こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成29年午後Ⅱ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成29年午後Ⅱ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 表1 IEEE802.11で使用される周波数帯
- 4 表2 無線LANのアクセス制御方式
- 5 表3 無線LANデータの暗号化方式
- 6 WEPでは1バイト単位[空欄f]暗号であるRC4を使用して
- 7 WEPは[空欄g]のWEPキーが使用され続ける…
- 8 IEEE802.1Xの認証成功後に[空欄h]で動的に生成されてクライアントに配布される。
- 9 TKIPではフェーズ1で一次鍵、IV及び無線LAN端末の[空欄i]の3つを混合してキーストリームを作る。
- 10 WPA2では、事前[空欄j]方法及びPMKの保持方法が規定されている。
- 11 下線部① CCMPでは、暗号化と復号化は同じ手順で行われ、復号時もAESが使用される。
- 12 下線部②検討しているAP製品は4チャネルボンディング(80MHzの帯域幅)まで行え、3本のアンテナが搭載されている
- 13 下線部③認証後に行われる無線LAN端末による通信は、WLCを経由しない。
- 14 下線部④外来電波による悪影響
- 15 下線部⑤IEEE802.3at 対応のL2SWを1台導入することにした。
- 16 下線部⑥そのほか必要となる情報…
- 17 下線部⑦クライアント証明書の配布に関してセキュリティ上問題がある
- 18 下線部⑧状況によってはクライアント証明書をダウンロードできない本社の営業員も出てくる。
- 19 下線部⑨ WPA2又はWPAパーソナルモードで無線LANに接続するための情報を教える。
- 20 設問3⑷について、
- 21 設問5⑴について…
- 22 設問5⑶について…
- 23 設問5⑷について…
- 24 設問5⑸について…
- 25 設問5⑹について…
- 26 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
表1 IEEE802.11で使用される周波数帯
設問1ですが、IEEE802.11の一覧を覚えていないと解答は厳しいですね。
模範解答は
a:2.4
b:5
でした。
表2 無線LANのアクセス制御方式
設問1ですが、当初”不明”と回答しておりました。。言葉が出てきません!
模範解答は
c:Any
でした。
表3 無線LANデータの暗号化方式
設問1ですが、
模範解答は
d:共通
e:802.11i
でした。
WEPでは1バイト単位[空欄f]暗号であるRC4を使用して
設問2ですが、当初は32bitと回答しておりました。。
模範解答’ストリーム’でした。
WEPは[空欄g]のWEPキーが使用され続ける…
設問2ですが、当初は”平文”と回答してしまっておりました…キーが長時間変わらないので、漏えいすると侵入される可能性が限りなく高まる、という点を理解していないとこの言葉は出てこないのでしょうね。。
模範解答
同一
でした。
IEEE802.1Xの認証成功後に[空欄h]で動的に生成されてクライアントに配布される。
※更新中
設問2ですが、当初は”オーセンティケータ”と回答しておりました。オーセンティケータはAPに該当するので、違いますね。。
模範解答
認証サーバ
でした。
TKIPではフェーズ1で一次鍵、IV及び無線LAN端末の[空欄i]の3つを混合してキーストリームを作る。
設問2⑴ですが、当初はSSIDと回答しておりました。無線LANのコネクションシーケンスを理解していないと、間違えてしまいますね。。
模範解答’MACアドレス’でした。
WPA2では、事前[空欄j]方法及びPMKの保持方法が規定されている。
※更新中
設問2⑴ですが、当初は”共通鍵”と回答しておりました。見当違いでした。。
模範解答
‘認証’
でした。
下線部① CCMPでは、暗号化と復号化は同じ手順で行われ、復号時もAESが使用される。
設問2⑵ですが、排他的論理和が何なのか理解していないと解答は厳しいですね。当初は、”e1の全ビットを反転させ、AESにより暗号化された暗号鍵との積を取る”という変態的な思考を回答しておりました。。
模範解答は’カウンタ値cをAESで暗号化した結果と、暗号文ブロックをe1でXORする。’でした。
下線部②検討しているAP製品は4チャネルボンディング(80MHzの帯域幅)まで行え、3本のアンテナが搭載されている
設問3⑴ですが、問題文から、1チャネル当たり20MHZ(160/8=20)と分かるので、チャネル1本でアンテナが4本あればそれでよいではないか?!と思ってしまいました。
模範解答は’チャネル:2、アンテナ:2本’でした。
下線部③認証後に行われる無線LAN端末による通信は、WLCを経由しない。
設問3⑵ですが、無線LAN端末による通信が、WLCによる通信と比較したときに優れている点を問われています。
‘利点’ときたら、性能か故障時のメリット、運用性を考えましょう。当初は、”通信時の経由機器が減り、通信速度の向上が見込める”、”WLC故障時の影響を回避できる”と回答しておりました。
模範解答は
・WLCに通信の負荷が集中するのを抑制することができる。
・認証後にWLCに障害が発生してもその無線LAN端末の通信は継続できる
でした。
下線部④外来電波による悪影響
設問3⑶ですが、悪影響の内容を問われています。
これは現場でルータ設置を経験したことがないと、なかなか言葉が出てこない気がします…
模範解答は’電波干渉によって通信障害が発生する’でした。
下線部⑤IEEE802.3at 対応のL2SWを1台導入することにした。
