暗記メーカー

暗記メーカー

ログイン

ネスペ&支援 共通

ネスペ&支援 共通
21問 • 1年前
  • k m
    • 通報

    問題一覧

  • 1

    DHCPスヌーピング

    L2SWの機能 正規DHCPと端末間のメッセージを,「ポート」含め監視 DHCPサーバからトラフィックを着信するポートのみ「trusted」 →「DHCPスプーフィング(DHCPサーバ偽装) 」を防止 「バインディングテーブル」にない組み合わせのパケットをはじく

  • 2

    (HTTP) (SSL/TLS) DNS問い合わせ (POP3) (IMAP) (SMTP) (submission port) FTP SSH 

    (HTTP) 80 (SSL/TLS) 443 DNS問い合わせ UDP 53 メール(POP3)110 メール(IMAP)143 メール(SMTP) 25 メール(submission port) 587 FTP アクティブモード(FTPサーバから)20 21 SSH  22

  • 3

    SPF 何と何の確認?

    送信者のTXTレコードの「IPアドレス」が, 送信元✉のIPアドレス(「MAIL FROMコマンド」のアドレス(=エンベロープFrom)) と一致するか? 送信側→DNSのゾーンファイルにSPFレコードを追加 受信側→メールサーバをSPF設定にしておく。 SPFはメールサーバの認証、アドレスが正しいかはわからん。ドメインまで(@のあと SPFレコード 『IN TXT "v=spf1 +ip4:58.13.7.83( IPアドレス ) -all』 💬どうぞ見に来て頂戴~エンベロープFROMと一緒でしょ?

  • 4

    STARTTLS

    SMTPやPOP3で使える暗号化技術   すごい点①従来の25や110を使える   すごい点②通信開始時は平文、途中で暗号化 SMTPが有名! EHLO 等の開始処理コマンドでは暗号化せず、実際に送信するメールデータの通信を始めるタイミング等で STARTTLS

  • 5

    無線LANの規格は

    IEEE802.11💬イレブン WPA2であっても、IEEE802.11ヘッダは、暗号化されないから”MACアドレスは暗号化の範囲に含まれない

  • 6

    SLAAC

    IPv6のネットワークアドレス 自動構成するプロトコル DHCPサーバ不要 ホストとルータ間の通信には、ICMPv6プロトコルが使われるため、ICMP をセキュリティ都合で禁止すると、IPv6アドレスの自動設定ができなくなるので注意が必要

  • 7

    外と内部メールサーバを分ける理由

    外部はインターネットからメールを受信でき、内部は機密情報を持つメールボックスを外部から接続できないセグメントに置くため。

  • 8

    インターネットVPN

  • 9

    SPFとDKIMの課題

    ①認証失敗時処理を受信側に委ねてる ②「ヘッダーFrom」だけを詐称したときに検知不可 確認☆DMARC/BIMI

  • 10

    ▽SMTP通信 HE LO EH LO Mail FROM (○○○○) RCPT To データ (○○○○)  250 OK QUIT

    Mail FROM (Envelop ✉️From) データ (Header 👨From)

  • 11

    SNMP

    CPU/メモリ使用率、障害発生 「 コミュニティ」 コミュニティごとにMIBへのアクセス権限を分ける UDPの161(ポーリング)番、162(Trap)番 マネジャ、エージェント ポーリング 監視対象のMIBを収集 Trap 自発的にエージェント自身がマネージャに知らせる

  • 12

    HTTPヘッダフィールド 1つ目) PCの送信元IPアドレスの特定 ①リバースプロキシ(WAF)→LBで送信元IPが変換されても、LBが変えても(ソースNAT)、 HTTPヘッダに元PCのIPを付加 2つ目) ユーザーのブラウザに関する情報

    XFF( X-Forwarded-For ) User-Agent

  • 13

    SSL-VPN装置の方式3つ! シングルサインオン2つ!

