goo blog サービス終了のお知らせ 

日刊ドットコムマスター★

ドットコムマスターに合格するためのブログです。

第21回 第2部 第51問

2013-07-17 10:12:05 | 第4章

NAPTを利用することにより、簡易的なファイアウォールの効果を期待できる。この理由として、もっとも適切なものを1つ選びなさい。

a. 外部からのパケットを、すべて特定のIPアドレスのホストに転送するため
b. 外部からのパケットを、内部ネットワークとは別に設けたセグメントのホストに接続するため
c. 外部からの攻撃を検知し、攻撃元からのアクセスを自動的に遮断するため
d. 外部からのパケットを、変換表に登録されたIPアドレス及びポート番号に対する通信のみ内部ネットワークに転送するため

コムたろう「NAPTって前にも聞いたことあるような無いような・・・。」


ドット先生「NAPTの基本的な機能は覚えてるかな?」


コムたろう「えっと・・・複数のPCをインターネットにつなぐ時に、各PCのプライベートIPアドレスを一つのグローバルIPアドレスに変換するんだっけ?」

ドット先生「そうだよ!よく覚えていたね。今回の設問はその応用編になるんだ。」
「まずNAPT機能が備わっている機械っていうと何か分かるかな?」


コムたろう「ルーターだよね?」


ドット先生「そう!ルーターには変換表というものが中に入っていてその変換表を元に外部から来たパケットを内部に転送するかどうか決める決定権があるんだ!」

コムたろう「変換表がどんなふうになっているのか、もっとイメージしやすく教えてー。」



~~~~~~~~~~~~~~~~~~~~~~

ドット先生「良いだろう。」
「まずは、前提として、LANの内側にはPCが複数あるという事をしっかりイメージしておいてね。」

コムたろう「それぞれのPCには、別々なプライベートIPアドレスが設定されているんだよね。」


ドット先生「そうだね。でもプライベートIPアドレスじゃインターネット上のサーバーや端末とは通信できないから、グローバルIPアドレスが必要だ。」

コムたろう「ルーターのWAN側アドレスに一旦変換されるんだよね。」


ドット先生「よく知ってるじゃないか。」
「でも複数のPCが同時に通信していて、しかもそれぞれのPCで同じサイトを見たらどうなるかな?」

コムたろう「う~ん、サーバーから返ってくるデータはルーターのWAN側アドレスに向けて返ってくるから、LAN内部のどのPCにデータを渡せば良いかルーターが困っちゃうね。」

ドット先生「だからIPアドレスの変換だけじゃなくて、ポートも利用して管理テーブルに記録するんだ。それが変換表なんだ。」

コムたろう「だんだん、具体的になってきたね。」


ドット先生「たとえば『PC①のwebブラウザ』はプライベートIPアドレス①のポート①でデータが返ってくるのを待っていて、『PC②のブラウザ』はプライベートアドレス②のポート②でデータが返ってくるのを待っているとするよね。」
「ルーターでは、それぞれのIPアドレスをルーターのWAN側のIPアドレスに変換して、更にポートの番号も任意のポート番号に変換しちゃうんだ。」
「そして、それを変換表に記録する。ここ重要ね。」

コムたろう「記録してないと後で困るんだね。」


ドット先生「たとえば、さっきの例だとPC①のプライベートIPアドレス①とポート①はルーターのWAN側IPアドレスとルーターのポート③に、PC②のプライベートアドレス②とポート②はルーターのWAN側IPアドレスとルーターのポート④に。」

コムたろう「へぇ~、跡形もなく変わっちゃうんだね。」


ドット先生「跡形もなく変えちゃうか、重複しない限りは極力変えないかはルーターの機種によって違うらしいけど、まぁここでは分かりやすくガラっと変えちゃうとしよう。」
「でも変換表には、こういう内容で変換しましたってのが記録されているから、サーバーからルーターのポート③にデータが返ってくれば、変換表から逆にたどって、これがPC①のポート①に返せば良い事がわかるんだ。」

コムたろう「なるほど~、それで無事PC①のブラウザにデータが届くんだね。」


ドット先生「ウラを返せば、この変換表に乗ってないポート宛てに外部から通信が来ても通さないんだ。」

コムたろう「それが簡易ファイアウォールの効果って事?」


ドット先生「そうだね。ファイアウォールは簡単に言うとPCとインターネットの間に設置される外部からの侵入者(不正パケット)を防ぐ仕組みの事だけど、NAPT機能でも万全ではないにしてもある程度は不正に入ってこようとするパケットを防げるって事だね。」

コムたろう「なるほど!じゃあdは正解なんだね!」


ドット先生「そうだね!」



