読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  より「にしの」コアな方はこちらもよろしくです。

広告



真面目な質問に答えたよ。

・コネクションレスで有名なUDPを使うものにDNS(53)があり ますが、他にないのかと言われると。 VoIPのSIP(セッション管理)RTP(シーケンス管理)かなあ。 UDPであるがゆえに、DNSampなどを食らってしまうのだね。・ブラウザがURLに接続するときのコマンド…

真面目な質問に答えたよ。

・コネクションレスで有名なUDPを使うものにDNS(53)があり ますが、他にないのかと言われると。 VoIPのSIP(セッション管理)RTP(シーケンス管理)かなあ。 UDPであるがゆえに、DNSampなどを食らってしまうのだね。・ブラウザがURLに接続するときのコマンド…

セキュスペ午前攻略メタキン! 最終回(18)小ネタ集

「ARPとRARP」自分がIPアドレスやインターネットになって考えよう。自分がIPアドレスになったつもりになると。IPアドレスからMACアドレスを得るのがARPその逆がRARPです。同様に、インバウンド通信はインターネットからこっち(LAN)にむけて。アウ…

セキュスペ午前攻略メタキン! 最終回(18)小ネタ集

「ARPとRARP」自分がIPアドレスやインターネットになって考えよう。自分がIPアドレスになったつもりになると。IPアドレスからMACアドレスを得るのがARPその逆がRARPです。同様に、インバウンド通信はインターネットからこっち(LAN)にむけて。アウ…

セキュスペ午前攻略メタキン! (17)デジタル証明書

デジタル署名は間違いなくその人が送信者であることを証明するに過ぎません。しかし、秘密かぎを持ってるっていう証明だけで「その秘密鍵が本人のものか」までは証明できません。 そこで、その公開鍵に対してそれが「なりすましではない正当なもの」であると…

セキュスペ午前攻略メタキン! (17)デジタル証明書

デジタル署名は間違いなくその人が送信者であることを証明するに過ぎません。しかし、秘密かぎを持ってるっていう証明だけで「その秘密鍵が本人のものか」までは証明できません。 そこで、その公開鍵に対してそれが「なりすましではない正当なもの」であると…

セキュスペ午前攻略メタキン! (16)デジタル署名

「デジタル署名」を作成するには送信者が自分の秘密鍵でファイルなどを暗号化します。公開鍵で復号できるため、中身は誰でも読めてしまいます。ので、暗号化にはなっていませんが、秘密鍵で暗号化されたファイルは、秘密鍵を持つその人しか送れないものであ…

3月1日メタキン終了っ!

3月1日をもちまして午前攻略メタキン、とりあえず完結になります。いろいろ、書き直したいところもあるんですが。全18回。終わったことにまずは安堵したいっす。※終わってないだろって?予約投稿というのがあるので、私 には終わってるように感じるのさ…

セキュスペ午前攻略メタキン! (16)デジタル署名

「デジタル署名」を作成するには送信者が自分の秘密鍵でファイルなどを暗号化します。公開鍵で復号できるため、中身は誰でも読めてしまいます。ので、暗号化にはなっていませんが、秘密鍵で暗号化されたファイルは、秘密鍵を持つその人しか送れないものであ…

セキュスペ午前攻略メタキン! (15)認証

1.パスワード認証 「PAP」 PPPで使われていた方式で、広く一般的だったのですがパス ワードが平文で流れてしまいます。 そこで、拡張した方式である 「EAP」 が使われます。特に無線LANの世界では電子証明書を使った EAP-TLSなどが有名。 また、別の発展を…

セキュスペ午前攻略メタキン! (15)認証

1.パスワード認証 「PAP」 PPPで使われていた方式で、広く一般的だったのですがパス ワードが平文で流れてしまいます。 そこで、拡張した方式である 「EAP」 が使われます。特に無線LANの世界では電子証明書を使った EAP-TLSなどが有名。 また、別の発展を…

セキュスペ午前攻略メタキン! (14)暗号の基本

1.共通鍵暗号方式共通鍵暗号といえば「AES」。鍵長は128 192 256ビットから任意選択です。同じ鍵ペアを使うので、通信相手が増えると鍵数も増えます。式にするとn(n-1)/2必要で、鍵の管理がめんどくさいです。また、鍵の受け渡しが困難で相手…

セキュスペ午前攻略メタキン! (14)暗号の基本

1.共通鍵暗号方式共通鍵暗号といえば「AES」。鍵長は128 192 256ビットから任意選択です。同じ鍵ペアを使うので、通信相手が増えると鍵数も増えます。式にするとn(n-1)/2必要で、鍵の管理がめんどくさいです。また、鍵の受け渡しが困難で相手…

