Please enable JavaScript.
Coggle requires JavaScript to display documents.
【暗記】ネットワークスペシャリスト (Wireless (無線LAN規格 (IEEE802.11ac (6.9Gpbs,…
【暗記】ネットワークスペシャリスト
Wireless
OFDM
データを複数のサブキャリアに分割し、サブキャリア同士が干渉しないように通信できる。IEE802.11b以外はこの変調方式
CCK
IEE802.11bはこの変調方式
802.11ヘッダ
フレーム:802.11ヘッダ(30byte)のなかのフレームコントロールと呼ばれる2byteのこと
制御フレーム01
RTS、CTS、Ack、PS-Poll
管理フレーム00
ビーコン
無線ネットワークの存在を通知する。
プローブリクエストとレスポンス
クライアントはビーコンを受信すると、自身が設定している
ESS-IDかどうかをアクセスポイントに対して問い合わせ
アソシエーションリクエストとレスポンス
クライアントからアクセスポイントに接続要求を行います。
この要求を「Association Request(アソシエーション要求)」
データフレーム10
インターフェイス
WLCの論理インターフェイス
サービスポート
WLCへ管理アクセスするためのローカルポート
management
APがWLCとCAPWAPトンネルを構築するときはここで設定するIPアドレス宛となるインターフェイス
Virtual
DHCPやVPN,Web認証の宛先となる仮想的なインターフェイス
Dynamic
管理者が定義したVLANインターフェイス。ここで設定されたVLAN番号が無線デバイスに付与される。
物理インターフェイス
コンソールポート
コンソールケーブル
ディストリビューションポート
通常のトラフィックや管理トラフィック。LAGに対応
サービスポート
アウトオブバンド管理(通常のトラフィックは流さない)ディストリビューションポートでなにかあっても障害対応可能アクセスポート
冗長ポート
WLCを冗長化するときに使う。
セキュリティ
レイヤー2
802.1X
WPA+WPA2
https://www.infraexpert.com/study/wireless11.html
QoSプロファイル(設定)
Platinum
Voice用に用意されている
Gold
videoトラフィック用
silver
デフォルト
Bronze
最低優先度
WLC用語
Band Select
デュアルバンド(2.4GHZも5GHZも対応)のときに、5GHzの周波数を優先的に使用すること
FlexConnect
Zigbee
下位層にIEEE 802.15.4を使用する低消費電力の無線通信方式であり,センサネットワークへの応用が進められている
無線LAN規格
IEEE802.11n
高速化技術、OFDM、MIMO、フレームアグリゲーション、ガードインターバル
フレームアグリゲーションは無線フレームを一つにまとめてそうしんする。
宛先が同じ複数のフレームを連結して送信する。
MSDU Mac Service Data Unit
宛先が同じフレームを集めそれを無線ヘッダをつけて送る。
違い:無線ヘッダが一つ
MPDU MAC Protocol Data Unit
PLCPヘッダをつけて、すべてまとめる。
無線ヘッダがまとめたフレーム分くっつく
デメリット
無線チャネルの占有時間が長くなり、その間はほかの通信ができなくなる。
MIMO
アンテナを複数に束ねて高速化する。複数のアンテナで同時に送信したら、早くなるという理論
アンテナが多くても実際に多汁しなければ高速されない。どれだけ多重化しているかが「ストリーム」
2×2は送信用アンテナ2本、受信用アンテナ2本という意味
3×3なら一本で送受信を兼ねている。
チャネルボンディング
密集エリアで11gを1.6.11の3チャンネルでAPを配置している場合、11nで使用できるチャネルが減ったら、設置できるAPが減るので、11b/gはチャネルボンディングを使わないということもある。
ガードインターバルの短縮
ガードインターバルとは干渉を防ぐための冗長な部分である。無線の電波は、直接届くもの以外に、反射して遅れて届くものもあり、それが干渉になることがある。これを防ぐために冗長な部分を用意している。
600Mbps
IEEE802.11b
11Mbps
変調方式 DSSS
IEE802.11a
54Mbps
IEEE802.11g
54Mbps
11b/gで利用する2.4GHz帯はISMバンドと呼ばれる
Industry Sxience medical
産業科学医療の分野で許可なく自由に使える
IEEE802.11ac
6.9Gpbs
送信アンテナ8本×受信アンテナ8本(最大8ストリームの同時伝送が可能)に拡張されている。
OFDM
IEEE802.11e
無線LANのQoSに関する企画
RTS/CTS(Request To Send /Clear To Send)
隠れ端末問題を解決するためのフレーム
他の無線ノードの電波を検出できない(CSMA/CAで電波が使われているかがわからない)
まず、ステーションAがデータを送信する前に、RTSというフレームをアクセスポイントに送ります。これにはこれから送るデータの長さ情報が入ってます。
次に、それを受信したアクセスポイントは、CTSというフレームをネットワーク内の全員に送ります。これにはステーションAがこれから送るデータの長さ情報が入ってます。
このCTSフレームを受信したステーションBは、これから他のステーションが指定されたデータ長の送信を開始するとわかります。その期間は、ステーションBは送信をしないようにする
CSMA/CA
無線ノードは電波が使用されていないことを確認→スロットタイムとランダム時間待つ→再度電波状況をみる→未使用→データ送信
CSMA/CDとは逆に成功したら受信側がACKを返すことで確認する。ACKが帰ってこなければ上記のように再送する。
識別情報
BSS Basic Service Set
無線ノードが一つの無線APと通信できる範囲のこと
ESS(Extended Service Set)
複数のAPを移動しても継続して通信できる無線LAN全体の範囲のこと
認証
新しい暗号化方式順に
①WPA3
②WPA2
暗号化方式のCCMPが必須
TKIPで使用しているRC4よりもつよい暗号化アルゴリズムの
AESを採用
☆事前認証とPMKの保持を規定している。
ハンドオーバーするたびに、ちょっと通信できない。無線LAN端末を移動しながら利用すると、接続するAPが変わります。このとき、接続するAPに改めてPMK(Pairwise Master Key )の作成などの認証処理が発生するため、少しの間、通信ができなくなり
事前認証と
APが切り替わるタイミングで認証するのではなく、同じネットワークに接続されている他のAPとは、接続しているAP経由で事前に認証を終えておきます。こうすることで、APを移動したときの認証を不要
PMK(PairWise Master Key)
一度認証した認証キーをAPが保持しておきます。そうすることで、認証済のAPに戻って接続するときに、PMKの再生成が不要になり、ハンドオーバ時間を短縮
PCごとに違うものが作成される。
暗号化のための鍵
☆IEEE802.11i
☆事前共有鍵を端末とルータで保持する。
③WPA
暗号化方式のTKIPが必須
WEPの無線LAカードを交換しなくてもすぐ対応可能。緊急用
パーソナルモード
認証サーバがなく、WPA-PSKで認証する。
PMKはすべてのPCやAPで共通
エンタープライズ【モード
IEEE802.1X
☆認証サーバーで動的に生成されたPMK
PCおよびAP単位でPMKが作られる。
一時鍵は,IEEE 802.1Xの認証成功後に[ h:認証サーバ ]で動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に,無線LAN端末及び[ h:認証サーバ ]の両者で生成される。
⑥WEP
やばい
IEEE802.11の仕様
同一のWEPキーが使用され続けることに加え、アルゴリズムも複雑ではない。
☆共通鍵暗号方式
アルゴリズムはRC4
☆1バイト単位のストリーム暗号方式
☆同一のWEPキーが使用されつづける。
WiFiアライアンス
WPA系を規格したい委員会
IEEE802.1X/EAP 認証方式
https://sc.seeeko.com/entry/authenticationlan
EAP-MD5
EAPの枠組みで動作するCAHP。内容はCHAPと一緒だが、PPPとEAPはプロトコルが異なるため、やり取りが異なる。
PEAP
サーバ証明書を使い、クライアント側はIDとパスワードを利用する。これも枠組みのため、クライアント側の認証にはMS-CHAPv2などから選択できる。
EAP-TLS
SSLの後継であるTLSによって認証を行う。具体的にはクライアント証明書を使う。
EAP-TLSを実現するためにPC側で必要なもの
クライアントの秘密鍵
通信を暗号化するときに必要
クライアント証明書
クライアント側が認証されているかを明治する。
CAのルート証明書
認証サーバが正規のものか確認するため
EAP-TLSとPEAPの使い分けについて
PEAPはユーザ認証でEAP-TLSは端末認証
PEAPが適しているパターンの根拠
PEAP方式は利用者を特定できる。
認証LANの限界
802.1X認証を行うL2SWがリピータハブを経由すると
認証されたポート経由で認証されていないPCの接続が許可されてしまう。
通信フロー
WLCを経由する通信
WLCの認証後の通信に関するポリシーを一元管理できること。たとえばACLによるセキュリティのコントロールがしやすくなる。
WLCを経由させないモード
WLCに通信が集中するのを抑えることができる。
WLCに障害が発生してもその無線LAN端末の通信を継続できる。
暗号化アルゴリズム
ブロック単位
DES
3DES
AES
ストリーム単位
RC4
検疫ネットワーク
4つの方式
認証スイッチ
IEEE802.1X認証に対応しているスイッチを利用してユーザー認証を行った後に検疫を実施する方式です。ユーザー認証にクリアしたパソコンのみをネットワークに接続させるため、安全性が高い方式です。
スイッチのダイナミックVLAN機能を使うことで、安全性が確認されたパソコンは社内用VLANのへと接続し、問題があれば隔離用VLANへ接続して治療
DHCP方式
DHCP方式ではまず検疫ネットワークへ接続するためのIPアドレスが割り当てられます。検疫ネットワークへ接続されたパソコンはそこで、検査・隔離・治療が行われて、問題が解決したら社内ネットワークに接続するためのIPアドレスを割り当てられて、社内ネットワークへと接続
パーソナル(クライアント)ファイアウォール方式
パソコンにインストールするソフトウェアタイプのファイアウォールで、検疫サーバーと連携して動作します。パソコンをネットワークへと接続した時、まず検疫ネットワークのみに接続できるルールを設定し、パソコンを検査します。パソコンの安全性が確認されたら、社内ネットワークへとアクセスできるようにルールを変更します。
パーソナルファイアウォール方式の特徴として、ユーザー認証を行う事が出来ず、パソコンの設定でパーソナルファイアウォールを無効にしている場合、検疫を行うことができず、セキュリティが弱い
ゲートウェイ方式
パソコンがゲートウェイを通過する際に、検疫済みかどうかを調べ、検疫済みであれば社内ネットワークへと接続し、未チェックであれば検疫ネットワークへと接続します。
