ネットワークセキュリティ技術

問題24回答
ファイアウォールは、[A]からの攻撃・不正アクセスに対し、アクセス制御や通信ログ取得等で、内部ネットワークを保護するシステムである。ファイアウォールを通過する送受信に[B]のルールを設定することで、アクセス制御をする。具体的にはパケットフィルタリング方式、ステートフルパケットインスペクション方式、[C]方式などを用いる。
[A]:外部ネットワーク
[B]:フィルタリング
[C]:アプリケーションレベルゲートウェイ(ALG)
問題25回答
パケットフィルタリング方式は、パケットのヘッダをチェックし、設定されている[A]リストに基づいて、パケット通過可否を判断するものである。このリストには、レイヤ[B]に相当する情報(送信元/宛先IPアドレス、ポート番号、TCP/UDP等のプロトコル、許可する方向等)が設定してある。
[A]:アクセスコントロール
[B]:3、4
問題26回答
ステートフルパケット・インスペクション方式は、レイヤ[A]の内容も確認したうえでアクセス制御を行う方式である。パケットを受信・解析した際にその通信の状態(ステート)を[B]し、以後の通信では単にパケットの中身だけでなくステートと照合して、整合性のとれたパケットのみを許可する。動的にポートの開閉をするため、より強固なセキュリティとなる。これにより、IP電話アプリケーションでのRTPパケットを送受する[C]ポートの変動に対応することができる。
[A]:レイヤ7(アプリケーション層)
[B]:保持
[C]:UDP
問題27回答
アプリケーションレベル・ゲートウェイ(ALG)方式は、クライアントとサーバのアプリケーションの中間に位置するALGの同アプリケーションに対応したプロキシ機能によって、[A]を終端させ、アクセス制御を行う方式である。ALGはクライアントとALGの間、ALGとサーバの間にそれぞれ別の[B]セッションを張ることで、アプリケーションプロトコルごとにきめ細かいフィルタリングのルールを適用可能である。メリットは、他の方式よりさらにセキュリティが強固なこと、アプリケーション毎に[C]が可能なことである。デメリットは、他の方式よりスループットが[D]、アプリケーション毎に専用のALGが必要であることが挙げられる。
[A]:セッションプロトコル
[B]:TCP/IP
[C]:ログ収集
[D]:低く

