【network】IPA ネットワークスペシャリスト試験・試験対策メモ(令和6年)

IPAネットワークスペシャリスト試験

はじめに

IPA(情報処理推進機能)のネットワークスペシャリスト試験受験に向けて、個人的に作成した午後試験向けの試験対策メモ(早見表)を、備忘のために残しておく。

ちなみに、令和6年の午後試験では、DNS、電子署名、ルーティングがわかっていれば回答できる内容だった認識。

試験範囲

ネットワーク技術の範囲は広いが、試験に登場する技術は限られている。

  • 特にDNS,DHCP,ルーティングは必ず出題されるので、暗記するまで学習する。
  • セキュリティ、冗長化も出題されるので、時点で暗記する。
    • セキュリティは公開鍵暗号方式の理解が基本。
    • 冗長化は用語の暗記が基本

ネットワーク基礎(OSI参照モデル)

通信用プロトコルの階層構造。下位のプロトコル上で、上位プロトコルが動作する。最下層は物理的な電気信号であり、層毎に役割が異なっている。基本的な通信は、IPアドレス+ポート番号で指定する。

パケット構造を概要レベルで暗記しておく。

  1. データリンク層:MACアドレス
    同一セグメント内(ルータで区切られた範囲)のホストと通信する。宛先はMACアドレスで指定する。

    • ARP / GARP / RARP プロトコル
      IP→MACアドレス、MACアドレス→IPの変換
  2. ネットワーク層:IPアドレス
    セグメントが異なるホストと通信する。宛先はIPアドレスで指定する。
  3. トランスポート層:ポート
    ホスト上で、サービスを待ち受ける窓口番号。HTTPなら80、HTTPSなら443等。

DNS

ホスト名↔IPアドレスを変換するプロトコル。DNSに登録するレコード種類を暗記する。

レコード種類 内容
SOA 管理情報。MNAME(プライマリサーバ)、RNAME(管理者メールアドレス)。refresh,retry,expire,default ttl
A ホスト名→IPアドレス。DNSラウンドロビンも
MX メールサーバのホスト名
NS DNSサーバのホスト名
SRV サービス名→ホスト名
PTR 逆引き(.in-addr.arpa.)
CNAME 別名(ホスト名のエイリアス)
TXT メモ。SPFで利用
CAA 証明書を発行できるCA

DNSの種類(役割)

  1. コンテンツDNS(=権威DNS)
    自ドメインのレコード情報を管理。ゾーン転送で冗長化
  2. キャッシュDNS(=フルサービスリゾルバ=DNSフォワーダ)
    他ドメインへのDNS問い合わせを実施

DHCP

PCに動的なIPアドレスとネットワークマスク、DNSの情報を配布する。

DHCPメッセージ

  1. DISCOVER(PC→DHCPサーバ):ネットワークにブロードキャストしてDHCPにOFFER要求。
  2. OFFER(DHCPサーバ→PC):PCにIPアドレス候補を提示(複数サーバがある場合、早いものがち)
  3. REQUEST(PC→DHCPサーバ):PCが利用するIPアドレスを決定・利用申請
  4. ACK(DHCPサーバ→PC):DHCPサーバからIPアドレス利用許可

関連用語

  1. DHCPリレーエージェント
    DHCPメッセージをルータ越えさせる機能(giaddrフィールド)。送信元IPアドレスから、払い出すサブネットを判定する
  2. DHCPスヌーピング
    ルータの機能で、DHCPで設定したIPアドレスからしか通信を受け付けない

ルーティング

IPアドレスを指定したときに、次に渡す隣接ノードを決定するプロトコル。隣接ノード情報はルーティング・テーブルに保持しており、プロトコルが異なっても、1つのルーティングテーブルを共同で埋めていく。

IGP(AS内)

AS(≒プロバイダ)内で利用されるルーティング経路決定プロトコル

RIP

ホップ数が低い経路を選択する(ディスタンスベクター型)。

OSPF(Open Shortest Path First)