    リバースプロキシ! ポートフォワーディング! L2フォワーディング ①Cookie エージェント ②リバースプロキシ

  • 14

    プロキシが復号機能を持つ場合

    HTTP通信を一旦終端。 通常) 利用者が「Webサーバの証明書」を確認できていた しかし、プロキシがSSL(HTTP通信)を終端 →利用者はプロキシの証明書しか見ることができない。 その先で中間者攻撃があったか、判断ができない →解決方法 「プロキシは,Subjectに含まれるコモン名(CN)に, サーバ証明書1と同じ情報のサーバ証明書2を生成し, PCに送信」 (H26午後Ⅱ問1)

  • 15

    RSA→DH→ECDHE

    相互認証 前方秘匿性 セッションごと鍵交換 RSA ◎ × × DH  × ◎ ◎ ECDHE ◎ ◎ ◎ 「Eliptic Curve (楕円曲線)」

  • 16

    DHCPリレーエージェント 異なる〇〇で、PCの〇〇を〇〇でDHCPサーバに転送 PC→ルータのDISCOVER     〇〇の〇〇、 ルータ→DHCPサーバのDISCOVER      〇〇の〇〇 ブロードキャストは、〇〇を超えられない。

    異なる「サブネット」で、PCの「ブロードキャスト」を「ユニキャスト」でDHCPサーバに転送 PC→ルータのDISCOVER 「L2層」のフレーム、 ルータ→DHCPサーバのDISCOVER 「L3層」のパケット 💬VLANで活躍???? ブロードキャストは、WANを超えられない。

  • 17

    IKEの拡張機能 アグレッシブモード

    XAUTH(eXtended AUTHentication)

  • 18

    ループバックアドレス

    127.0.0.0/8 他端末からアクセスできない。 外部からの不正利用が発生しない127

  • 19

    VLAN 仮想的な○○○○を作る技術

    仮想的なLANセグメントを作る技術

  • 20

    外部DNSサーバでは再帰問い合わせ拒否!許可するとどうなるか。

    もし許可(例えば送信元 any)すると、 攻撃者が不正な応答内容を送信してきてキャッシュ内に保存 →キャッシュクリアまで間違った名前解決 攻撃者のホストを信頼ホストとみなしてしまう

  • 21

    メインモードの方がセキュリティは強固 理由

    認証情報であるIPアドレスは偽装が難しいから

    • 230908

    230908

    k m · 13問 · 2年前

    230908

    230908

    13問 • 2年前
    k m

    10/11支援士

    10/11支援士

    k m · 19問 · 1年前

    10/11支援士

    10/11支援士

    19問 • 1年前
    k m

    支援士 前半

    支援士 前半

    k m · 37問 · 1年前

    支援士 前半

    支援士 前半

    37問 • 1年前
    k m

    うかる!速攻サプリ@支援士

    うかる!速攻サプリ@支援士

    k m · 63問 · 1年前

    うかる!速攻サプリ@支援士

    うかる!速攻サプリ@支援士

    63問 • 1年前
    k m

    9/8 支援士

    9/8 支援士

    k m · 28問 · 1年前

    9/8 支援士

    9/8 支援士

    28問 • 1年前
    k m

    August,2024

    August,2024

    k m · 8問 · 1年前

    August,2024

    August,2024

    8問 • 1年前
    k m

    仏語2024/11

    仏語2024/11

    k m · 15問 · 1年前

    仏語2024/11

    仏語2024/11

    15問 • 1年前
    k m

    仏 動詞

    仏 動詞

    k m · 9問 · 1年前

    仏 動詞

    仏 動詞

    9問 • 1年前
    k m

    問題一覧

  • 1

    DHCPスヌーピング

    L2SWの機能 正規DHCPと端末間のメッセージを,「ポート」含め監視 DHCPサーバからトラフィックを着信するポートのみ「trusted」 →「DHCPスプーフィング(DHCPサーバ偽装) 」を防止 「バインディングテーブル」にない組み合わせのパケットをはじく

  • 2

    (HTTP) (SSL/TLS) DNS問い合わせ (POP3) (IMAP) (SMTP) (submission port) FTP SSH 

    (HTTP) 80 (SSL/TLS) 443 DNS問い合わせ UDP 53 メール(POP3)110 メール(IMAP)143 メール(SMTP) 25 メール(submission port) 587 FTP アクティブモード(FTPサーバから)20 21 SSH  22

  • 3

    SPF 何と何の確認?

    送信者のTXTレコードの「IPアドレス」が, 送信元✉のIPアドレス(「MAIL FROMコマンド」のアドレス(=エンベロープFrom)) と一致するか? 送信側→DNSのゾーンファイルにSPFレコードを追加 受信側→メールサーバをSPF設定にしておく。 SPFはメールサーバの認証、アドレスが正しいかはわからん。ドメインまで(@のあと SPFレコード 『IN TXT "v=spf1 +ip4:58.13.7.83( IPアドレス ) -all』 💬どうぞ見に来て頂戴~エンベロープFROMと一緒でしょ?