~~~~~~~~~~~~~~~~~~~~~~


ドット先生「この他に外部から入ってくる通信にLAN内のPCをさらさないようにする簡易DMZという機能もちょっと説明しておこう。」

コムたろう「また難しい名前が出てきた・・・。」


ドット先生「ははは。詳しいことを説明すると混乱するだろうから簡単に説明すると、簡易DMZは外部から入ってくるパケットを特定のホストに転送をする仕組みなんだ。」

コムたろう「そうすると、どうなるの?」


ドット先生「外からは転送先のホスト(公開用のサーバーとか)だけが見えるようになるんだ。」
「クレーマーからの電話は全て本社の担当者に転送するみたいな感じだね。」

コムたろう「選択肢の a で言ってるのは、これのことかぁ~。」



ドット先生「ただし、『簡易』とついていることからもわかるように、本格的なDMZとはちょっと違ってね。」
「本格的なDMZはLAN内部とインターネットの中間に設置されて、LAN内部とも独立した空間になるんだけど、簡易DMZの方はLAN内部の特定のホストを公開しちゃうので、そのホストが乗っ取られるとLAN内の全てのホストが危険にさらされる可能性もあるんだ。」

コムたろう「え~!?じゃあセキュリティ関しては特に注意が必要だね。」


ドット先生「ちなみに、簡易DMZで可能なのは選択肢a,bだけどcの選択肢に攻撃検知機能という言葉もあるね。」

コムたろう「うわー!またわからない用語がでてきたぁ・・・。」


ドット先生「一度に言うと分からなくなるだろうから今日はここまでにしよう!攻撃検知機能については過去問の解説にも説明があるからよく読んでおくように!」


コムたろう「わかりました~。」






【 第21回 第2部 第51問 解答&解説 】
[解答]d
[解説]
a. 誤り。簡易DMZ機能の説明である。
b. 誤り。簡易DMZ機能の説明である。
c. 誤り。攻撃検知機能の説明である。
d. 正しい。NAPTによる簡易ファイアウォール機能の説明である。NAPT有効時には、変換表に登録されているポート以外への外部からのアクセスは、内部ネットワークに転送されない。


第21回 第2部 第60問

2013-07-08 09:54:21 | 第4章

受信する迷惑メールを増やさない方法として、適切なものを2つ選びなさい。

a. 信頼できないサイトで懸賞等に応募しない。
b. 受信した迷惑メールに記載されている手順に従い、配信停止の設定を行う。
c. Webサイトにメールアドレスを公開するときは、メールアドレスをテキストデータではなく画像で表示する。
d. メールサーバの認証用パスワードを頻繁に更新する。
e. POP before SMTPを利用する。




コムたろう「迷惑メールってあるとき突然入ってくるよね~嫌だなぁ・・・。」


ドット先生「そうだね。でもね、いきなり入ってくるときもあるけどほとんどの場合がなにかしら自分で事前になにかに登録したりとかアクションを起こしている場合がほとんなんだよ。」

コムたろう「へ~そうなんだ。じゃあ選択肢 a なんてもっての他だね。」


ドット先生「そうだね。信頼できないサイトに登録なんてもっての他だね。」


コムたろう「でも b は配信停止の設定だから従ったほうが良くない?」


ドット先生「コムたろうくん。それにだまされちゃいかんぞ!」
「迷惑メールを送信してくるような悪いヤツが、そんな素直に配信停止すると思うかい?」
「むしろ、自分のメールアドレスが実際に生きているものだって相手に知らせる事になって、余計に迷惑メールが増えるよ。」

コムたろう「ひぇ~、あぶないあぶない。見知らぬメールに返信なんかするもんじゃないね!」


ドット先生「c の選択肢だけど、自分のアドレスをweb上に乗せること自体危険な行為なんだけど、仕事とかでどうしても公開せざるを得ない場合もあるよね。」
「そういう時も、そのまま乗せちゃうメールアドレスをweb上から自動収集するボットに盗まれる可能性があるから対策が必要だね。」

コムたろう「世の中物騒なんだね・・・。」


ドット先生「自分の情報は自分で守るのが賢いインターネット利用者だよ!」
「だから自分のアドレスを公開したい場合はメールアドレスを画像にして表示させたり『@』を『アット』などと自動収集のボットが反応しないようにちょっとひねりを入れるんだ。」