セキュスペ午前攻略メタキン! (12)IDSとIPS

「IDS」とは侵入検知システムのことをいいます。種類は2種類。「NIDS」 ネットワーク上(同一セグメント)を流れるデータを監視する。 「ミラーポート」という監視専用のポートを持っています。 「プロミスキャスモード」により、自分宛てではないデータも…

セキュスペ午前攻略メタキン! (12)IDSとIPS

「IDS」とは侵入検知システムのことをいいます。種類は2種類。「NIDS」 ネットワーク上(同一セグメント)を流れるデータを監視する。 「ミラーポート」という監視専用のポートを持っています。 「プロミスキャスモード」により、自分宛てではないデータも…

セキュスペ午前攻略メタキン! (11)プロキシとリバースプロキシとWAF

「プロキシサーバ」は通信の集約が目的です。クライアントの代理でWEBサーバへのアクセスを行います。Webサーバの内容をキャッシュすることで通信効率を上げることができます。また、クライアントのIPアドレスを外部に漏らすこともありません。クライアント…

セキュスペ午前攻略メタキン! (11)プロキシとリバースプロキシとWAF

「プロキシサーバ」は通信の集約が目的です。クライアントの代理でWEBサーバへのアクセスを行います。Webサーバの内容をキャッシュすることで通信効率を上げることができます。また、クライアントのIPアドレスを外部に漏らすこともありません。クライアント…

セキュスペ午前攻略メタキン! (10)ファイアーウオールとフィルタリング

これも定番の内容です。ファイアーウオールは「通信の可否」を決めています。よって、外部との通信が行われたかどうかを判断するにはファイアーウオールのログを見る、パターンが多いです。フィルタリングには L3フィルタリング(ネットワーク層)IPアド…

セキュスペ午前攻略メタキン! (10)ファイアーウオールとフィルタリング

これも定番の内容です。ファイアーウオールは「通信の可否」を決めています。よって、外部との通信が行われたかどうかを判断するにはファイアーウオールのログを見る、パターンが多いです。フィルタリングには L3フィルタリング(ネットワーク層)IPアド…

セキュスペ午前攻略メタキン! (9)ウイルス

悪意のあるソフトウエア全般を「マルウエア」といいますが、ここではコンピュータウイルスに絞ってお話をします。さて、ウイルスの3条件ってなんですか?覚えてますか?「ウイルスの感染経路」メールの添付ファイルやHTMLによる自動ダウンロード、UR…

セキュスペ午前攻略メタキン! (9)ウイルス

悪意のあるソフトウエア全般を「マルウエア」といいますが、ここではコンピュータウイルスに絞ってお話をします。さて、ウイルスの3条件ってなんですか?覚えてますか?「ウイルスの感染経路」メールの添付ファイルやHTMLによる自動ダウンロード、UR…

セキュスペ午前攻略メタキン! (8)IPsec と PPTP

いわゆる、暗号化最強の二つです。 IPsecは「ネットワーク層で」暗号化と認証を行います。2つのモードが存在していて、メインモード 1 暗号化方式を決める(IKE) 2 鍵を決める(IKE) 3 暗号化通信を始める(IPSEC)このモードでは、IPアドレスを認証に…

セキュスペ午前攻略メタキン! (8)IPsec と PPTP

いわゆる、暗号化最強の二つです。 IPsecは「ネットワーク層で」暗号化と認証を行います。2つのモードが存在していて、メインモード 1 暗号化方式を決める(IKE) 2 鍵を決める(IKE) 3 暗号化通信を始める(IPSEC)このモードでは、IPアドレスを認証に…

セキュスペ午前攻略メタキン! (7)VPN

これもまた、頻出の内容です。拠点と拠点を暗号化した通信路を作り、盗聴のリスクを減らしてしまおうというのがVPNの目的です。これには2つのモードがあります。 トランスポートモード 端末と端末の間すべてが暗号化されるモード ・一見最強だが、VPNソフト…

セキュスペ午前攻略メタキン! (7)VPN

これもまた、頻出の内容です。拠点と拠点を暗号化した通信路を作り、盗聴のリスクを減らしてしまおうというのがVPNの目的です。これには2つのモードがあります。 トランスポートモード 端末と端末の間すべてが暗号化されるモード ・一見最強だが、VPNソフト…

セキュスペ午前攻略メタキン! (6)CP

DNSサーバは名前解決を行うサーバです。キャッシュとコンテンツの二つに役割上分けられます。キャッシュサーバは名前解決を行うため、リゾルバ(わたしら)の要求にこたえるのが仕事です。 コンテンツサーバ(権威サーバ)はキャッシュで解決できない名前…