「コスト」が低い経路を選択するリンクステート側プロトコル(コスト=100/通信速度)。

ただし、リンクステート型は全ルータ間の総当りで経路情報を作成するため、大規模なネットワークには不向き。このため、ある程度のノードをまとめて「エリア」を構成して、エリア間はディスタンスベクター型で経路を決定する。

  • 基本情報

    • エリア内:リンクステート型。LSDBに隣接情報を保存
    • エリア外:ディスタンス・ベクター型。分轄したエリアへのホップ数
    • SPF(Shortest Path First)=ダイクストラ法

  • 用語

    • エリア0=バックボーンエリア
      すべてのエリアはエリア0に隣接する必要がある。隣接しない場合、バーチャルリンクを作成して仮想的に隣接させる。
    • ABR(Area Border Router)、ASBR(AS Boundary Router)
      エリア、ASの境界にあるルータ。2つのエリア、ASに所属する
    • DR/BDR(Design Router)
      エリア内の全ルータ間の総当りで経路情報を作成するとコストがかかるため、代表ルータ(DR)とそれ以外のルータでLSAを交換する

  • LSA=リンクステートアドバタイズメント(TYPE7まである)

    • TYPE1:ルータLSA
    • TYPE2:ネットワークLSA
    • TYPE3:ネットワーク集約LSA

  • メッセージ

    1. Hello:エリア内の初期化、DR/BDR選定、生存確認
    2. DBD(Database Description):隣接ノードとLSA交換
    3. LSR(Link State Request):DBDで得たノードで、未知の経路へのLSA要求
    4. LSU(Link State Update):LSRへの返答
    5. LSAck(Link State Acknowledgement):LSA受領を返答

EGP(AS間)

BGP

通過するASパスが短い経路を選択。

  • メッセージ
    1. OPEN:開始(終了時間を宣言)
    2. KEEPALIVE:OPENへの返答、生存確認
    3. NOTIFICATION:障害発生時
    4. ROUTE REFRESH:自分がBGPテーブルを削除したためルート情報を求める
    5. UPDATE:ルート情報(以下項目)の交換。2〜4のメッセージを受けて発生する
      1. AS_PATH:目的地へ向かう、通過ASリスト
      2. NEXT_HOP:目的地へ向かう、隣のピア。EGPなのでAS内ではNEXT_HOPを更新しないのがデフォルト(next_hop_selfで更新)
      3. MED(MULTI_EXIT_DISC):隣接eBGPピアに通知する、自ASへの経路の優先度
      4. LOCAL_PREF:自AS内に通知する、隣接eBGPへの経路の好ましさ数

冗長化

冗長化の手段はたくさんある。

  1. ネットワーク層
    1. OSPF等のルーティング
    2. PAC(プロキシ自動設定)
    3. DNSラウンドロビン
    4. VRRP
    5. 負荷分散装置
  2. データリンク層
    1. リンクアグリゲーション(経路の冗長化+高速化)
    2. STP,RSTP(VLAN上では利用できない)
  3. 物理層
    1. スタック(NICの冗長化+高速化)

VRRP

ルータを冗長化するプロトコル。冗長化できるが、負荷分散はできない

  • VRRPアドバタイズメント:生存報告
  • VRID:グループ番号。255まで
  • プライオリティ値(優先度)が高いほうがactive

STP

データリンク層で経路を冗長化するプロトコル。冗長化できるが、負荷分散はできない

  • ルートブリッジ:プライオリティ、MACアドレスが最も低い端末
  • BPDU     :Bridge Protocol Data Unit。メッセージ。
  • パスコスト  :ポートに設定。パスコストが低いルートを使う
  • ポートの種類 :指定ポート、ルートポート、バックアップポート、代替ポート
  • ポート状態遷移:ブロッキング、リスニング、ランニング、フォワーディング

セキュリティ

7大要素

4までが頻出。

  1. 完全生:メッセージ認証(MAC)、デジタル署名(データ改ざん防止)
  2. 機密性:暗号化/復号化(盗聴防止)
  3. 可用性:冗長化、事業継続性
  4. 真正性:認証、署名(なりすまし防止)
  5. 信頼性:バグ対策
  6. 責任追跡性:アクセスログ
  7. 否認防止性:アクセスログ、署名(本人特定)