ゲートウェイはネットワーク上の任意の場所に導入できるため柔軟性は高くなりますが、ゲートウェイまでネットワークは検査が行われないため、認証スイッチ方式ほどセキュリティは高くならないという特徴
3つのステップ
検査
社内ネットワークに接続しようとしているパソコンを、まず検査用ネットワークへ誘導します。そこでマルウェアの感染を調べ、セキュリティ対策ソフトやOSのパッチが最新のものであるかどうか検査します。もし問題点がなければ、社内ネットワークへ接続します。
隔離
検査用ネットワークでパソコンをチェックしたのち、問題がある場合は、そのパソコンを隔離します。隔離されたパソコンのネットワークは社内ネットワークとは通信ができないネットワークです。隔離されたパソコンはそこで治療が行われます。
治療
問題のあったパソコンに対して、治療用サーバーが問題の解決(治療)を行います。治療によってセキュリティ対策ソフトのパターンファイルやセキュリティパッチのアップデートなどが行われます。治療が完了すると再度検査が行われ、そこで問題がない状態であることを確認します。問題がなければ社内ネットワークへと接続を行います。
目的
社内ネットワークへのマルウェアの感染などを予防
不正な持ち込み端末でのアクセス防止
認証方式
リスクベース認証
普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,一定の利便性を保ちながら,不正アクセスに対抗し安全性を高める。
ステルス機能
定期的に送信するビーコンを停止する。
接続方式
アクティブスキャン
無線端末が無線APに対して自身が接続したいSSIDを設定したプローブ要求フレームを送信する
APから一定時間ビーコンを受信できなかった場合にWLAN端末が接続を行いたい
ESSIDの情報をプローブリクエストで送信しAPからその応答が得られれば、Authenticaionのフェーズに移行
①クライアントからプローブ②オーせんてぃケーション③アソシエしょん④データ
プローブ要求とプローブ応答
利用できるチャネルの情報、及びESSIDの情報
を得ている。
オーせんてぃケーション
お互いに認証パケットで認証を行っている。
アソシエーション
PCが無線APと論理的に接続すること。
パッシブスキャン
無線APからビーコン信号を送信する
APからブロード
キャストされるビーコンフレームを受信してESSIDの確認をし合いAuthenticationのフェーズに移行します。
①APからビーコン②オーせんてぃケーション③アソシエしょん④データ
Any接続
接続さきが Anyになっているところからの接続
設計
サイトサーベイで調査すべき電波の状態
社外から送信される無線LANの電波状態
APからの電波到達範囲
壁やパーティションの電波の透過状態
サイトサーベイの調査結果をもとに、導入作業前に確定すべき設計項目
APの設置場所
使用するチャネル
APの設置方法
APの出力電波強度
音声関係
音声通信は、1対1の対向通信が基本であることから、一つの無線APの配下で通話中の無線IP電話器が何台あるかを把握すれば、音声通信を行っている無線IP電話器の台数がわかる。
ビジートーン
音声通話を行っている無線IP電話器の台数が許容限度に達すると、無線APは、無線IP電話器からの発呼要求に対してビジトーンを返すようにしている。そうすれば、一つの無線APに許容限度以上の無線IP電話器を接続できないようになる。
マルチホップルーティング
RPL(IPv6 Routing Protocol for Low Power and Lossy Network)などの経路制御プログラムを使用して、他の920MHz帯無線機を経由して通信をすることが可能である。これによって、スマートメータなどの広い範囲で設置されているセンサと直接通信可能な範囲に親機を設置する必要がなく、親機の数を減らすことができるというメリットがある。
レイヤー1
用語
ピッチ
2本の導線を1回よる間隔
ケーブル内の対のピッチは対ごとに変える
LAGを組むときにはPHYに注意p56
WOLを使ってるときはオートネゴシエーションの設定に注意
1000BASE-Tと1000base-tx
1000BASE-TX
1対のより線で500Mbpsの通信を行い、2対を送信に、残りの2対を受信に利用する
1000BASE-T
UTPケーブルの1対のより線で250Mbpsのデータ送受信を同時に行い、4対同時で1Gbpsの全二重通信をする
対線の間隔は短い方がよい
外部の電磁波からの影響に差が出る
拡張NICはオートネゴでしか動かない場合もあるため、duplex/speedの統計情報に注意
FCoE(Fibre Channel over Ethernet)
FCのフレームが最大2,112バイトであるのに対して、イーサネットフレームのデータフィールドは46~1,500バイトです。FCフレームとイーサネットフレームのマッピングは1対1で行われるため、FCフレームのカプセル化には拡張イーサネットの「イーサネットジャンボフレーム」が使用されます。
拡張イーサネットフレームでFCフレームをカプセル化して通信を行います。
CSMA/CD
ジャム信号
512ビット未満のMACフレームのこと。MACフレームの最小フレームは512ビットなので、ジャム信号が受信するとデータの衝突が発生したことがわかる。送信ノードがしすべてのノードに送信する
リピータハブ
10Mビット/秒のLANで512ビットのでーたを送信するときの時間は51.2マイクロ秒で、衝突ウィンドウ時間(スロットタイム)という。
IEEE802.3af
Poe
IEEE802.3at
PoE+
30W宮殿
ADSL
スプリッタ
電話の低い周波数帯とADSL伝送に使用する高い周波数を分離合成するためのモデム
FTTH
ポイントツーポイント構成(シングルスター)
収容局とユーザー宅を1対1で接続
ポイントツーマルチポイント
ユーザーの近くまで1芯の光ファイバーケーブルを使用し、そのさきは各ユーザー個別に光ケーブルを配線する。
PON(Passive Optional Network)
光カプラというスイッチをおいて、スター型に光ケーブルを置く
EPON(Ethernet PON)
イーサネット
オートネゴシエーション
FLP(Fast Link Pulse)バースト
連続したパルス
FLPを送出し、相手の伝送速度と通信方式を判断し、双方の最も効率の良いモードを自動的に選択する。
フロー制御
10Mと100Mビット/秒の速度変換や一時的に大量のMACフレームをおくりこまれてきたときに対応するために、MACフレームをちくせきするためのバッファをもつが、バッファがオーバーフローしそうになると、送信元のノードに対して送信を一時的に中止してもらう。
半二重の場合
CSMA/CD方式のジャム信号を使用する。
ジャム信号を使って送信データの転送を抑制することをバックプレッシャという。
全二重の場合
pauseフレームを送信する。
このフレームを受信したノードはpauseフレームに待ち時間の指定があるので、その時間の間はデータフレームの送信を中止する。IEEE.802.3x
光ケーブル
1000Base-LX
シングルモードファイバ
1000Base-SX
マルチモードファイバ
レイヤー3
ICMP
フラグメントの再組立中にタイムアウト
Time Exceed
ソースルーティングが失敗したとき
Destination Unreachable
受信側のバッファが溢れた時
Source Quench
IPaddressがない、NICが無効、宛先へのルートがない、ドライバが古い
一般エラー
プロトコル番号1
フラグメントオフセット
フラグオフセットフィールド(13ビット)にはこのパケットが何番目の分割されたパケットなのかが挿入されています。
最後の断片化されたパケットの前にあるデータは最大2^13-1の65528バイトとなる。
ここに入る値は元のIPデータの中のどの位置にあったのかをしますデータの位置が値として入ります。ここに入る値はオフセット単位で表示されます。値が“1”なら8バイト、“2”なら16バイトを意味します。つまり元のデータの何バイト目からのデータなのかを示しているわけです。1番目のパケットであれば当然"0"が入ります。
断片化されたパケットはフラグメントオフセットフィールドが0になっているか、IPヘッダのフラグフィールドのMF(More Fragment)が1となっている。
途中のルーターで元のIPパケットの分割が発生する場合、そのルーターは送信元に対して、ICMPのエラーメッセージ(コード=3:Destination Unreachableとコード4=Fragment needed and DF set)を返す
用語
ソースルーティング
送信元IPアドレスによってルーティングすること
ストリクトソースルーティング
ルーズソースルーティング
スター型のインターネッたVPNを使うときには処理不可に注意
動的グローバルIPでもダイナミックVPNを使えばスターじゃなくメッシュ型にできる
IPsecでの優先制御を使うときにはリプレイ攻撃ご遮断に注意
管理LANで業務に影響をださないためにホストルートに注意
双方向NATやるときは代理応答(proxy-arpを忘れないように)注意
モバイルIP
モバイル端末が異なるサブネットに移動しても固定IPアドレスそのままで通信できるようにする技術。
気付アドレス
移動したサブネットにおける仮のIPアドレスのこと
ホームアドレス
モバイル端末がもつ最初の固定IPアドレスのこと
☆APN(Acess Point Name
LTE回線からインターネットのようなネットワークへのゲートウェイの指定を意味する。
マルチキャスト
マルチキャストMACアドレスがL2SWに学習されない理由
マルチキャストMACアドレスは送信元アドレスになることがないから
IGMPの適用範囲
マルチキャストパケットを送信する側は有効にしなくてよいから
種類
224.0.0.0~224.0.0.255
リンクローカル
TTLが1で送信される。ルータで転送されない
224.0.1.0~238.255.255.255
グローバルスコープ
企業gが組織間やインターネットで使用する。
239.0.0.0~239.255.255.255
企業が組織内で使うアドレス
マルチキャストを有効にする方法
送信元と同一セグメント
設定いらない。同一セグメントはブロードキャストと同じ処理になる。
送信元と別セグメント
ルータでマルチキャストを有効
端末では送信元からのマルチキャストを受信したいことをルータに告げる(IGMPを利用)
ルータが複数ある場合には、ルータ間でのマルチキャストのやりとりを行う。(PIMを利用)
L3SWの場合、vlan単位でip pim dense-mode
L2SWは全体でigmp-snooping Vlan単位でigmp-snooping enable
マルチキャストプロトコル
PIM
dense(密なモード】
密な環境=企業LAN内で使う
企業内LANは地域が広いのですべてのるーたにマルチキャストパケットを送る。そのあと、不要なるーたからはプルーニング(prune=余分なものを除く)メッセージを受け取り、そのるーたを除外する。
sparse(希薄)モード
インターネットの世界やWANで使う。
帯域が狭いので、全ルータに送らない。ランデブポイントを設置し、そこまで送信する。
PULL型(受信側が要求する形式)
同一セグメント内に複数のルータがある場合はどのルータに送る?