セキュスペ午前攻略メタキン! (6)CP

DNSサーバは名前解決を行うサーバです。キャッシュとコンテンツの二つに役割上分けられます。キャッシュサーバは名前解決を行うため、リゾルバ(わたしら)の要求にこたえるのが仕事です。 コンテンツサーバ(権威サーバ)はキャッシュで解決できない名前…

セキュスペ午前攻略メタキン! (5)DoSどす

「DoS攻撃」サービス停止攻撃のことです。大量のパケットを送信することで相手の処理を不能にしサービスを停止させます。主にFlood攻撃(あふれさせ攻撃)が代表格です。 TCP SYN Flood(コネクション要求を大量に)Connection Flood(実際のコネクションを大…

セキュスペ午前攻略メタキン! (5)DoSどす

「DoS攻撃」サービス停止攻撃のことです。大量のパケットを送信することで相手の処理を不能にしサービスを停止させます。主にFlood攻撃(あふれさせ攻撃)が代表格です。 TCP SYN Flood(コネクション要求を大量に)Connection Flood(実際のコネクションを大…

セキュスペ午前攻略メタキン! (4)フィッシング

フィッシングはよく聞くと思うのですが、ファーミングはこれから出されるだろう内容になります。 「フィッシング」標的が信頼しているサイトになりすまして情報を搾取する攻撃。URLまで本物そっくりに作られているので、ついついだまされます。メールでU…

セキュスペ午前攻略メタキン! (4)フィッシング

フィッシングはよく聞くと思うのですが、ファーミングはこれから出されるだろう内容になります。 「フィッシング」標的が信頼しているサイトになりすまして情報を搾取する攻撃。URLまで本物そっくりに作られているので、ついついだまされます。メールでU…

セキュスペ午前攻略メタキン! (3)インジェクション

頻出問題っす。とーってもよく出る内容です。 「SQLインジェクション」フォームに不正な命令文を入れ、SQLの命令であるかのようにし、SQL文を実行させ、情報を引き出します。 対策としては・プレースホルダ(バインド機構)・エスケープ処理があり…

セキュスペ午前攻略メタキン! (3)インジェクション

頻出問題っす。とーってもよく出る内容です。 「SQLインジェクション」フォームに不正な命令文を入れ、SQLの命令であるかのようにし、SQL文を実行させ、情報を引き出します。 対策としては・プレースホルダ(バインド機構)・エスケープ処理があり…

セキュスペ午前攻略メタキン! (2)クロスサイト

「クロスサイトスクリプティング」(XSS) 攻撃者はこちらの不正なプログラムを、相手のサーバ上で動作させたいのですが信頼されていないので、できません。 そこで、そのサーバに信頼されているユーザ(山田くんとします)をターゲットにします。 1 ま…

セキュスペ午前攻略メタキン! (2)クロスサイト

「クロスサイトスクリプティング」(XSS) 攻撃者はこちらの不正なプログラムを、相手のサーバ上で動作させたいのですが信頼されていないので、できません。 そこで、そのサーバに信頼されているユーザ(山田くんとします)をターゲットにします。 1 ま…

セキュスペ午前攻略メタキン! (1)セッション管理

「セッションハイジャック」 攻撃者がセッションをのっとり、通信当事者じゃないものがセッションを行うことです。TCPはセッション番号で通信を管理しています。 が、HTTPではセッション番号がなく、セッション番号を扱うとき・URLに埋め込む(クエリ…

セキュスペ午前攻略メタキン! (1)セッション管理

「セッションハイジャック」 攻撃者がセッションをのっとり、通信当事者じゃないものがセッションを行うことです。TCPはセッション番号で通信を管理しています。 が、HTTPではセッション番号がなく、セッション番号を扱うとき・URLに埋め込む(クエリ…

セキュスペ午前攻略メタキン! はじめに

作者の、にしのです。 この連載は「基礎知識を学習済み」の方を対象に、間違えやすいポイントや混乱しそうな場所を整理して、わかりやすく、イメージしやすく構成したものです。 よって、初めて情報セキュリティスペシャリスト試験に臨まれる方は、この連載…

セキュスペ午前攻略メタキン! はじめに

作者の、にしのです。 この連載は「基礎知識を学習済み」の方を対象に、間違えやすいポイントや混乱しそうな場所を整理して、わかりやすく、イメージしやすく構成したものです。 よって、初めて情報セキュリティスペシャリスト試験に臨まれる方は、この連載…

にしのくえすと Presented by にしの 2017