コムたろう「わかりました!」


ドット先生「残るはd,eだけど d は自分がメールを送受信する際にメールサーバとの認証に使うものなので、勝手に送りつけられてくる迷惑メールの対策にはならない。」
「e のPOP before SMTPはSMTP自体に認証が機能がないため、POPの認証を一定時間利用することで、メールの送信を可能にするものであるからこれも迷惑メールの対策にはならないよ。」

コムたろう「そっかぁ。じゃ答えは a と c だね!」


ドット先生「そうだよ!迷惑メール対策はこういった知識を最低でも持っている事が大切だからよく覚えておくんだよ。」

コムたろう「はい!迷惑メール対策これくらいだったら簡単なのでよく覚えておきまーす。」







【 第21回 第2部 第60問 解答&解説 】
[解答]a.c.
[解説]
a. 適切。迷惑メールを受け取らないようにするために自分のメールアドレスを部外に容易に知らせないことが必要であり、信頼できないサイトなどでの懸賞等の応募は避けるべきである。
b. 不適切。配信停止の設定を実施するということは、実在するメールアドレスであることを相手に知らせることとなってしまう。
c. 適切。メールアドレスをWeb上等に公開する場合には、画像として登録したり、abeアットマークyahoo.co.jpのようにメールアドレスとして判断されないような記述にすることが肝要である。
d. 不適切。メールサーバの認証用のパスワード変更は迷惑メールを増やさない対策にはならない。
e. 不適切。POP before SMTPはSMTP自体に認証が機能がないため、POPの認証を一定時間利用することで、メールの送信を可能にするものである。


第19回 第2部 第60問

2013-07-04 10:29:06 | 第4章

以下は、Windowsメールのセキュリティ設定に関する画面である。図中の①、②はどのプロトコルと関係するか、下の選択肢からそれぞれ1つずつ選びなさい。

19260

a. SMTPS    b. SMTP Auth        c. POPS
d. APOP     e. POP before SMTP     f. IMAP

ドット先生「この問題も6月の模擬試験で誤回答が多かった問題だよ。」


コムたろう「メールのセキュリティの問題だね。」
「メールのプロトコルって、SMTPやPOPでしょ?選択肢にはこの2つが無いけどなんでだろ?」

ドット先生「メールの送受信に使われているSMTP(送信)やPOP(受信)には基本的にセキュリティに関する機能を備えていないんだよ。」

コムたろう「えっ?そうだったの?あぶな~い!」


ドット先生「うん、送信時のなりすましや受信の際のパスワードといった認証情報の盗聴など、色んな危険性が問題視されるようになったから、SMTPやPOPではなく、セキュリティ機能を備えたメールのプロトコルを各ISPが利用するようになったんだよ。」

コムたろう「そうか、安全にメールをやりとりしたいもんね。しょうがないよね。」


ドット先生「その通り!」
「では、まず①の状況を確認してみようか?」

コムたろう「送信メールサーバの設定箇所だよね。」
「このサーバは認証が必要・・・あれ?送信の際に使うプロトコルってSMTPだよね?」

ドット先生「以前はね。」


コムたろう「SMTPって、送信時に認証しないでメールが転送できる仕組みじゃなかったっけ?」


ドット先生「良く覚えていたね。その通りだよ。だけど、その認証を行わないという点がなりすましのリスクを高めるから、最近では送信時でも認証をするのが、一般的なんだ。」

コムたろう「へぇ~そうなんだ。」


ドット先生「『認証』という言葉に着目しようか。」
「この『認証』っていう言葉を英語に直すと『Authentication』になるんだよ。」

コムたろう「『Authentication』って長いね。カミカミになっちゃうよ。」


ドット先生「だから、インターネットの世界では、『認証』を意味する言葉の省略形として『Auth』という言葉を使うんだよ。」

コムたろう「だったら、①の正解は『b.』になるね!」


ドット先生「そっ、意外と簡単でしょ?」


コムたろう「でもさ、確か『e.』の『POP before SMTP』っていうのも認証を利用していなかったっけ?」

ドット先生「SMTP(送信)する前にPOP(受信)しようという認証方式だよね。」
「これはPOP(受信)ではパスワードを使って認証してメールを受信するから、受信できた=メールサーバに認証されたということで、その後一定期間だけ送信要求があった場合、送信を許可するというものだね。」