同じIPアドレスが大きいほうが代表ルータに選出
IGMPスヌーピング
スイッチ配下でブロードキャストされてしまい、不参加の端末にもパケットが流れる。
この機能をつかうと該当のグループのみにパケットを転送するので、無駄なトラフィックがんがれない。
IPv6
ヘッダ帳
☆40バイト
v4は20バイト*
☆拡張ヘッダがある。 :
リンクローカルマルチキャストアドレスの範囲は「FF00::/8」。
ループバックアドレス
127.0.0.1~127.255.255.254
VRRP
マスタールータとバックアップルータ
IPヘッダ
チェックサムフィールド
IPヘッダではヘッダ部分のみのチェックサムを計算する。
SDN
応用情報午前1
サービスの運用
バーチャルサービスデスク
実際には分散しているが連携することで擬似的に一つの組織として機能を提供するサービスデスク。フォロー・ザ・サン
フォロー・ザ・サン
2つ以上の異なる(大陸の)拠点に配置され、中央での統括管理によって24時間365日のサービスを提供するサービスデスク。
マルチメディア
ワイヤフレーム表現
3次元形状をすべて線で表現することである。
アンチエイリアシング
ディジタル画像の物体の輪郭に現れるピクセルのギザギザ(ジャギー)を、なめらかに見せるために周囲(背景)の画素値と平均化処理をして描画する手法です。
ASCIIコードの衝突
ASCIIコード上のアルファベットを順番に並べたときの2つの文字の距離が、10の倍数になっているものが衝突が起こるキーの組合せです。
有機ELディスプレイ
電圧をかけて発光素子を発光させて表示する
液晶ディスプレイ
透過する光の量を制御することで表示する。
H.264/AVC
ワンセグ放送などの低速・低画質のものからディジタルハイビジョンTVクラスの高ビットレート用途に至るまで、幅広く利用されることを想定した動画の圧縮符号化に関する規格です。
レンダリング
仮想世界の情報をディスプレイに描画可能な形式の画像に変換する処理
ディザリング
表示装置には色彩や濃淡などの表示能力に限界がある。一つ一つの画素では表現可能な色数が少ない環境でも,幾つかの画素を使って見掛け上表示できる色数を増やし,滑らかで豊かな階調を表現する手法
ヒューマンインターフェース
インタビュー法
使用性を“ある製品が,指定された利用者によって,指定された利用の状況下で,指定された目的を達成するために用いられる際の,有効さ,効率及び利用者の満足度の度合い”と定義している。この定義中の“利用者の満足度”を評価するときに用いる方法
セキュリティ
TPM(Trusted Platform Module)
PCのマザーボード上に直付けされるセキュリティチップで、RSA暗号の暗号/復号や鍵ペアの生成、ハッシュ値の計算、デジタル署名の生成・検証などの機能を有します。
ポリモーフィック型マルウェア
パターンマッチングによる検出を免れるため、感染のたびに異なる暗号化/復号ルーチンで暗号化を行って、自身のプログラムコードを都度変化させる機能を有するマルウェアです。ミューテーション型ともいいます。
ドライブバイダウンロード攻撃
利用者がWebサイトを閲覧したとき,利用者に気付かれないように,利用者のPCに不正プログラムを転送させる
虹彩認証
成人には虹(こう)彩の経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である
ストラテジー
BTO(Build To Order)
顧客の注文を受けてから製品を製造するいわゆる受注生産方式です。
IT投資ポートフォリオ
ポートフォリオ分析の考え方を情報化投資戦略に応用したもので、IT投資をその目的やリスクの特性ごとにカテゴライズし、そのカテゴリごとに投資割合を管理することで限りある経営資源を有効に配分することを目的とします。
デルファイ法
技術開発戦略の立案に必要となる将来の技術動向の予測などに用いられる技法であり、複数の専門家からの意見収集、得られた意見の統計的集約、集約された意見のフィードバックを繰り返して最終的な意見として収束させていくものです。
クロスセクション法
特定の事象に対する影響因子の相互関係を分析する手法です。
クラスタ分析法
クラスタ分析法とは、複数の変数(項目、属性、次元数)を持つデータ(多変量データ)を利用し、その変数間の相互の関係性をとらえるために使われる多変量解析
指数平滑法
指数平滑法は、過去の予測値と実績値を利用して需要値を予測する方法
モンテカルロ法
モンテカルロ法は、数値解析の分野において、確率を近似的に求めるために使われる手法です。n回のシミュレーションを行い、ある事象がm回起これば、その事象の起こる確率は m/nで近似できます。試行回数nが大きくなるほど、よい近似値
SFA(Sales Force Automation)
営業活動にモバイル技術やインターネット技術といったITを活用して、営業の質と効率を高め売上や利益の増加につなげようとする仕組み
内部統制
売掛金回収条件の設定は,営業部門でなく,審査部門が行っている。→正しい。
ISO,IEC,ITUなどの国際標準に適合した製品
WTO政府調達協定の加盟国では,政府調達は国際標準の仕様に従って行われる。
営業秘密
秘密として管理されていること
事業活動に有用な技術上又は営業上の情報であること
公然と知られていないこと
SCM
複数の企業や組織にまたがる調達から販売までの業務プロセス全ての情報を統合的に管理することによって,コスト低減や納期短縮などを目的とする。
定量発注方式
経済的発注量とは、定量発注方式において発注費用と在庫費用の総額を最小化できる1回当たりの発注量のことです。定量発注方式では、発注量にあらかじめ算出した経済的発注量を用いると効果的
法務
特定個人情報に関する安全管理措置を,組織的安全管理措置,人的安全管理措置,物理的安全管理措置及び技術的安全管理措置に分けて例示している。組織的安全管理措置に該当するものはどれか。
組織的安全管理措置に該当します。
システム構成
クラスタリング方式
特徴
OS,アプリケーション及びハードウェアの障害に対応し,障害時に障害が発生していないサーバに自動的に処理を引き継ぐので,切替え時間の短い安定した運用が求められる場合に有効である。
フェールセーフ
故障すると赤の状態で停止する信号機
フェールソフト
飛行機は縮退運転
フォールトトレラント
冗長構成によって耐障害性を高める
スタックスイッチ
フォールトアボイダンス
故障が発生したときに対処するのではなく,品質管理などを通じてシステム構成要素を信頼性を高めること
プロジェクトマネジメント
定量的リスク分析
特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する
PMBOK
タイムマネジメント
WBS
作業を階層的に要素分解してワークパッケージを定義する
アクティビティ定義
プロジェクトの成果物を生成するために実施すべき具体的な作業を特定する。
トレンドチャート
作業の進捗状況と予算の消費状況を関連付けて折れ線で示したもの
パラメトリック見積り(係数見積り)
関連する過去のデータとその他の変数との統計的関係を用いて,プロジェクトにおける作業のコストを見積もる。
COCOMO
ソフトウェア開発費用を見積もる手法のひとつで、開発に必要とする段階の数、各工程の難易度、あるいはチームの開発能力などを補正係数として掛け合わせて、工程数や人員を見積もる手法のことである
ハードウェア
OS
メモリコンパクション(またはデフラグ)
メモリ上で実行中のプログラムを一時停止して、各区画のプログラムを移動して隙間なく再配置することで、広大な空き領域を作り出すことができます
ガーベジコレクション
プログラム自体をメモリ上から解放してしまいます。
ライトスルー
キャッシュメモリと主記憶の両方に同時に書き込みます。
ライトバック
CPUが書込み動作をする時,キャッシュメモリだけにデータを書き込む
プロセッサ
CISC
Complex Instruction Set Computerの略。複雑で多機能な命令セットでコンピュータを構成する設計方法です。
MIMD
Multiple Instruction, Multiple Dataの略。複数の命令とそれに対応するデータを、それぞれが独立している複数のプロセッサに振り分けて並列処理をする方式です。
RISC
Reduced Instruction Set Computerの略。CPUに与える命令を短く固定長化し、専用の論理回路で高速に実行できるようにした命令セットでコンピュータを構成する設計方法です。
VLIW
プロセッサの高速化技法の一つとして,同時に実行可能な複数の動作を,コンパイルの段階でまとめて一つの複合命令とし,高速化を図る方式はどれか。
LRU(Least Recently Used)
最後に参照された時刻"が、最も昔であるものを置換え対象
エッジコンピューティング
演算処理のリソースを端末の近傍に置くことによって,アプリケーション処理の低遅延化や通信トラフィックの最適化を行う
グリッドコンピューティング
ネットワークを介して複数のコンピュータを結ぶことによって,全体として処理能力が高いコンピュータシステムを作る
メモリインタリーブ
主記憶を複数の独立したグループに分けて,各グループに交互にアクセスすることによって,主記憶へのアクセスの高速化を図る
インターリーブ【interleaving】とは、データ入出力や通信において連続的に信号やデータを扱う際、時間や空間などの何らかの物理的な広がりに対してわざと不連続にデータを配置する手法
ストアドプロシージャ
アプリケーションプログラムからネットワークを介してDBMSにアクセスする場合,両者間の通信量を減少させる。
データベースに対する一連の処理をまとめた手続きにして、データベース管理システムに保存したものです
楕円曲線暗号
公開鍵暗号方式であり,TLSにも利用されている
DRAM
コンデンサ
NAND型フラッシュメモリ
ページ単位で書込み及び読出しを行う。
RFID
ID情報を埋め込んだRFタグ(ICタグ)から電磁界や電波を用いて情報のやり取りを行うための技術です
パッシブタグ(受動タグ)
電池を内蔵せず、リーダ/ライタが発信する電波をエネルギー源として利用して駆動するタグ。リーダ/ライタの電波の一部を反射するときにID情報をのせて返すことで自身の電力で電波を発信しなくとも情報をやり取りすることができる。
アクティブタグ(能動タグ)
電池を内蔵し、自らの電力で電波を発信するタグ。交信範囲は数十メートルから数百メートルと広いがパッシブタグと比較すると価格が高い
セマフォ(semaphore)
直訳すれば信号機の意味で、並行動作している複数のタスク間で共通して使用する資源へのアクセスを制御するメカニズム
相変化(そうへんか)メモリ(PCM:Phase Change Memory又はPRAM)
結晶状態と非結晶状態の違いを利用して情報を記憶する不揮発性メモリ
ソフトウェア
製品の品質を評価する基準
信頼性の副特性である「回復性」
中断時又は故障時に,製品又はシステムが直接的に影響を受けたデータを回復し,システムを希望する状態に復元することができる度合い
互換性の副特性 相互運用性