※更新中
設問3⑸ですが、規格の呼称と最小電力量を問われています。
関連する情報は以下となります。
規格 供給電力量 発表年
IEEE802.af 15.4w 2003
IEEE802.at 30w 2009
IEEE802.b3 90w 2018
模範解答は
・IEEE802.3af規格のPoE機能の呼称:PoE+
・当該L2SWで今回必要になる最小供給電力量:216
でした。
下線部⑥そのほか必要となる情報…
設問4⑴ですが、デジタル証明書を用いた暗号化通信のシーケンスが思い浮かばなかれば解答は難しいですね。当初は”CAのルート証明書”、”各NPCの公開鍵と秘密鍵”と回答しておりました。
模範解答は
・CAの自己証明書
・クライアントの秘密鍵
でした。
下線部⑦クライアント証明書の配布に関してセキュリティ上問題がある
設問4⑵ですが、上記記載の問題が何なのか、問われています。
セキュリティリスク関連の問題が出てきたら、漏洩、盗難、なりすまし、攻撃をうける…の順に当てはまるパターンを設定していくことが肝要です。
模範解答は’ダウンロードサーバの認証情報が漏洩すると、来訪者もクライアント証明書などがダウンロードできてしまう。’でした。
下線部⑧状況によってはクライアント証明書をダウンロードできない本社の営業員も出てくる。
※更新中
設問4⑶ですが、下線部のすぐ次の行に’その営業員には、情シスの担当者がクライアント証明書などの必要な情報をNPCにインストールして、当該営業員に渡す‘とあります。
つまり、手動運用による対応をせざるを得ない状況は何か?を問われています。
余談ですが、’クライアント証明書の配布に関してセキュリティ上問題がある’とありますが、これは一度クライアント証明書がインストールされた端末にはWLC認証向けのVLANが案内されない、ことを示しています?
そこで、クライアント証明書配布用のサーバを営業部フロアにおいて、一度目は有線LANでのみダウンロード、更新は無線LANでも実施可能なようにする内容が記載されていますね。
言い換えると、最初のクライアント証明書は無線LANではダウンロードできず(でも有線LANはそのうち撤去されてしまう…)、更新する際も、その時点でインストールされているクライアント証明書は有効(期限が切れていない)ことが条件となります。
模範解答は
・クライアント証明書の有効期限を切らせた営業員
・無線LAN導入後に営業部に配属された営業員
でした。
下線部⑨ WPA2又はWPAパーソナルモードで無線LANに接続するための情報を教える。
※更新中
設問5⑵ですが、来訪者に教える情報を問われています。無線LANのAPポイント(SSID)はもちろんですが、WPA2、WPAパーソナルモードの利用を考えると、PSKも必要となります。
模範解答は
・ESSID
・PSK
でした。
設問3⑷について、
※更新中
チャネルボンディングした周波数が重ならないようにするための方法(少なくともいくつの種は数体が必要か)を問われています。
模範解答は
・周波数のグループ数:4
・目的:ハンドオーバーをスムーズにするため、APの負荷分散をするため
でした。
設問5⑴について…
※更新中
IEEE802.1Xのサプリカントとなる機器及びオーセンティケータとなる機器を問われています。
IEEE802.1X(RADIUS)における認証の流れを頭に入れて考える必要があります。
参考:IEEE802.1.X(RADIUS) ※更新中
模範解答
・サプリカントとなる機器:NPC
・オーセンティケータとなる機器:WLC
でした。
設問5⑶について…
※更新中
新たにVLANタグが設置される箇所を問われています。
技術的なキーワードは特にないので、一つ一つ、流れを追ってみます。
新たに設定されるであろうVLANタグは、どの端末や機器が利用するのかというと、来訪者、もしくは社員が保持するNPCに間違いないでしょう。
社員向けにはVLAN100、来訪者向けにはVLAN200が割り当てられ、それぞれDHCPによりIPアドレスが付与されるわけですが、
当初は、”ア、イ、ウ”と答えてしまっておりました。。
模範解答は’イ’でした。
設問5⑷について…
※更新中
来訪者にインターネットアクセスだけを可能にするためのL2SW5へのVLAN設定内容を問われています。当初は、”デフォルトゲートウェイをルータ2に設定する”と回答してしまっておりました。
模範解答は’ルータ2への接続ポートだけに、VLAN200のポートVLANを設定する’でした。
設問5⑸について…
※更新中
図4中のNPCが認証された後にWLCにて障害が発生した場合、当該NPCで発生する課題を問われています。
正常に稼働している時の流れを確認します。
NPCはクライアント証明書をインストール後、RADIUSにて認証を完了させ、それぞれのVLANにアクセスしていきます。
その後、WLCを利用して、移動時にも認証情報をAP間で連携させ、アクセスを可能にするわけですが、一度認証が完了した後にWLCが故障するとこの移動時の自動認証(ハンドオーバー)ができなくなります。当初は、”問題:インターネットへあくせすできなくなる、理由:WLC故障による移動先のAPへのハンドオーバーができなくなるから”という、間違っていないけど、もうちょっと抽象化して答えないと「分かっていない人」に見られてしまう回答をしておりました。
模範解答は
・問題:ハンドオーバーができなくなる
・理由:NPCに配布したPMKと認証機能関連情報がWLCで保持されているから
でした。
設問5⑹について…
※更新中
模範解答は’AP→L2SW5→L3SW→FW→L2SW1→プロキシサーバ→L2SW1→FW→ルータ1’でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう
