HOMEサンプル問題・例題解説303試験の例題と解説324.1 侵入検出

303試験の例題と解説

324.1 侵入検出

今回は303試験の試験範囲から「324.1 侵入検出」についての例題を解いてみます。


■トピックの概要
このトピックの内容は以下の通りです。

<324.1 侵入検出>
重要度 4

<説明>
侵入検出ソフトウェアの使用方法と設定に精通していること。

<主要な知識範囲>
・snortサービスの設定、ルールおよび使用方法
・tripwire サービスの設定、ポリシーおよび使用方法

<重要なファイル、用語、ユーティリティ>
・snort
・snort-stat
・/etc/snort/
・tripwire
・twadmin
・/etc/tripwire/


■例題
侵入検出の考え方として間違っているものを選びなさい。

1. ファイルの改ざんを防ぐために、ハッシュ値の比較を行う
2. パケットをチェックし、攻撃と思われる通信を検知する
3. セキュリティ攻撃と誤って検知されてしまう場合がある
4. 侵入検出システムを設定すれば、すべての攻撃は検出できる

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 4. 侵入検出システムを設定すれば、すべての攻撃は検出できるです。

侵入検出システムはIDS(Intrusion Detection System)とも呼ばれ、サーバーなどに対するセキュリティ攻撃を検出するための仕組みです。対象としてはサーバーへのネットワーク通信から不正を検出するものと、ホスト上のファイルなどに対する改ざんなどを検出するものがあります。

改ざん検出は、あらかじめファイルのハッシュ値を取得しておき、定期的にハッシュ値の再計算を行い、両者を比較します。ハッシュ値はファイルの内容が1ビットでも書き換わっていれば変更されるので、ファイルの改ざんを検出できます。ただし、正常なファイルの書き換えでも比較すれば違うと検出されてしまうので、改ざんなのかどうかは最終的には管理者が判断する必要があります。

不正なネットワーク通信の検出は、たとえばあり得ない送信元のIPアドレスだったり、Webサーバーなどのセキュリティホールを攻撃するような内容のパケットだったりするものを検出するようになっています。

どちらの方式も、既知の攻撃方法であればある程度検出することは可能ですが、正常動作を攻撃として誤検知してしまう可能性があるため、管理者としては慎重に対応が必要であるだけでなく、動作の細かい調整なども必要となる点には注意が必要でしょう。

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