二つ以上のシステム,製品又は構成要素が情報を交換し,既に交換された情報を使用することができる度合い
SOA(Service Oriented Architecture)
ビジネスプロセスの構成要素とそれを支援するIT基盤を,ソフトウェア部品であるサービスとして提供するシステムアーキテクチャのこと
共通フレーム
プロジェクトの特性や開発モデルに合わせて,アクティビティやタスクを取捨選択して適用する。
データベース
三層スキーマ
外部スキーマ
概念スキーマで定義された論理データから必要なデータを取り出したもの。(ビューなどに相当)外部スキーマは,データの利用者からの見方を表現する。
概念スキーマ
DB上の論理データ。DBに保持するデータの要素およびデータ同士の関係を定義する。(テーブルに相当)開発者から見たデータベース
内部スキーマ
「DBMSから見たデータベース」です。コンピュータ上で動く以上、データベースのデータもその実体は「ファイル」となります。そのファイルをディスク上にどのように格納するかを定義します。内部スキーマの設計を「物理設計」と呼びます
データディクショナリ(DD)は
概念スキーマ、外部スキーマ、内部スキーマとそれらの変換定義情報
表、ビュー、インデックス、その他オブジェクトの定義情報
参照制約、検査制約の定義情報
ユーザ情報
アクセス権と機密保護に関する情報
B+木インデックスは
範囲検索であれば、B+木インデックスの効果が期待できます。
リエントラント(Reentrant,再入可能)
各プロセスごとに変数部分を割り当てることで、複数のプロセスで同時に実行できる性質。
リロケータブル(Relocation,再配置可能)
プログラムを主記憶上のどの位置においても処理が可能な性質。
仮引数Xは値呼出しなので、メインプログラム中の変数Xとサブルーチン中の変数Xは別物として扱われます。このため、変数Xの値はサブルーチン呼出し前の値である「2」、一方、仮引数Yは参照呼出しなのでサブルーチン内で値を変更された「6」になります。したがって正しい組合せは X=2,Y=6
幅優先探索
の木構造で配列の先頭から順に調べていくと、根から近い順に調べていくことになるため「幅優先探索」が適切です。「深さ優先探索」は、根からできるだけ分岐せずに最も深い葉の部分にまで到達してから、ひとつ前の節まで戻り他方の探索を行う方法
テストカバレージ分析ツール
プログラムの実行された部分の割合を測定するのに使うものはどれか。
コンパイラ
定数が格納される変数を追跡し,途中で値が変更されないことが確認できれば,その変数を定数で置き換える
ソート
マージソート
整列対象を大きさ1の部分文字列に分割した後、隣り合う要素ごとに整列と併合を繰り返しながら整列を行う手法
クイックソート
n個のデータをある基準値以下の値のグループと基準値以上の値のグループに分割し、さらにそれぞれのグループで基準値を選んで二つのグループに分割するという処理を繰り返してデータを整列
シェルソート
ある間隔おきに取り出した要素から成る部分列をそれぞれ整列し、更に間隔を詰めて同様の操作を行い、間隔が1になるまでこれを繰り返す整列
オーバーロード
オーバーロードは、あるクラス内で引数や型が異なる同じ名前のメソッドを定義することです。
オーバーライド
スーパークラスで定義されたメソッドをサブクラスで再定義することです。
請負の場合は発注先に帰属し,派遣の場合は派遣先に帰属する。
企業が請負で受託して開発したか,又は派遣契約によって派遣された社員が開発したプログラムの著作権の帰属に関し契約に定めがないとき
ビジネスインダストリ
セル生産方式の
部品の組立てから完成検査まで,ほとんどの工程を1人又は数人で作業する。
技術経営
死の谷
先進的な製品開発に成功しても,事業化するためには更なる困難が立ちはだかっている。
魔の川
基礎研究から実用化・製品化にむけた応用研究の間に存在する障壁
ダーウィンの海
製品が市場に浸透していく過程において,実用性を重んじる顧客が受け入れず,より大きな市場を形成できない
二棚法(2ビン法)
在庫を2つのまとまりA,Bに区切っておいて、Aの在庫を使い終わった時点でBを使い始め、その間にAを補充するということをA→B→Aと交互に行う方式。
管理が簡便でコストが低くおさえられるため単価が安い品目や、ABC分析の結果でCランクとされた品目を対象とすることが多い
EDI(Electronic Data Interchange)
電子データ交換と訳され、異なる組織間で取引のためのメッセージを通信回線を介して標準的な規約を用いて、コンピュータ(端末を含む)間で交換する仕組みのことです。
リサイクル法に基づく規制に準拠した使用済PCの回収
家庭から廃棄される際に,PCリサイクルマーク付きのPCは,メーカや輸入販売業者の責任で回収・再資源化する。
ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項
経営破綻などによってソフトウェア資産のメンテナンスが受けられなくなることを防ぐために確認すべき契約項目
監査
予備調査
監査対象に対する被監査部門の管理者及び担当者のリスクの認識について,アンケート調査によって情報を収集する
セキュリティ
コンペア法
ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。
パターンマッチング
「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する手法。
チェックサム法/インテグリティチェック法
検査対象に対して別途ウイルスではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法。
ヒューリスティック法
ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法。
ファイアウォール
ICMPエコー応答が過大なものを送りつける攻撃
正常な応答パケットはテストもくてきなので、32ばいと
ipパケットは最大65535になれるので、ほすとか途中のルーターで断片化されMF(more flagment)が1になってたり、フラグメントオフセットフィールドが0いがいになっているので、これを許可しない
dns
キャッシュサーバーとコンテンツサーバーをわける理由2つの
Dnsリフレクタ攻撃を防ぐため
CVE(Common Vulnerabilities and Exposures;
個別製品中の脆弱性を識別するために、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子
JVN(Japan Vulnerability Notes)
レイヤー2
用語
プリアンブル
1010101が続く。
SFD(start flame deliminator)で
宛先MACアドレスが始まることを認識させる。
ブリッジ
コリジョンドメインは分割
ブロードキャストドメインは分割しない
スイッチブレードを使うときにはSTPに注意
①ループをなくす②VLAN単位のSTPをつかう。③MSTPを使う
VLAN ID
12ビットの4096
PPP
認証
PAPかCHAP
認証に成功したら
IPCP
クライアントが使うIPアドレスを配布
イーサネットファブリック
従来のイーサネットの仕組みを改善した次世代イーサネットと考えればいい。DCなどの大規模ネットワークを作るのに、従来のSTPによるイーサネットでは限界になってきたから
PFC(Priority Flow Control)
フレームの種類によって優先度を付与し,重要なフレーム(特にFC)を優先する。
具体的には、優先度別にバッファを用意し,受信バッファが枯渇したときには優先度別に送信を抑止するためのPAUSEフレームを送出する。
従来のLAN(イーサネット)と、信頼性が求められるFCとの両方が流れる。これらのフレームを同じ優先度で扱ってしまうと,イーサネットのトラフィック増に伴い,重要度の高いFCのフレームのロスや遅延が発生する
CN(Congestion Notification)密集,(人口の)過剰
輻輳を検知して、送信元に通知する仕組み。トラフィックの送信元に通知するというのがポイントで、これまでのイーサネットは、隣接するノードにしか通知できなかった
ETS(Enhanced Transmission Selection)
グループを分けて、グループごとに帯域保証する。いわゆるQoS。
MACフレーム
SFD(Start Frame Delimiter)は
SFDの直後からMACフレームが続くことを示す区切りである。
開発プロセス
CMMI(Capability Maturity Model Integration)
レベル1:初期
場当たり的で無秩序な組織として最も低い状態。
レベル2:管理された
プロジェクト管理のための基本的なプロセスが備わっている状態。
レベル3:定義された
組織内に標準化された一貫性のあるプロセスが定義されている状態。
レベル4:定量的に管理された
定量的な品質目標が存在し、プロセスはデータに基づき予測可能である状態。
レベル5:最適化している
継続的な改善プロセスが常に機能している状態。
リバースエンジニアリング
既存ソフトウェアの動作を解析するなどして、製品の構造を分析し、そこから製造方法や動作原理、設計図、ソースコードなどを調査する技法です
フォワードエンジニアリング
開発支援ツールなどを用いて,設計情報からソースコードを自動生成する。
リファクタリング
外部から見たときの振る舞いを変えずに,ソフトウェアの内部構造を変える
リエンジニアリング
既存のソフトウェアを分析し理解した上で,ソフトウェア全体を新しく構築し直す
XP(eXtreme Programming)
XPでは幾つかのプラクティス(実施項目)を定義していますが、その内の1つが「ペアプログラミング」です。これは二人一組で実装を行い、一人が実際のコードをコンピュータに打ち込み、もう一人はそれをチェックしながら補佐するという役割を随時交代しながら作業を進めるという手法です。
ペアプログラミングを行うことで、細々した問題解決に要する時間が短くなる、常にコードレビューを行うことができる、集中力が持続する、コードの詳細を理解したメンバーが常に2人以上いることで後々のコード共有に役立つ、などの多彩な効果が得られるとされています。
ブラックボックステスト
システムへの入力とそれに対して得られる出力だけに着目して、様々な入力に対して仕様書どおりの出力が得られるかどうかを検証していくテストで、「同値分割」「限界値分析」「原因-結果グラフ」「エラー推測」などの手法があります。
システムの内部構造が明らかでない状態で検証を行うことからブラックボックステストと呼ばれています。
音声
MOS値
Mean Opinion Scoreの略。ユーザが体感する品質を評価した指標値で、多数の評価者の主観的な5段階評価を平均することによって決定されます。
R値
観品質評価と客観品質評価の要素を交え、総合的に音声品質を評価した指標です。
この指標は総合伝送品質評価をするための手法である ITU-T勧告G.107で規定されたE-Modelの出力として得られ、ノイズ感,音量感,エコーや遅延,歪みや途切れ感といった音声品質を左右する要因に、利便性など満足感を与える要素を加えて定量的に算出
