#126 ネットワークスペシャリスト（リベンジ）

　ネットワークスペシャリスト試験を受けてきました。

昨年は、午後Ⅰに屈しました。悔しさを胸に、そこそこ勉強して臨みましたが、リベンジを果たせたのではないかと思っています。

午後Ⅰ

問１と問３を選択しました。

問１

ゲームソフトのCDNに関する問題でした。BGP周りは理解が浅かったのですが、コンテンツ配信は経験があったのですんなり解けたと思います。

設問１
（１）ICMPに応答しても、HTTPサーバが機能していない場合に誤ってアクセスを振り分けてしまう。
（２）ア. 最小接続数　イ. 172.22.1.0/24
（３）LB

設問２
（１）ウ. 大きい　エ. 小さい
（２）IX
（３）不正なBGPピア。
（４）通信が不正な経路を通過することで、通信に掛かる時間が増加する。

設問３
（１）FW１に負荷がかからないため、他のLBの通信に影響がでない。
（２）同じ送信元からの攻撃を遮断できる点。

問３

ローカルブレイクアウトと聞いて、「なんやねんそれ…」となりましたが、よく読めば、プロキシを使わずに通信させることだとわかりました。IPSecは絶対出ると思って勉強していたのでラッキーでした。

設問１
（１）ア. スター　ハブ＆スポーク
（２）事前共有鍵
（３）鍵が流出した場合、対象の支社のみ対応すればよい。
（４）IPヘッダー、元のIPパケット、ESPトレーラ
（５）IPアドレスの割当てがされる前の通信を許可する設定。 WAN側にIPアドレスの割当てをせずに通信する設定？
（６）通信が遅延する。

設問２
（１）利用しない
（２）本社のプロキシサーバ
（３）172.16.0.1 - 172.31.255.254
（４）プロキシサーバの負荷軽減効果。
（５）支社ごとに別のプロキシ名を設定するため。

設問３
（１）イ. DHCP　ウ. DNS　エ. HTTP　オ. URL
（２）不正なプロキシサーバに接続してしまう。

午後Ⅱ

問２を選択しました。

問２

電子メールのネットワーク構築に関する問題です。SPFやDKIMなどメールのセキュリティ設定は、最近話題にもなっていました。何度も構築経験があるので、問題を読まずとも解けました。

設問１
（１）mail.y-sha.lan
（２）TTLを短く設定している。
（３）a. Preference　b. y-mail1.y-sha.com y-mail2.y-sha.com　c.逆引き
（４）ア. 200.a.b.1　イ. 192.168.0.1
（５）攻撃者が管理するIPアドレスと詐称するドメイン名をPTRレコードに設定する。

設問２
（１）ウ. 200.a.b.1　エ. 200.a.b.2
（２）d. SMTP　e. FROM MAIL FROM　f. y-sha.com
（３）送信元メールサーバのIPアドレスが、SPFレコードの許可リストに含まれているか確認する。

設問３
（１）g. ヘッダー　h. UDP　i. 4096 512
（２）RSA暗号　公開鍵
（３）DKIMレコードに設定されている公開鍵と対になる秘密鍵で電子署名されていると確認できるから。

設問４
（１）外部DNSサーバY　メール中継サーバZのFQDN
（２）y-sha.com
（３）Z社に秘密鍵を共有しなくてよいため、流出やなりすましのリスクが低くなる点。
（４）SPFやDKIMの検査を通過する正常なメールが送信されるから。

設問５
（１）ハッシュ値aを秘密鍵で暗号化する。
（２）電子証明書に含まれる公開鍵で復号する。
（３）ハッシュ値aとハッシュ値bが一致した場合。

まとめ

　ネスペの問題は、実務でネットワークやっていないと難しいという印象でしたが、今回は得意分野が多くてラッキーでした。結果が出るまではわかりませんが、けっこう自信あります。７月の発表までそわそわしますね…

EOF