328.2ネットワークの侵入検知

今回は303試験の試験範囲から、「328.2 ネットワークの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容（2009年8月14日時点）は以下の通りです。トピックの詳細はこちらからご確認ください。

328.2 ネットワークの侵入検知
重要度：4

＜説明＞
ネットワーク監視ツールの使用方法と設定に精通していること。

＜主要な知識範囲＞

• Nagiosの設定及び使用方法
• ntop

＜重要なファイル、用語、ユーティリティ＞

• ntop
• nagios
• nagiostats
• nagios.cfg 及びその他の設定ファイル

■例題
ntopの備える機能として正しいものを選びなさい。

1. ネットワーク上のホストのプロセス状況を調査する
2. ネットワークのセキュリティ状況を調査する
3. ネットワークの利用状況を調査する
4. ネットワークの障害発生を調査する

※この例題は実際のLinuC試験とは異なります。

topコマンドがホストのリソース利用状況やプロセスの状況を調査し、表示してくれるように、ntopはネットワークの利用状況を調査します。

動作としてはサービスとして実行し、バックグラウンドでホストの持つネットワークインターフェースを監視します。パケットのやり取りの状況を逐一記録し、Webブラウザで表示することができます。

ntopはGPLで配布されているので、ソースコード、またはパッケージでインストールできます。

たとえば、CentOSにインストールするのであれば、以下のリンクなどが参考になるでしょう。

○CentOSでRPMFORGEからntopをインストール
http://78tch.blog49.fc2.com/blog-entry-7.html

注意点としては、起動スクリプト内のオプション指定が間違っているという点です。/etc/init.d/ntopスクリプトを修正する必要があります。

サービス起動後、http://host:3000にアクセスすれば、ネットワークの状況を見ることができます。一部グラフなどを使用してグラフィカルにネットワークの状況を表示してくれます。

ブラウザが自動的にリロードを行ってくれるので、表示しっぱなしにすることができます。細かい設定の変更はAdminメニューから行います。設定変更は、起動前にパスワードを設定しているので、ユーザー名 adminで認証を行うことで変更できます。

トラフィックの多いサーバーなどの状態を監視するのに利用するとよいでしょう。