暗号化:VPN

SSLハンドシェイク
SSLで暗号路を構築する手順

  1. ClientHello ↔ ServerHello
    暗号化方式のネゴシエーション
  2. Certificate
    サーバ証明書の提示
  3. Server Key Exchange ↔ Client Key Exchange
    DHアルゴリズムによる共通鍵交換(公開鍵・秘密鍵計算の剰余を共通鍵)
  4. Change Cipher Spec Finished
    準備完了
  5. 共通鍵(AES)による通信

IEEE802.1X
無線LANがAPに接続する際の認証を行う方法。RADIUS。
PMK交換 無線LAN、WPA/WPA2エンタープライズモード

  1. 認証:RADIUS。サプリカント→オーセンティケータ→認証サーバ(EAP)
  2. 認証サーバからPMK(Pairwise Master Key)配布
  3. PMKから一時キーを作成して通信

ネットワーク分轄:VPN、VLAN

IPSec
VPNで利用される暗号化プロトコル。NAPTを行えず、NAPTを超えるためには別途カプセル化(VPNパススルー、NATトラバーサル)が必要

  1. IKE SA
  2. メインモード:固定IP
  3. アグレッシブモード:動的IP
  4. Child SA :ESP(AHはあまり使わない)

SSL-VPN
ブラウザ上で、VPNに接続するプロトコル。クライアントはサーバ証明書で正しいサーバであることを確認。サーバはクライアント証明書で正しいクライアントであることを確認

  1. リバースプロキシ方式    :HTTPのみ       …HTTPリバースプロキシ
  2. ポートフォワーディング方式 :ポート指定可能(固定)…NAPT
  3. L2フォワーディング方式   :ポート指定可能(動的)…仮想NIC、カプセル化

署名:電子証明書

署名

  • デジタル署名=自己署名を含めた一般的な用語
  • 電子署名=CAが認証した公式な署名

メッセージ認証(MAC)
本文+共通鍵をハッシュ関数に渡してMACを作成。同じ共通鍵を持っている人は、MACで本文の正しさを確認できる。

クライアント証明書
秘密鍵と公開鍵をクライアントで作成して、CAに公開鍵を含めて署名してもらう(証明書署名要求:CSR)。秘密鍵を持っている人が、クライアント証明書の真の保有者であることがわかる

サーバ証明書
秘密鍵と公開鍵をサーバで作成して、CAに公開鍵を含めて署名してもらう。秘密鍵を持っている人が、サーバ証明書の真の保有者であることがわかる

  1. subjectフィールド:CNにドメイン名を記入
  2. 公開鍵
  3. 有効期限
  4. シリアル番号
  5. CAのデジタル署名

その他

  1. 仮想化
    • ハイパーバイザー
  2. HTTP/2
    • 識別子:h2=HTTPS,h2c=HTTP
    • ALPN :TLSのhelloClientで利用可能な上位プロトコルをリスト表示して、サーバが指定。TLS1.2から追加された。
    • ストリーム:複数ファイルを同時にダウンロードする仕組み
  3. FTP
    • アクティブモード:サーバ→クライアント
    • パッシブモード :クライアント→サーバ
  4. SNMP
    • ポーリング
    • Trap
    • MIB
    • コミュニティ
  5. IP通話
    • SIP , RTP
    • PCM(64kbps) , ADPCM(32kbps) , CS-ACELP(8kbps)
  6. +α
    • ループバックアドレス
      IFではなく、機器自身に割り振られるIPアドレスのこと。 「127.0.0.1」は自身からしか指定できないが、 別のIPアドレスを付与すれば他の機器から指定できる。
    • Perfect Forward Security(前方秘匿性)
      公開鍵方式で秘密鍵が漏洩しても、過去の通信が解読できないようにすること
    • ICMP
      エコー要求、エコー応答

参考webサイト

タイトルとURLをコピーしました