コムたろう「メールのセキュリティを高めるには『e.』じゃだめなの?」


ドット先生「ダメって訳じゃないけど、受信した後、数分程度しか送信できないのも不便だし、送信前にPOPで受信できたからって、SMTP(送信)が正規のユーザーから送られたものかどうかを確かめる手段はないんだよ。」
「だから、今では送信時にユーザ認証を行う『b.』が送信の際の認証としては普及しているね。」

コムたろう「そうなんだ~。」



ドット先生「では、次に②を見てみようか?」
「詳細設定タブの『送信メール』の部分だね。」
「ここの、ポイントは『セキュリティで保護された接続(SSL)が必要』という部分だよ。」

コムたろう「SSL?」


ドット先生「SSLは公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数を組み合わせて利用するデータ自体を暗号化する仕組みだよ。」

コムたろう「データ自体を暗号化?」


ドット先生「うん、認証には一般的にはパスワードを利用するでしょ?」


コムたろう「パスワードがあっていれば、正規のユーザーだよね?」


ドット先生「でも、悪い人はこのパスワードを通信途中で盗み見してしまう場合もあるんだよ。」


コムたろう「えっ!?じゃあ、パスワードを使った認証だって安全じゃないじゃない!」


ドット先生「そこで、SSL!」
「SSLでパスワードやメールの内容を暗号化することで、通信途中での盗み見(スニファリング)を防止するんだよ。」

コムたろう「パスワードだけじゃなくって、メールそのものまで暗号化されるなら、盗み見られなくて安心だね♪。」

ドット先生「SSLはいろんなプロトコルと組み合わされて利用することが多いんだよ。」
「その場合、たいていは元々利用されているプロトコル名の末尾に『S』が付くよ。」

コムたろう「・・・あれ?じゃあひょっとして、②の正解は送信のSMTPとSSLを足した『a.』?」


ドット先生「よく解ったね!その通りだよ。」
「②の下にある受信メールの『セキュリティで保護された接続(SSL)が必要』にはチェックが入っていないよね。」

コムたろう「そうだね。」


ドット先生「もしも、ここにチェックが入っていた場合は、POPとSSLを組み合わせた『POPS』というプロトコルを利用しているということになるんだよ。」

コムたろう「POP+SSLだからPOPS・・・末尾の『S』は『SSL』を指しているんだ!」


ドット先生「うん、そうやって覚えていけばいいからね。」


コムたろう「確かに!これなら大丈夫☆。」





【 第19回 第2部 第60問 解答&解説 】
[解答] ①-b,②-a
[解説]
① 送信メールサーバに対する認証行為なので、SMTP Authが該当する。
② 送信メールサーバにアクセスする際にSSLを利用するので、SMTPSが該当する。


第20回 第2部 第51問

2013-07-01 10:04:06 | 第4章

次の図は、ハッシュ関数を使ったユーザ認証の概念を示したものである。図中のア~ウに入る単語の組み合わせとして正しいものを、下の表から1 つ選びなさい。

20251_2

コムたろう「この問題は難しそうだな~~」


ドット先生「そのようだね。この問題は間違える人が多いのだ。しっかり覚えてよー。」
「ハッシュ関数を使った認証と言えば、チャレンジ・レスポンス方式がメジャーだね。」
「今回のもそうだよ。」

コムたろう「まず最初の(ア)は図から読み取るとユーザ認証でIDと一緒に入力するといえばパスワード(PW)だよね?」

ドット先生「そのとおり!グーグルやヤフーなど様々なサイトでログイン時にIDとPWを入力するユーザ認証が使われているね。」

コムたろう「だとすると(ア)がPWなのは・・・ a. か e. てことになるね。」


ドット先生「冴えているね、コムたろう君。そのとおりだ!」


コムたろう「今日は調子いいんだ。でも次はわかんないなー。」


ドット先生「次はサーバ側を見てみよう!IDを受け取ったサーバーはランダムな文字列(チャレンジ値)をその都度生成してクライアントへ送信する。これが(イ)だね。」

コムたろう「クライアントは受け取ったそのチャレンジ値をどうするの?」


ドット先生「PWとチャレンジ値をハッシュ関数に混ぜ込んでハッシュ値というものを作成し、サーバーへ返信するんだよ。」
「ちなみにチャレンジ・レスポンス方式認証ではこのハッシュ値をレスポンス値と呼ぶんだ。」