ファイアウォール/NAT越え技術

問題28回答
ピアツーピアアプリケーション(IP電話、IM、オンラインゲーム等)は、2者間の通信に必要なプライベートアドレス/ポート番号が[A]に記載されている。NAT/NAPTの多くは、アドレス/ポートが[B]に記載されているクライアント/サーバアプリケーション向けとなっているため、IPヘッダのプライベートアドレス/ポートと[C]を変換する。
[A]:アプリケーションデータ
[B]:IPヘッダ
[C]:グローバルアドレス/ポート
問題29回答
NAT越え技術とは、ピアツーピアアプリケーションのパケットがNAT/NAPTを実装する[A]を通過せずに、[B]となる問題を解決する技術である。NATトラバーザル方式と[C]方式がある。
[A]:FW
[B]:宛先不明
[C]:ALG
問題30回答
NATトラバーザル方式は、[A]サーバを利用し、NAT/NAPTを超える方法で、STUN、TURN、ICE等がある。P2Pの両側にある内部ネットワーク双方の端末から外部ネットワークの[B]サーバへ、それぞれ必要な[C]アドレス/ポートを通知し[B]サーバへ記録する。その後、双方の端末から[B]サーバへ相手のNAT/NAPT越えに必要な[C]アドレス/ポートを問い合わせ、P2P通信を開始する。
[A]:外部ネットワークの
[B]:STUN
[C]:グローバル
問題31回答
ALG方式では、ピアツーピアアプリケーションの[A]セッションを中間で終端するため、[B]に記載されているプライベートアドレス/ポートを[C]に書き換えることによって、NAT/NAPT越えを実現する。
[A]:UDP
[B]:アプリケーションデータ
[C]:グローバルアドレス/ポート
問題32回答
プロキシサーバは、[A]に設置され、内部から外部へのアクセスを中継しインターネット接続を行う。内部ネットワークに出入りするアクセスを一元管理し、不正なアクセスを遮断する。また、インターネットで取得したデータを[B]することで、高速化・トラフィック低減につなげている。
[A]:内部と外部ネットワークの境界
[B]:キャッシュ
問題33回答
リバース・プロキシサーバは、[A]のアクセスを中継する。外部から内部ネットワークのサーバに対しアクセス要求が送られてきた際に、リバースプロキシサーバはサーバの代理として要求を受理し、その要求をサーバに中継し応答する。これにより、Webサーバを外部から[B]し、[C]層のロードバランシングやサーバ構成変更を可能としている。
[A]:外部から内部へ
[B]:隠蔽
[C]:アプリケーション
問題34回答
侵入検知システム([A])は、外部から内部への不正侵入や攻撃を監視するためのシステムで、許可されていない不正なパケット・パスワードの[B]・ポート[C]行為等に対し、管理者への通知やセッションの遮断等の措置をする。
[A]:IDS:Intrusion Detection System
[B]:繰り返し試行
[C]:スキャン
問題35回答
DMZ (De-Militarized Zone)は、外部と内部の中間に設置され、[A]で囲まれたネットワークセグメントのことである。Webサーバやメールサーバを[B]セグメントに設置することで、インターネットからの不正なアクセスに対しての保護、被害の拡大の阻止をする。
[A]:FW
[B]:DMZ
問題36回答
認証技術として、端末とRASの間を認証する[A]・CHAP、ユーザID/パスワードを一元管理する[B]、サーバとクライアント間を相互認証する[C]・TLS、Diameter等がある。
[A]:PAP
[B]:RADIUS
[C]:PEAP
問題37回答
PAPは、[A]で使われるユーザ認証方式の1つで、クライアントからPPPサーバに向けて、単純にユーザID/パスワードを[B]で流すものである。
[A]:PPP (Password Authentication Protocol)
[B]:平文
問題38回答
CHAP (Challenge Handshake Authentication Protocol)は、[A]方式を採用し、PPPサーバは接続要求を受けると乱数文字列であるChallenge値をクライアントに返す。クライアント側はChallenge値と[B]をもとにメッセージダイジェスト関数値(ハッシュ関数値)を計算し、その結果(関数値)と[C]をサーバに返す。サーバ側では受け取った関数値と自分で計算した関数値を比較し、同一の場合接続を許可する。パスワードが盗聴される危険性が[D(低い/高い)]。なりすまし対策には有効である。
[A]:チャレンジ/レスポンス
[B]:パスワード
[C]:ユーザID
[D]:低い
問題39回答
RADIUS (Remote Authentication Dial-In User Service)は、RADIUSクライアント(RAS)からRADIUSサーバへ、ユーザIDとパスワードを送り、RADIUSサーバは[A]情報と認証させて接続を許可する。IEEE802.1X認証方式によるユーザ認証や[B]の払い出し等に活用される。UDP上で動作するため、[C]層のセキュリティ機能がなく、クライアントとサーバ間でセキュリティ情報のネゴシエーションができない、再送機能が効率悪く同時接続数が[D]のみ、サーバ障害時に通知手段がなく別のサーバへのフェイルオーバに時間を要する等のデメリットがある。
[A]:保持している
[B]:IPv6アドレス
[C]:トランスポート
[D]:256
問題40回答
PEAP (Protected Extensible Authentication Protocol)は、[A]機能を追加した拡張プロトコルで、[B]サーバとクライアントで相互認証を行う。サーバ側では[C]を使用し、クライアント側ではIDとパスワードを使用する。
[A]:PPP認証
[B]:RADIUS
[C]:サーバ証明書
問題41回答
TLS (Transport Layer Security Protocol)は、PPP認証機能を追加した拡張プロトコルで、サーバとクライアントで相互認証を行う。サーバ側ではサーバ証明書を使用し、クライアント側では[A]を使用する。暗号化アルゴリズムに[B]、ハッシュ関数に[C]が利用できるためセキュリティが強固である。
[A]:クライアント証明書
[B]:AES
[C]:SHA-2
問題42回答
Diameterは、RADIUSの後継認証プロトコルである。[A]層のIPsecやTLSといったセキュリティ機能を有しており、クライアントとサーバ間でプロトコルバージョンやサポートするアプリケーション、セキュリティ情報等の[B]が可能である。[C]機能によって同時接続数が40億個以上可能であり、サーバ障害時の有無を伝えるメッセージによって別のサーバへの効率的なフェイルオーバが可能である。
[A]:トランスポート
[B]:ネゴシエーション
[C]:ホップバイホップ再送
[D]:フェイルオーバ
問題43回答
Diameterは、EPCにおけるP-GW、[A]、[B]等への導入も開始されている。
[A]:PCRF
[B]:IMS
問題44回答
FW・IDS・各VPN・各種認証・アンチウイルス・Webコンテンツフィルタリング等のセキュリティ機能を1つの装置に融合し、集中管理できるものを何というか。
UTM (Unified Thread Management)
ツイートツイート