  • 4

    STARTTLS

    SMTPやPOP3で使える暗号化技術   すごい点①従来の25や110を使える   すごい点②通信開始時は平文、途中で暗号化 SMTPが有名! EHLO 等の開始処理コマンドでは暗号化せず、実際に送信するメールデータの通信を始めるタイミング等で STARTTLS

  • 5

    無線LANの規格は

    IEEE802.11💬イレブン WPA2であっても、IEEE802.11ヘッダは、暗号化されないから”MACアドレスは暗号化の範囲に含まれない

  • 6

    SLAAC

    IPv6のネットワークアドレス 自動構成するプロトコル DHCPサーバ不要 ホストとルータ間の通信には、ICMPv6プロトコルが使われるため、ICMP をセキュリティ都合で禁止すると、IPv6アドレスの自動設定ができなくなるので注意が必要

  • 7

    外と内部メールサーバを分ける理由

    外部はインターネットからメールを受信でき、内部は機密情報を持つメールボックスを外部から接続できないセグメントに置くため。

  • 8

    インターネットVPN

  • 9

    SPFとDKIMの課題

    ①認証失敗時処理を受信側に委ねてる ②「ヘッダーFrom」だけを詐称したときに検知不可 確認☆DMARC/BIMI

  • 10

    ▽SMTP通信 HE LO EH LO Mail FROM (○○○○) RCPT To データ (○○○○)  250 OK QUIT

    Mail FROM (Envelop ✉️From) データ (Header 👨From)

  • 11

    SNMP

    CPU/メモリ使用率、障害発生 「 コミュニティ」 コミュニティごとにMIBへのアクセス権限を分ける UDPの161(ポーリング)番、162(Trap)番 マネジャ、エージェント ポーリング 監視対象のMIBを収集 Trap 自発的にエージェント自身がマネージャに知らせる

  • 12

    HTTPヘッダフィールド 1つ目) PCの送信元IPアドレスの特定 ①リバースプロキシ(WAF)→LBで送信元IPが変換されても、LBが変えても(ソースNAT)、 HTTPヘッダに元PCのIPを付加 2つ目) ユーザーのブラウザに関する情報

    XFF( X-Forwarded-For ) User-Agent

  • 13

    SSL-VPN装置の方式3つ! シングルサインオン2つ!

    リバースプロキシ! ポートフォワーディング! L2フォワーディング ①Cookie エージェント ②リバースプロキシ

  • 14

    プロキシが復号機能を持つ場合

    HTTP通信を一旦終端。 通常) 利用者が「Webサーバの証明書」を確認できていた しかし、プロキシがSSL(HTTP通信)を終端 →利用者はプロキシの証明書しか見ることができない。 その先で中間者攻撃があったか、判断ができない →解決方法 「プロキシは,Subjectに含まれるコモン名(CN)に, サーバ証明書1と同じ情報のサーバ証明書2を生成し, PCに送信」 (H26午後Ⅱ問1)

  • 15

    RSA→DH→ECDHE

    相互認証 前方秘匿性 セッションごと鍵交換 RSA ◎ × × DH  × ◎ ◎ ECDHE ◎ ◎ ◎ 「Eliptic Curve (楕円曲線)」

  • 16

    DHCPリレーエージェント 異なる〇〇で、PCの〇〇を〇〇でDHCPサーバに転送 PC→ルータのDISCOVER     〇〇の〇〇、 ルータ→DHCPサーバのDISCOVER      〇〇の〇〇 ブロードキャストは、〇〇を超えられない。

    異なる「サブネット」で、PCの「ブロードキャスト」を「ユニキャスト」でDHCPサーバに転送 PC→ルータのDISCOVER 「L2層」のフレーム、 ルータ→DHCPサーバのDISCOVER 「L3層」のパケット 💬VLANで活躍???? ブロードキャストは、WANを超えられない。

  • 17

    IKEの拡張機能 アグレッシブモード

    XAUTH(eXtended AUTHentication)

  • 18

    ループバックアドレス

    127.0.0.0/8 他端末からアクセスできない。 外部からの不正利用が発生しない127

  • 19

    VLAN 仮想的な○○○○を作る技術

    仮想的なLANセグメントを作る技術

  • 20

    外部DNSサーバでは再帰問い合わせ拒否!許可するとどうなるか。

    もし許可(例えば送信元 any)すると、 攻撃者が不正な応答内容を送信してきてキャッシュ内に保存 →キャッシュクリアまで間違った名前解決 攻撃者のホストを信頼ホストとみなしてしまう

  • 21

    メインモードの方がセキュリティは強固 理由

    認証情報であるIPアドレスは偽装が難しいから