ジッタ
パケット伝送時間の不安定さが原因で生じる到着順の乱れや、それに伴い発生する音声や映像の乱れのことです
音声の符号化(A/D変換)
アナログ信号をディジタル信号に変換すること
流れ
①標本化
アナログ信号において、値をとること。
②量子化
データの値を決めること
3.89333を3.9にするみたいな
③符号化
量子化によって決めた値をデジタルデータにする。
PCM(Pulse Code Modulation)
アッシュ串内。標本化の周波数8kHz×8bit
ADPCM
CS-ACELP
IP-PBXのメリット
二重配線が不要
電話とLANが同じ配線なので、共通化できる。電話線はPBXから1本ずつ直接接続する必要あるが、IP化するとHUBに繋げば良い。
通信コストの削減
拠点間をIPで雪像されているのであれば、その上に音声を乗せるので無料に9なる。
アプリケーション連携
ブラウザで設定変更や保守をしたり、ユニファイドメッセージ、プレゼンスなどの機能連携が期待できる。
PBXは拠点ごとに必要であれば、IP化すれば拠点にはルータで良い。拠点からの通話は拠点ルータを経由して接続する。
B2BUA(Back to Back User Agent)
IP-PBXが外部のIP電話機と内部のIp電話機との呼を確立したあと、 IP-PBXはUA(User Agent)として動作し、外部の電話機と内部のIP電話機との音声通信を中継する。
VoiPには音声と呼制御の2つのデータ
音声
RTP
TCPはUDPに比べて遅いので、リアルタイム性が必要な音声はUDPで行う。順番制御はタイムスタンプ情報を使う。
シーケンス番号とタイムスタンプを付与
劣化要因
RTPパケットを作成するために必要となる処理による音声遅延
ネットワークの負荷変動やパケット化のための処理時間の変動によるジッタ。
.転送中におけるパケットロス
呼制御
通話開始と切断
SIPは☆テキストデータで送受信する。
アドレス解決が完了し、通話が開始された状態では音声ストリームの経路はSIPサーバを経由しないので、電話端末とSIPサーバ間は広い帯域を必要としない
SIPは単に通話機能を実現するだけでなく、テレビ電話やパソコン画面共有の機能を実現するセションと組み合わせられる。
それは、通信相手とのセション確率時にINVITEリクエストの記述で、セション使用したいプロトコルを通知しているから
SIPメッセージ
リクエスト行
クライアントからサーバへ要求を行う。
INVITE SIP:
abc@xyz.co.jp
SIP/2.0
ステータス行
リクエストに対する応答
☆SIP/2.0 200 OK
メッセージボディ
SDP(Session Description Protocol)によって記述される
SIPサーバー
4つの機能に分類
プロキシサーバ
端末からのリクエストを次のSIPサーバあるいは端末に転送する。発信者と着信社間においてSIPリクエストを中継する。てんそうするためにはロケーションサービスを使用する。
ロケーションサービス
URIとIPアドレスを対応づけるデータベースのこと
リダイレクトサー
中継することなく、他のSIPサーバや端末にSIPメッセージの転送先を教える。リダイレクトメッセージを受けたSIPクライアントは通常、通知を受けたSIP URIに対して直接INVITEリクエストを送信する。
レジストラサーバ
端末からロケーションサービス(REGISTERリクエストを受付、ロケーションサービスにその内容を登録する。
コールステートフルプロキシ
セッションの確立から、開放までの時間を管理したり、電話端末がどのようなステータスにあるかなどを管理するSIPプロキシのこと
SIPによって呼が確立されると音声パケットは発信端末と着信端末との間で直接やりとりされるようになるので、そういったSIPサーバはステートレスプロキシという
セキュリティ
SRTP(Secure Real-time Transport Protocol)
RTPの暗号化を行う。しかし、鍵交換などの手順を規定していないので、DTLSを利用
DNS
ゾーン転送
ゾーン情報をコピーすること
やり方は2つ
セカンダリが更新間隔ごとにプライマリのシリアル番号を確認。②シリアル番号が更新されていると変更されていることになるので、プライマリサーバのゾーン情報をコピーする。
プライマリがNOTIFYメッセージを送信する。
国際化ドメイン名
DNSの問い合わせメッセージはASCIIコードで記述される。しかしASCIIコード以外の文字を用いたドメイン名全般のことを言う
ほげ.example.com」のような、アルファベット以外が含まれるドメイン名のこと
STRINGPREP
Unicodeで問い合わせがきたら、同一の文字が複数の文字コードを持っていたり、特定の文字の組み合わせが異なる順序でも同じ表示になるので、正規化する必要がある。その規則のこと
NAMEPREP
国際化ドメイン名にSTRINGPREPを適用するための規定
Punycode
正規化された名前をASCII文字に変換する。そのためのアルゴリズム
EDNSO
(Extension Mechanismus for DNS)
従来のDNSを機能拡張できるようにする目的で標準化されたものがEDNS
DNSメッセージヘッダ: RCODEやフラグの拡張
DNSラベルタイプ: ラベル型の拡張
DNSメッセージのUDPペイロードサイズ: 最大512オクテットの制限を通信可能であれば65535オクテットまでに拡張
DNSsec
目的
改竄・偽装を防ぐ (完全性を実現する) 技術
キャッシュポイズニングを根本的に防ぐセキュリティ技術です。
フェーズ 1 では『www.example.com. の A レコード』とその A レコードに対する『RRSIG レコードを example.com. の公開鍵で復号したデータ』が一致することを検証します。
偽の回答を検出することが可能となるが、鍵管理の煩雑さなど運用上の課題が残されており、広く普及するまでには至っていない。
プロトコル
SDP(Session Description Protocol)
音声,映像などのメディアの種類,データ通信のためのプロトコル,使用するポート番号などを記述する
RTCP(Real Time Transport Control Protocol)
パケットの欠落数やパケット到着間隔のばらつきなどの統計値のやり取りに使用する
FTP
アクティブモードとパッシブモード
パッシブモード
PASVコマンド
サーバからIpアドレスとポート番号が通知される。
アクティブモード
制御コネクションにおいて、クライアントがサーバに対し、「PORTコマンド」を使う。
クライアントのIPアドレスとポート番号を通知する。
http
cokkie
Domain
省略されると、cokkieを発行したサーバーにしか送られない
指定するとサブドメインも含めてCookieを送信することができる
cookieを送信するドメインを指定する属性。
secure
Path
cookieを送信するURLディレクトリを指定する属性。
Expires
cookieの有効期限を指定できる属性。指定しない場合の期限はブラウザの終了時まで。
HttpOnly
この属性が設定されたcookieはJavaScriptからアクセスできなくなる。
☆set-cokkie
httpのレスポンスヘッダにあらたに加えるフィールド。
SSOサーバからブラウザに対するHTTP応答パケットにCokkieを入れ込む
入っている情報
セッションID
ドメイン属性
Secure属性
Cokkieが平文でネットワーク上に流れないようにするにはSSL/TLS化するひつようがある。SSL/TLSの場合だけCokkieを送信するように指定する属性がこれ
Expires属性
Cookieのexpires属性は、有効期限を設定する場所になります。expires属性の指定がない場合は、セッションの終了までとなり、指定をする場合は、UTCの日付文字列で指定します。
ブラウザがサーバにアクセスするとき
http リクエストの cokkieヘッダフィールドにもらったセッションidを入れる
Cokkieが使えなければ
URLリライティング
Webアプリケーションがブラウザに送るURLにパラメータとしてセッションIDを埋め込む方法
セキュリティ注意
非SSLの通信時にSIDが漏洩する恐れがある。
具体的な対策としてはSSL通信の際に、セッションIDを新たに生成する。
GWT
○○.php?mode=new&uid=34632847 というようにURLの後ろに「項目=値」という形式でテキストデータを付加して送信する方式。
サーバに送れるデータはテキスト形式のみで文字数に制限がある。URLの一部としてデータ値が含まれるので、ユーザIDやセッションIDなどを付加した場合はURLから機密情報が漏れてしまう危険性がある。
GETの実装は必須であるが,POSTはオプションであるHTTP/1.1アプリケーションでは、GETメソッドとHEADメソッドのサポートが必須となっていますが、POSTメソッドはオプションとされています。
HSTS(HTTP Strict Transport Security)
WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
Strict-Transport-Security のレスポンスヘッダーを返す)
Content-Security-Policy
Webサイトで外部読み込みを許可するリソースの種類とドメインを指定するHTTPヘッダです。意図しないドメインからスクリプト等が読み込まれることを防止できるため、XSSやクリックジャッキング攻撃の影響を軽減
X-Content-Type-Options
Webブラウザは本来、サーバから送られてきたHTTPレスポンスに記述されている「Content-Type」に基づいて、HTTPレスポンスをどのように処理するのかを決定します。 例えば「Content-Type:text/plain」であれば、Webブラウザはこれをテキストとして扱い、レスポンスの中にスクリプト記述があってもスクリプトとしては実行しません。しかしWebブラウザの中には、HTTPレスポンス全体を検査(sniffing)してコンテンツ タイプを判断し、「Content-Type」を無視した動作を行うものも存在します。このような実装はWebアプリケーション開発者の意図しない動作を引き起こし、セキュリティ上の問題につながると指摘されてきました。このsniffingを防止するのが「X-Content-Type-Options」です。
プロキシ
httpsの場合
Connectメソッド
フロー
複合機能をもつプロキシ
まず、TLSによる暗号化処理が行われます。その後、暗号化された通信の中で、GETやPOST通信が行われます
つまりプロキシサーバがSSLを終端してしまうと、利用者にはプロキシサーバの証明書しか見ることができない。その先で中間者攻撃が行われいるかどうかの判断ができない
悪用
中間車攻撃
1 more item...
