LinuCレベル3 303試験の例題と解説

328.2ネットワークの侵入検知

今回は303試験の試験範囲から「328.2 ネットワークの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<328.2 ネットワークの侵入検知>
重要度 4

<説明>
侵入検出ソフトウェアの使用方法と設定に精通していること。

<主要な知識範囲>
・snortサービスの設定、ルールおよび使用方法
・tripwire サービスの設定、ポリシーおよび使用方法

<重要なファイル、用語、ユーティリティ>
・snort
・snort-stat
・/etc/snort/
・tripwire
・twadmin
・/etc/tripwire/


■例題

侵入検出の説明として間違っているものを選びなさい。

1. Snortでは監視パケットにルールを適用して不正なパケットを検知する
2. Snortではセキュリティ保護のため用意されたルールのみ利用する
3. tripwireでは事前に監視対象のファイルのハッシュ値をデータベース化する
4. tripwireではログなど頻繁に書き換わるファイルは内容の監視は行わない

※この例題は実際のLinuC試験とは異なります。


解答と解説

答えは2. Snortではセキュリティ保護のため用意されたルールのみ利用する です。

Snortは、ネットワークのパケットを監視して、不正なアクセスを企図したパケットを検出するNIDS(Network Intrusion Detection System)です。

設定されたルールを監視対象のパケットに対して適用し、不正なパケットを検出するのがSnortの主な機能です。Snortのルールには、コミュニティで開発されているルールと、商用版ライセンスでのみ提供されているルールがあります。しかし、ルールを自分で記述することもできますので、自身のネッ
トワーク構成やセキュリティポリシーに従ったルールを適用することもできます。

tripwireは、ファイルの改ざんを検知するホスト型のIDSです。tripwireでは、初期化段階で監視対象ファイルのデータベースを作成しますが、このデータベースには各ファイルのアクセス権などの情報の他、ファイルの内容に対するハッシュ値を格納します。そのファイルの内容が1バイトでも書き換わると異なったハッシュ値に変わるため、改ざんが検知できるという仕組みになっています。

しかし、このようなハッシュ値比較による改ざん検知の仕組みは、ログファイルなど頻繁に書き換えられるファイルを対象にすると毎回チェックの度に改ざんと判定されてしまいます。
そこで頻繁に書き換えが行われるファイルについては、内容のハッシュ値は取得せず、所有権やパーミッションなどアクセス権についてのみ監視するように設定します。この場合、侵入された後にログを書き換えられるような行為について検知できなくなりますので、ログを別途安全にログサーバに保管しておくなど、ログを保護する対策が必要です。

ページトップへ