コムたろう「ふむふむ。」
「それからどうなるの?」

ドット先生「サーバーに届いたレスポンス値とサーバー側でクライアントと同様の処理をし、生成されたデータ(ハッシュ値)を比較して一致するかどうかを調べるんだ。」

コムたろう「一致したらPWは合っているという事で、ログインできるんだね。」


ドット先生「おさらいをすると次のようになるよ。」
「①ユーザーがIDをサーバーへ送信してログインしたがっている事を知らせる。」
「②サーバーからユーザーに対してランダムな値(これをチャレンジ値という)を送信する。」
「③このチャレンジ値をユーザーがPWと一緒にハッシュ関数に放り込んで、出てきたハッシュ値をサーバーへ返す(これをレスポンス値という)。」
「④サーバーでも同じ様にチャレンジ値とPWをハッシュ関数に入れて、計算結果をユーザーから返ってきたレスポンス値と比べる。」
「⑤比べてみて同じなら認証OK」

【 第20回 第2部 第51問 解答&解説 】
[解答] e.
[解説]
盗聴からパスワードの漏洩を防ぐ方法として、パスワードをハッシュ化して送信する認証方式がある。
この認証方式では・・・
 ・クライアントからサーバにランダムな文字列(チャレンジ値)の作成と送信を要求する。

 ・クライアントでは、受け取ったチャレンジ値(イ.)とパスワード(ア.)を組み合わせたものからハッシュ値を生成し、それをサーバに送信する。

 ・この送信情報をレスポンス値などと呼ぶ(ウ.)。

 ・サーバ側でもクライアントと同様の処理をし、生成されたデータとレスポンス値を突き合わせることで、パスワードが一致するかどうかが調べられる。

 ・このような認証方式を「チャレンジ・レスポンス方式」と呼ぶ。

この方式では、ネットワークに流されるのはハッシュ値だけなので、パスワードを盗み取られる恐れがない。
また、チャレンジ値をかえることで、同一のバスワードであってもハッシュ値が毎回変化するので、ハッシュ値を盗聴されても悪用される危険も少ない。
チャレンジ・レスポンス方式は、SMTP AuthやAPOP、CHAPなどで使われている。


第21回 第2部 第47問

2013-06-25 09:15:59 | 第4章

トロイの木馬と呼ばれる不正プログラムの説明として、もっとも適切なものを1つ選びなさい。

a. ネットワーク上の他のPCに自分の複製を送り込んで感染させる。
b. 外部からPCに不正なアクセスを繰り返して管理者権限を奪取する。
c. 正しい動作を行っている正規のプログラムのように見せかけて不正行為を行う。
d. ユーザが意図しないポップアップ広告を表示する。

コムたろう「トロイの木馬!?」


ドット先生「トロイの木馬というのは正しい動作を行っている正規のプログラムのように見せかけ、裏でパスワードなどの機密情報を送信するといった不正な動作をするプログラムだよ。ウイルスやワームを介して広がることが多いんだ。」

コムたろう「なるほど!ウィルスやワームってワームもウィルスじゃないの?」


ドット先生「ウィルスの一部ではあるけどワームはウィルスほど他のプログラムに寄生するわけではなく単独で活動する点や、簡易的なプログラムで作られていてウィルスとは区別される場合が多いんだよ。ちなみにワームは他のコンピュータへ自己を複製(コピー)し続けて行く不正プログラムだよ。」

コムたろう「ワームは自分をひたすら増やしていくんだね。ちなみに選択肢dのポップアップってなにー?」

ドット先生「インターネットを使っていて見たい画面を開くと、それとは別にもう一つ画面が自動で立ち上がったりしたことは無いかな?」

コムたろう「ある~。あれがポップアップ?」


ドット先生「そうだよ。よく広告に使われるんだ。そして広告を表示するプログラムをアドウェアと呼ぶんだ。」
「ちなみにアドってのは広告って意味だよ。」

コムたろう「ふーん。たくさんあるんだね。」


ドット先生「純粋なアドウェアのみであれば危険性はないけど、アドウェアの中には個人情報を盗んだりするものもあり、Webブラウザの履歴やメールアドレスなどが漏洩する場合もあるから覚えておくように!」

コムたろう「わかりましたー。」






【 第21回 第2部 第47問 解答&解説 】
[解答]c
[解説]
a. 不適切。ワームの説明である。
b. 不適切。パスワード攻撃の説明である。
c. 適切。トロイの木馬の説明である。
d. 不適切。アドウェアの説明である。