WebメールをプロキシのConnectメソッドで遅れちゃう※CONNECTメソッドはあくまでもHTTPのメソッドの一つなので、プロトコルはHTTPです。その後、SMTPに変わります。
1 more item...
複合機能をもたないプロキシ
Webメールで利用するHTTPSでは、PCは[ オ CONNECT]メソッドを利用してプロキシサーバへ接続先を指定し、SSLセッションをASPサーバとの間で確立する」と述べられている
目的
HTTPS通信であることをproxcyサーバに通知するため。
PCがプロキシサーバーに対し、HTTPSのセッション中継せずに透過させるように依頼するため
GET メソッドと異なり、CONNECT メソッドは取得するファイルまではありませんので、ログも FQDN のみしか残せません。つまり、http の場合はファイル名までログに残せますが、https の場合はどのファイルへアクセスしたかはログに残せず、どのホストへアクセスしたかのみをログに残します。
ゲットできる内容
接続先ホスト名
宛先ポート番号
「HTTP/1.1 200 Connection Established」の http メッセージを返し、その後はこの送信元 IP :送信元ポート番号の組み合わせの通信については、TLS や https 通信の中身には一切触れず、IP ヘッダと TCP ヘッダを変更して Web サーバへ転送するのみ
ログ
https 通信においては、本来アクセスログとして取得すべき領域である GET メソッドは、TLS で暗号化されているため見ることができません。そのため、CONNECT メソッドを見ます。
傍受の方法
①https 通信したいサーバの秘密鍵をプロキシサーバに持たせることです
google.com 等のインターネット上のサーバで秘密鍵をもらうことは現実的に不可能です(秘密鍵が取得できる=そのサーバの暗号化機能は簡単に取り外し、傍受できる)
②プロキシサーバに動的にサーバ証明書 (例えばexample.com にアクセスする場合はコモンネーム= www.example.com) を生成・保持し、https 通信が来た場合はそのサーバ証明書をクライアントに提示する
透過型プロキシ
仕組みとしては、インターネットへの通信経路上に透過プロキシの設定をしたプロキシサーバを配置する
なお、この透過型プロキシは、通信ジャックと同じことですので、https 通信についても透過型プロキシ経由にしようとすると、ブラウザに SSL/TLS の警告が表示されてしまいます。
プロキシサーバにて動的に各サーバへの証明書を作成 (例えばクライアントが www.yahoo.co.jp へアクセスする際には CN=www.yahoo.co.jp の証明書をその場で作成しクライアントへ提示) する①
クライアント側にはそのプロキシサーバのCAの自己証明書のインストール (信頼設定)
画面の大きさやブラウザの種類など様々な仕様がある場合の改修内容
モバイル端末の種類に応じて、対応したページコンテンツを表示する。
HTTPのヘッダ部ではUser-Agentを参照する。
httpの場合
普通の通信との違い
80 番も使うことができますが、8080 や 3128 といったポートを使うことが多いです。
GET
http://www.example.com/news/index.html
HTTP/1.1
普通はGET /news/index.html HTTP/1.1
リダイレクト
HTTPレスポンス 302 Foundのステータスコードが帰ってくる。
Locationヘッダで指定されたURIにアクセスしなおす。
HTTPのメソッド
Postについて
パラメタをメッセージボディにセットしサーバに渡す方式。
テキスト形式だけでなくバイナリ形式のデータにも対応しているため、掲示板への書込み要求やファイル・画像のアップロードなどのデータ量が多い送信に使用される。
GETとできることは同じだが、
違い
送信方法
GETはURLに引数を記載する。
例:
http://xxx.seeeko.com/index.asp?id=aaa**text**
POSTはURLに引数を記載せずにHTTPのデータの中に記載する。なのでURLは次になる。
例:
http://xxx.seeeko.com/index.asp
キャッシュされるか
GETの応答はキャッシュされる
POSTの応答はキャッシュされない
HTMLとXML
XML
HTMLの機能に加えて、独自にタグを定義することができる機能を備え、主にインターネットを介したデータ校間に利用されれている。
取引データをそのまま起票したり、社内文書に変換したりすることが容易にできる。
XMLではネットワークを介した情報システム間のデータ交換を用意にするために、任意のタグをていぎすることができる。
HTMLでは要素によっては終了タグを省略できるが、XMLでは開始タグと終了タグで同じ内容を囲むか、空要素の形式で記述する必要がある。
httpレスポンスメッセージ
200 OK
101 switchng protocols
httpからweb socketにきりかえてもらう
404 not found
http1.1
persistent connection(持続的接続):
HTTPリクエストに対するレスポンスが行われても、TCPコネクションを開放しないでそのまま維持すること。
HTTP1.1のパイプライン化
一つのTCPコネクションを使って、HTTPリクエストに対するWebサーバからのレスポンスを待たずに、複数のリクエストに送信できること。
ポート番
995
pop over ssl
110
pop
TCP
☆ポート番号に割り当てられているビットは16ビット
シーケンス番号
一つ前の確認応答番号
確認応答番号
1つシーケンス番号前のと受信データ番号
UDPもTCPもれぞれのパケットに伝送誤りがないことを保証するために、チェックサムフィールドを持っている。
WAN
WAN高速化スイッチ
①
機能
(対向機器の)代理応答
キャッシュの蓄積
WASのメモリやハードディスクにデータを一時保存することで二回目以降のアクセス時の遅延を削減する。
データ圧縮
サーバーとクライアント間のやりとりであるACK(確認応答)を対向機器に変わってWASが代行する。
障害時
インラインおいたときの障害
①自動的にケーブル接続と同じ状態になる機能
対向側の故障を検知し、通信を継続する機能
IP-VPN
高速な処理が可能
ロンゲストマッチによる処理が不要
IPアドレスは膨大な量があるが、ラベルは必要な数だけ設定する。
FEC(Forwarding Equivalence Class)
MPLS網内で同じ宛先のパケットや同じ扱いをさせるパケットの集まり
ひとつひとつのルーティング処理をするのではなく、FECで転送先をまとめることで、シンプルな転送処理が可能
WANカプセル化プロトコル
HDLC
ネットワーク層を識別するフィールドがないため複数のプロトコルを扱えないことからメーカ
の多くが独自方式をHDLCに実装し、ネットワーク層で複数のプロトコルを使用できるようにしています。
フラグシーケンス
フレームの開始と終了を示す。
PPP
ベースバンド方式とブロードバンド方式
ベースバンド方式
家庭用でよく使われているイーサネットネットワークは、ベースバンドになります。
端末からのデータ信号をディジタル信号のまま、つまり変調をしないで伝送する方式。
ブロードバンド伝送
搬送波の変調及び復調によってデータ伝送を行う方式。
電話回線を使用してインターネットにアクセスする場合は、
ストレージ
NAS
ファイル単位でもボリューム単位でもバックアップ取得かのう
異なるファイル共有プロトコルでも同じファイルにアクセスできる
SAN
DAS
シリアルATAなどの接続方式によって内蔵ストレージと1対1
レイヤー4~7
FWの設定ミス注意
ftpの制御ポート21番、データポート20番
auth/identからの着信113ポート
DNSローカルループバック
SSL、SSHなどの暗号化トンネルにループバックアドレスをファイアウォールで通す理由がよくわからない
SFTP
データコネクションをSSHトンネルに通すことができる。(パッシブモード)
ハーフオープン、ハーフコネクション
SYN/ACkパケットの返り(ACパケット】を待っているときの状態
ネットワーク・セキュリティ
IPsec
鍵交換
IKEフェーズ1(IKE SA)
フェーズ2で使用するIKE SA (別名ISAKMP SA)に必要なパラメータ(暗号化アルゴリズム、ハッシュアルゴリズム)の交換、生存期間、相手認証の方式、鍵交換アルゴリズムの折衝
IKEの実行モード
メインモード
IP接続先のIPアドレスも認証情報として利用する。双方とも固定IPアドレスでないと認証できない。IPアドレスは偽造が難しいので、セキュリティが強固
☆アグレッシブモード
動的IPでも認証ができる。
XAHThというIKEの拡張機能で認証を強化することがある。リモートアクセスユーザが不正ではないか判断するためにVPN装置がRadiusサーバとれんけいして 認証を行う。
IKEフェーズ2(ISAKMP SA)
IPsecで使用するセキュリティプロトコル、通信モード(トンネル化トランスポートかr)IPsecの生存期間
SAD( Security Association Database)
IKE SAで折衝した共通鍵や暗号かアルゴリズムなどの情報を登録するデータベース。
AH (Authentication Header)
認証ヘッダ。送信したIPパケットが改ざんされていないかどうかを検出するために使う。
SPI(Security Parameter Index)、シーケンス番号、認証データのフィールドから構成
SPI
IPsec機器の間には数多くのSAが発生することになりますが
あるIPsecのパケットがどのSAのものであるのかは、AHやESPパケットフィールドのSPIで識別する。
☆32ビット
ESP
AHとの違いはメッセージ認証の範囲に送信IPパケットのIPヘッダを含めない。ESPはIPペイロードだけ。
モード
トランスポート
素のIPヘッダのままルーティングする。途中のルータでアドレスを変えたとしても、TCPチェックサムで検査エラーとなる。
TCP/UDPヘッダ~ESPトレーラ
認証はESPヘッダからESPトレーラ
トンネルモード
暗号化はIPヘッダ(元のやつ)、Ipデータ部ESPトレーラ
認証はESpヘッダ,からESPトレーラまで
暗号化範囲と認証範囲の覚え方(あに、暗号化は短い、メッセージ認証は長居(しかもどちらのモードも同じ)
VPNパスするー
NAPT環境下においてESPを適用したあと、アドレス変換を行おうとしてもESPヘッダにはポート暗号のフィールドがないので、アドレス変換を行えない
IPヘッダのプロトコル番号が50であれば、送信元のIPアドレスをNAPT装置が持つグローバルIPに変換し、インターネット側にスルーさせる。
問題
複数のIPsecクライアントが同時にIpsec通信んを開始するとNAPT装置がどのクライアントのプライベートIpアドレスに変換したらよいか区別できない。
NATトラバーサル
ESPパケットにUDPヘッダを付与する。
セレクタ
『IPsec で保護して通信するか』、『そのまま通信するか』、『破棄するか』の Action を決定する単位
