HOMEサンプル問題・例題解説303試験の例題と解説328.2 ネットワークの侵入検知

303試験の例題と解説

328.2 ネットワークの侵入検知

今回は303試験の試験範囲から「328.2 ネットワークの侵入検知 」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<328.2 ネットワークの侵入検知>
重要度 4

<説明>
ネットワークセキュリティスキャン、ネットワークモニターおよびネットワーク侵入検知ソフトウェアの使用と設定に精通していることが求められる。これには、セキュリティスキャナの更新と保守を含む。

<主要な知識範囲>
・バンド幅使用率モニターの実装。
・Snortの設定と使用。ルール管理を含む。
・OpenVASの設定と使用。NASLを含む。

<重要なファイル、用語、ユーティリティ>
・ntop
・Cacti
・snort
・snort-stat
・/etc/snort/*
・openvas-adduser, openvas-rmuser
・openvas-nvt-sync
・openvassd
・openvas-mkcert
・/etc/openvas/*


■例題
snort.conf ファイルのエントリとして有効なものは次のうちどれか。2つ選びなさい。

1. portvar SSH_PORTS 22
2. -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
3. LogFormat "%h %l %u %t \"%r\" %>s %b" common
4. preprocessor ssh: server_ports { 22 } \
                  autodetect \
                  enable_srvoverflow enable_protomismatch

※この例題は実際の試験問題とは異なります。

解答と解説

答えは 1と4 です。

2は、iptablesファイルのエントリーなので、不正解です。
3は、apache2.confのエントリーでログファイルのフォーマット指定なので、不正解です。

snort は、ネットワーク型の侵入検知システム(IDS(Intrusion Detection System))です。

/etc/snort/snort.conf で主な設定を行います。このファイルは、下記の手順でカスタマイズして利用します。
1のportvarは、手順1)のネットワークの変数の設定エントリーです。
4のpreprocessorは、手順5)のプリプロセッサのエントリーです。

###################################################
# This file contains a sample snort configuration.
# You should take the following steps to create your own custom configuration:
#
#  1) Set the network variables.
#  2) Configure the decoder
#  3) Configure the base detection engine
#  4) Configure dynamic loaded libraries
#  5) Configure preprocessors
#  6) Configure output plugins
#  7) Customize your rule set
#  8) Customize preprocessor and decoder rule set
#  9) Customize shared object rule set
###################################################


■例題作成者 LPI-Japan 中谷徹

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