから利用者のネットワークへ向かう通信で、
送信元IPアドレスが利用者のIPアドレスのものを遮断する。
※こういう遮断もあるけど、質問は全く別のものでした。NG。
(2)α.β.γ.15
設問4
(1)イ:応答シーケンス ウ:確認シーケンス エ:1
※シーケンス名前まで問われるとは・・・NG
(2)送信者との3ウェイハンドシェイクが完了してからメモリを確保するから
(3)インターネットからFPへの通信はFWで遮断されているから
(4)インターネットから受信したメールをインターネット上のメールサーバに転送しない処理
※第三者中継もしくはオープンリレーと一言で済ませたかったが、
文字数が多いので、その内容を書けと受け取った。の割には日本語が・・・
(5)オ:α.β.γ.6 カ:any
設問5
(1)キ:コンテンツサーバのIPアドレス ク:フルリゾルバサーバのIPアドレス
ケ:53 コ:n サ:m
(2)送信元ポート番号、識別子
※送信元ではなく、あて先ポート番号が正解と思う。仕組みは理解していただけに残念。
(3)DNSサーバをコンテンツサーバとフルリゾルバサーバに分け、
インターネットからフルリゾルバへの再帰的問合せを禁止したから。
設問6
(1)a c g h d b i k m n l j
※設問読み飛ばし・・・名前解決の流れだけだったんだ・・・
(2)3
(3)C&Cサーバへアクセスする間隔を3分より大きな値とする。
※今回の解答の中で、一矢報いたと思ったのがこれ。攻撃者になった気持ちで解答。
(4)プロキシ認証に失敗した通信や、コネクション確立が失敗した通信
(5)内部LANからインターネットへの直接の通信はFWで遮断されているから
設問5 (3)なのですが、FWのルールがないことだけを、回答する形でよいのでしょうか。
漠然と不安になったのですが、キャッシュポイズニングって、ルールだけで防ぐことが可能なのか心配になりました。
偽装されたdnsの戻り通信がFwのSPIで整合性がとれてしまったら、通過してしまうのではないかと思ったからです。
問題文のP19「 (i)攻撃者は、偽の情報を送りたいドメイン名について、標的のフルリゾルバサーバに問い合わせる」ができなくなるので、攻撃は成立しなくなると思います。
質問です。
マルウェア感染済みNPCが外部接続行って通信する場合
ドメインの名前解決は
やはりフォワードプロキシで行われると考えるのが
自然なんでしょうか。
NPCも名前解決しないと
ルーティング出来ないのかな、と思うのですが…
誰がご教授ください。
FPが代理で名前解決してくれます
ちなみに設問6の(5)もFWで弾かれるからじゃなくて、名前解決できないから
設問1のd、eはFPサーバとメール中継サーバ が有力とのこと
あいおさん
お疲れ様です。
解答ありがとうございます。
(もしそうでしたら、私の午後2は終わりました…)
deの空欄がそういう話なら
確かに、NPCはFQDNの名前解決出来ないって話になりますね…
実務経験ないから分からないのですが
一般的に、フォワードプロキシを挟む場合
名前解決はフォワードプロキシに一任し
端末からのリクエストには
答えさせないよう
DNSサーバを設定するものなのでしょうか
(そうじゃないなら、そこまでのことが本文から読み取れないため
IPAがそこまで鬼畜な設問出すかな…という気持ちもあり)
すいませんが、よろしくお願いします。
この投稿は投稿者により削除されました。(2019.10.23 20:22)
通常プロキシサーバに一任します
なお、今回は社内ドメインのサーバに関しては
PCから内部DNSに直接問い合わせ、その他はプロキシサーバにお任せという設定になってると思われます。
また本文中で、プロキシサーバでのURLフィルタリングを有効にしてるって話がありました。
そうなると、PC側で名前解決して、URL・FQDNじゃなくてIP指定でプロキシサーバにリクエスト投げるとフィルタリングできないので都合が悪いのです
あいおさん
お疲れ様です。
返答ありがとうございます。
確かにFPのURLフィルタリングについて
記載がありますね。
ということは、確かに、FPが名前解決を行っており
FPに行くまでに、名前解決しちゃうと
逆に不味いですね。
話は変わりますが、URLフィルタリングの下り見ますと
設問6の(3)は
私の答案で書いた
「ホスト名をランダムに生成して利用する」
が正しいように思えます。
3分ごとにアクセスするとかいう方法は
プロキシがFQDNのIPアドレス記憶しちゃうと思うので
効果はない気がします。
DNSひとつとっても
奥が深いものですね…苦笑