『1. ローカル NW アドレス』、『2. リモート NW アドレス』『3. プロトコル(TCP/UDP)』、『4. ローカルポート番号』、『5. リモートポート番号』のセット
これらのアクションのことをSP(セキュリティポリシーという)
認証対象
通信相手のIPsecルータの認証
転送データの完全性の認証(データが通信中に改ざんされていないこと)
SSL/TLS
バージョン
TLS1.0、1.1
☆MD5やSHA1が使われた板ため、セキュリティもんだいがあった。
TLS1.2
SHA-256が使われている。
☆Client Hello
server_nameというフィールドにServer Name Indicatioon extension(通称SNI)が設定
FQDNがセットされている。
クライアントのTLSのバージョン、クライアント乱数、クライアントでサポートしている暗号スイート(SSL/TLSで暗号技術の組み合わせが規定されている)のリストをサーバに送信する。
UDPを使うプロトコルの暗号かは
DTLS
プロトコル
ハンドシェイクプロトコル
TLSセッションIDで使用する暗号鍵(共通鍵)MACシークレット(共通鍵)使用する暗号化アルゴリズムを折衝する。
Client_HelloやServer_Hello
暗号スイート
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
鍵交換にDHE、署名はRSA、暗号化は鍵長128ビットのGCM、ハッシュ関数にSHA256
☆HELLOメッセージによって暗号化アルゴリズムを決定する。
CleientKetyExcyhange
鍵交換を開始する
RSAを使う方法
サーバーにプリマスタシークレットと呼ばれるでーたを サーバの公開鍵で暗号化して送信する。クライアントとサーバはプリマスターシークレットとsすでに交換している乱数を元にして、マスターシークレットを生成する。さらににマスターシクレーっとから暗号鍵やMAC鍵の他、CBC(Cipher Block Chaining)モードで使用するIVを生成する。
DHEを使う方法
DHEによって一時的に共通鍵をプリマスターシークレットとして使用する。
R
RSAと異なり、一時的なのでプリマスタシークレットが漏洩してもそのセッションのみ
PFS(Perfect Forward Secrecy)という
レコードプロトコル
TLSセッションが確立したあと、上位プロトコルのメッセージを暗号化したいるすためのプロトコル
方式
リバースプロキシ
URLのFQDNとしてSSL-VPN装置名を指定し、さらにそのパス名で内部サーバ名を指定していた。そのためユーザ独自のアプリケーションプロトコルなどは使用できない
ポートフォワード
クライアントパソコンにダウンロードしたVPNモジュールがTLSに対応していないアプリのデータをTLS処理にリダイレクトする。
VPNモジュールがhostsファイルの修正を行い、アプリケーションんの接続先アドレスをローカルホストにむける。それt同時に、SSL=VPN装置で設定されたアプリケーションのポート番号を持つデータを取得するように設定する。
25番はメールサーバ、80番はWWWサーバのようにポート番号とサーバが紐付いている。ので動的にポート番号がかっわるアプリはだめ
L2フォワード
データリンク層ので暗号かする。
クライアントがWebブラウザでSSL-VPN接続時に、ブラウザ経由で
SSL-VPN専用のクライアントソフトウェア(Any Connect VPN)を
自動的にダウンロードし、IPsec-VPNライクに完全なアクセスが可能
セッションIDはログインする前とログインした後では異なる。
理由はセッションハイジャックを防ぐため。セッション情報がわかるとそのセッションを使ってログインせずに買い物できてします。
ITU-T X.509で規定されている。
証明書
OCSP(Online Certificate Status Protocol)
OSCPクライアント(リクエスタ)がディジタル証明書のシリアル番号などを指定したOSCPリクエストを送信すると、OSCPサーバ(レスポンダ)は有効/失効/不明のいずれかをOSCPレスポンスとして返す。
CMP(Certificate Management Protocol)
ディジタル証明書の発行や管理を行うプロトコル。
FW
アクティブの仮想FWが保持しているセッション情報が装置感を直結するケーブルを使ってスタンバイの仮想FWに転送すること
☆ステートフルフェールオーバー
IDS
定義されたプロトコルの使用から逸脱したアクセスが有った場合に不正とみなす。
シグネチャ
アノマリ型
標準とはことなる通信を検知する。
NICの動作モード
宛先がどのようなMACアドレスであってものそのフレームを受信する動作
その他
冗長化
バックアップ回線は帯域に注意
バックアップ海鮮の監視ぱらは検知の閾値と切り戻しの閾値に注意
冗長切替したあとの危機交換時は自己診断時間に注意P67
複数NICを使っているとき
複数NICを使っているときは業務LANと管理LANからNTPパケットがでていないか注意
ActiveDirectoryをつかうときNICの優先度が正しいか注意
2つのNICに「この接続のアドレスをDNSに登録する」を選択しないように注意
経路障害テストで切り替えがうまくいかないときは、VLAN間ブリッジに注意。(キャプチャやテーブル確認で判明)
メール
From: 差出人名 <差出人のメールアドレス>
「差出人名」の位置には"情報太郎"をMIMEエンコードした"=?ISO-2011-JP?B?GyRCPnBKc0JATzobKEI=?="
「差出人のメールアドレス」の位置には"taro@example.jp
"が入る
EHLO
クライアントが、SMTPサーバにSMTPセッションの開始要求をするコマンドには"HELO"と"EHLO"があります。このうち応答として拡張機能の一覧を返すのはEHLOに対してのみです。HELOコマンドはEHLOをサポートしない古い機種との互換性のために存在します。
MAILコマンド
差出人のメールアドレスはMAILコマンドに指定します
迷惑メールの防止のために,メールクライアントからの電子メール送信とメールサーバ間での電子メール転送とで,異なるポート番号を利用できる
SMTPには送信と転送のどちらにも使える25/TCPと、送信専用のサブミッションポート(587/TCP)が規定されています。
SMTPのコマンド
HELLO
拡張SMTPを使っているときはEHLO
MAIL
RCPT
DATA
QUIT
SMTPフロー
①HELOOコマンドでサーバからOKが帰ってきてセッションスタート
②MAIL FROM:<メールアドレス>でエンベロープの差出人を指定、サーバからOkがかえって来る
③RCPT TO:<メールアドレス>でエンベロープの宛先を指定
④DATAコマンド、メールヘッダとメール本文(メッセージボディ)を入力
⑤QUITコマンドでSMTPセッションを終了する。
メールヘッダ
MIME
画像や音声、動画、コンピュータプログラムの実行ファイル、HTML文書、オフィスソフトの文書ファイルなど、テキスト(文字)以外のバイナリデータを含む様々な形式のデータを、非ASCII文字と同様にBASE64などでASCII文字の集合に変換してメールに含めることができる。
Return-Path
正常にメール受信が行えなかった場合などの返送先を示す。
Received
電子メールが転送される過程で、この電子メールを処理したメールサーバが順次追加されていくフィールド
RBL(Realtime Blackhole Lis)
オープンリレーの設定を行っているメールサーバー
つまりはウイルスやスパムを送信している可能性のあるメールサーバーの情報(IPアドレス)を集めたリストです
OP25B
自身が契約しているISPのメールサーバにメールを送信するのではなく、他のメールサーバに出ていこうとするメールを遮断するもの。
SMTPは認証がないから、スパマーがネカフェから、インターネット上にあるメールサーバにメール送るから。
問題が・・・
逆に、社員がホテルから自分が契約しているメールサーバにメール送れない。
サブミッションポート(587)でSMTP-AUThでユーザーを認証する。
POP before SMTPはだめ
一つのPCが認証するとIPアドレスが接続オッケーになってしまうので、一定時間の間は未認証のPCもメール遅れちゃうから。
送信ドメイン認証
SPF
iメールサーバの送信元IPアドレスとMAIL FROMコマンドに設定されたメールアドレスのドメイン名のDNSサーバにSPFレコードを問い合わせてエられるIPアドレス
DKIM
受信したメールの送信社のメールアドレスを確認し、その送信ドメインのDNSサーバに登録されている公開鍵を取得して、署名が正しいかどうかを検証する方式
SPFとDKIMで認証が失敗したときの、受信側のアクションは自由に決める。
DMARCレコード
メールをどのように取り扱うかを決定する。
MAIL FROMコマンド(いわゆるEnvelope From)に指定されるメールアドレスのドメイン部のSPFレコードをチェックします
SenderID
SenderIDはPRA(Purported Responsible Address)といって、メールヘッダーにある最終的に責任があるメールアドレスのドメイン部のSPFレコードをチェックします。
暗号化
PGP (Pretty Good Privacy)
公開鍵の持ち主の身元があらかじめわかっている範囲内でつかう。
S/MIME (Sercure MIME)
使うためには公開鍵証明書の正当性(①ルートCAまでの検証パス証明書の階層を使用して、証明書の発行者の有効性を検証します。 この階層は、 信頼の連鎖。 信頼の連鎖では、証明書は発行され、階層の上位にある証明書によって署名、こ貝鍵証明書のシリアル番号が失効リストに記載されていないこと、有効期限が切れていないこと)
S/MIMEを使うにはすべての利用者が公開鍵と秘密鍵のペアをつくって、S/MIME証明書を信頼できるCAから取らなくてはいけないが、現実的ではない。
OpenPGP と S/MIME はともに「メールを暗号化して内容を秘匿」しつつ、「署名により第三者の改竄を検知、本人の送信したことの否認を防止」する技術で
コマンド
SPFで、SPFの送信元ドメイン名をえる
☆MAIL FROM
エンベロープの送信者メールアドレスをしていするコマンドがMAILコマンド
無線
無線LAN音声ではAPの同時接続数に注意(右CACで回避)
利用可能なネットワーク帯域幅に基づいて、音声通話やビデオ通話のようなリアルタイム通信セッションの確立を許可するかどうかを判断できます
高速帯域をつかっても再送がおきることに注意(ベーシックレートを抑えたり、再送を少なくして回避
)
ルーティングプロトコル
BGP
ループバックでのBGPをはるとき
マルチホップ数(デフォルト1)を2以上
ピア宛先をループバックにする。
ループバックのスタティックルートを加える。
TCP179番
EBGP
EBGPは直接接続したルータとしかBGPを確立できない※EBGPピアまでのルートがないからBGPによって、他AS内のルート情報がアドバタイズされる。
では、EBGPが動作し始める時点で、どうやって他ASの情報を手に入れるのだ?
ルーティングループ
AS_PATHアトリビュートによってルーティングループが排除される仕組み
IBGP
直接じゃなくてもBGPピアを確立できる。
BGPスプリットホライズン
IBGPピアから受け取った情報を他のIBGPピアへ送らない
フルメッシュで接続しなければならなくなった
でもIBGPルータが10台とかになると、10C2で45のネイバを貼る必要があるのはやばい
ルートリフレクタ
ルータを「ルートリフレクタ」「クライアント」「ノンクライアント」に分ける
クライアント同士はIBGPピアを確立しない
ルートリフレクタは受け取ったUPDATEをクライアントに送信する。
BGPコンフェデレーション
フルメッシュ要件を緩和するための仕組みです。
フルメッシュ要件とは、iBGP ネイバーから受け取ったルートを他の iBGP ネイバーに渡せないことに起因する、同一 AS 内の全 BGP ルータをネイバー確立する要件です。
3 more items...
ブラックホールAS
トランジットASなのに間にピアを貼っていないルータがあると、他Aのルーティング情報がわからないので、途中で破棄
ピアを貼る
BGP同期
間のルータに他ASをアドバタイズする
具体的にはIBGPとIGPの両方で同じルートのアドバタイズを受けたときのみ、ルーティングテーブルに載せたりEBGPでアドバタイズする。
BGP同期とは、iBGPピアから学習した経路をeBGPピアにアドバタイズする前に、その経路がIGPと同期していなければならないというルールです。 BGPで経路情報を受信しても、その経路情報をIGPで学習するまで有効にしない。
TRILL
STPの欠点を改良する新たな仕組み
OSPSのように経路が複数ある場合、負荷分散を行うことが可能。
TRILLにはできなくてOpenFlowでできる経路選択の柔軟性は何?:
最短経路以外の経路が利用できる
SNMP
PDU
Protocl Data Unit)
SNMPマネージャーとエージェントでやり取りされるメッセージ
get-request
get-next-request
階層的に次のオブジェクトの情報を取得する
inform-request
UDPではメッセージの送達確認が行われないので、SNMPマネージャがtrapを受信したかがわからない
SNMPv2から新しく追加された
エージェントがinform-requestを送信したら、マネージャーから確認応答を待つ。確認応答が来なければ受信するまで再送信を繰り返す。
伝送制御
QoS
帯域制御
ポリシング
入力されたトラフィックが規定されたd最大速度を超過しないか監視し、超過分のパケットを履きするか優先度を下げる制御
シェーピング
パケットの送出間隔を調整することによって、規定された最大速度を超過しないようにトラフィックを平準化する
RSVP(Resource Reservation Protocol)
QoSに必要な帯域を事前にRSVPで予約する。
IPネットワークにおいてホスト間通信の伝送帯域を管理するためのプロトコル
IPv6もIPv4も同じ
優先制御
L3レベルの優先制御
IPヘッダ内のTOSフィールド
このような優先制御をキューイングまたはパケットキューイングという
☆TOSフィールドをDSフィールとして再定義して、通信の優先評価を行うことをDIffServモデルという
IPv6のパケットでは「トラフィッククラス」と呼ぶ
L2レベルの優先性ヂョ
VLANにおいてIEEE802.1pと言われる優先制御
VLANタグの TPID 、優先度、CDI、VLANIDのうち「優先度」を使う。
フレームの種類や宛先に応じて優先度を変えて中継すること
誤り検出・訂正
誤り検出
パリティチェック
シリアル通信で使われる
垂直パリティと水平パリティ
どのビット列もつぃくはビット行に誤りがあったかが検出できる。
垂直水平パリティ
1ビットの誤りを検出し、訂正できる。
チェックサム
メモリに書き込んだデータのチェックするときに利用される。
データを分割し、文字などのブロック単位のデータを数値とみなして合計を撮った値を検査用の符号としてデータに付け加える。
CRCチェック
データの通信や記録に使われる
送信するビット列を定数で割ってあまりを検査用の符号としてデータに加える。
複数ビットが誤っている場合誤りを検出できないときがあるが、連続したビットの誤り(バースト誤り)を検出できる。訂正は無理
ハミング符号方式
ECC(Error Correcting Code)の符号を付け加える。
4ビットの情報に3ビットの誤り検査用符号を加え、2ビットの誤り検出機能と1ビットの誤りて一斉機能をもたせる。
2ビットの誤りが発生した場合、訂正はできないが、検出可能。
メインメモリに搭載されている(ECCメモリ)
誤り訂正
フォワード誤り訂正方式
フォワード誤り訂正方式は、受信側で誤りを検出するが、それを送信側に再送要求することなく、受信側で誤り訂正符号などを用いて訂正する方式。
分割多重
WDM(Wavelength Division Multiplexing)
波長分割多重
1本の光ファイバで波長が異なる複数の光信号を多重化することによって広帯域転送システムを実現する
PON
光カプラというスイッチをおいて、スター型に光ケーブルを置く
TDM(Time Division Multiplexing)時分割多重
100人が同時に喋る場合に、時間を区切ってしゃべる
ロードバランサー
通信方式
リバースプロキシ ユーザーのすべてのサービス要求を受け取る
エージェント方式
tsアクセラレーション
xffの挿入編集やクッキーの閲覧挿入するために復号化するのでロードバランサーで実装が必要になる
証明書
CRL(Certificate Revocation List)
有効期限内に失効したディジタル証明書のシリアル番号のリスト
仮想化
NIC注意
帯域
帯域が圧迫する可能性がある
信頼性
すべての仮想サーバーがNICをつかうので、障害がおきると全サーバーに影響する
Well knownポート番号
PoP3
110
安全確保
サーバセキュリティ
スクリプト
CORSCross-Origin Resource Sharing, オリジン間リソース共有
Same-Originポリシ
スクリプトがダウンロードされたオリジン(生成元、厳選と同一のオリジンのリソースだけにアクセス先を制限する。
ダウンロードされたオリジンとは異なるオリジンのリソースへのアクセスはできない
オリジン
3つの値が一致する。
FQDN
URLを構成するすきーむ
httpとかhttps
ポート番号
http://www.example.com;8080/
セッション管理
クエリストリング
GetメソッドではWEBページのフォームから入力したデータはUELのあとに?で続く形になり、ログに残ったり、リファラでリンク先にも送られる。
リファラー
訪問したwebページのリンクをクリックして別のページに遷移したときのリンク元のページのこt
Cokkie
安全な利用
推測しにくいセッションID
適切なdomain属性
expiersやmax-ageで日時と秒を指定
secure属性
httponly属性
javascriptでのcokkie利用させtない
セッション攻撃
フォレンジックす
マルウェアファイルの検索方法
暗号化
CBC-MAC
脆弱性あり
ブロック暗号の共通鍵暗号方式を用いる。
hmac
ハッシュ関数を共通鍵と組み合わせて使用し生成するMACのこと
CMAC
セキュリティ基礎知識
情報セキュリティ対策
抑止効果
予防的対策
事後対策(検知、復旧)
再発防止策
攻撃のシュルい
不正アクセス
パスワードクラッキング
パスワードの解読行為
ブルートフォース攻撃
辞書攻撃
ウォードライビング
街を車で巡回し、無線LANのアクセスポイントを捜し回るハッキング行為
サービス不能攻撃
EDOS
economic denial of sustainability attack
クラウドサービスのような利用規模に応じて課金する方式のサービスの場合、外部から無用な負荷をかけることで、契約者に対し間接的に経済的損失を与えることができる
Smurf攻撃
特定のコンピュータにつながるかどうか確認する「ping」コマンドで使われるパケットの送信元を偽装し、相手のコンピュータに大量の偽のパケットを送りつける攻撃手法
標的型攻撃
ハッシュ関数
性質
原像計算困難性
ハッシュ→元の値、ができない
衝突発見困難性、強衝突体制
同じハッシュになる二つの値を求めることが困難
第二原像計算困難性、弱衝突体制
既知の値とハッシュ地があっても異なる値から同じハッシュ値をもとめることが困難
特徴
一方向性
同じ値になりにくい
固定長
処理が速い
PKI
CRYPTREC
AES
CAMELLIA
ecdsa
RSA-OAEP
SHA-256
SHA-512
CMAC
PFS
サーバの秘密鍵が危殆化したときに、過去に行われた暗号k通信の気密性を確保する。
クライアントとサーバーとの間で行われる鍵交換では一時的な鍵情報を用いてそのセッション限りで使わせる
DHEとECDHE
認証とアクセスコントロール
アクセスコントロール
識別、認証、権限
法律
サイバーセキュリティ基本法
国民に対し、セキュリティの重要性につき関心と理解を深め、その確保に必要な注意を払うよう努めることを求める規定
☆は穴埋めででた。