328.2ネットワークの侵入検知

今回は303試験の試験範囲から、「328.2 ネットワークの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.2 ネットワークの侵入検知＞
重要度 4

＜説明＞
侵入検出ソフトウェアの使用方法と設定に精通していること。

＜主要な知識範囲＞
・snortサービスの設定、ルールおよび使用方法
・tripwire サービスの設定、ポリシーおよび使用方法

＜重要なファイル、用語、ユーティリティ＞
・snort
・snort-stat
・/etc/snort/
・tripwire
・twadmin
・/etc/tripwire/

■例題
snortの機能の説明として適切なものを選びなさい。

1. ファイルの改ざんを検出する
2. ウイルスを検出する
3. セキュリティ攻撃のパケットを検出する
4. 通信を暗号化する

※この例題は実際のLinuC試験とは異なります。

SnortはIDS（侵入検出システム）と呼ばれる種類のソフトウェアです。通信パケットをチェックし、攻撃を意図しているパケットを検出します。

セキュリティ攻撃のパケットは、IPアドレスを詐称しているなどパケット自体が不正な場合と、パケット自体は正常なもの（あるいは正常なフリをしているもの）でもサーバー上で動作しているサーバープロセスなどに対する攻撃を含んだものである場合があります。Snortが主に検出対象としているのは後者です。

Snortは、攻撃の様々なパターンを「シグネチャ」として保持し、これに当てはまるものをセキュリティ攻撃のパケットとして検出します。典型的な攻撃はあらかじめシグネチャが用意されているのでそれらを取り込むことで流用できますが、独自のシグネチャを作ることもできます。

また、「プリプロセッサ」を利用することで、不正な通信を排除したりすることもできるので、合わせて設定方法を理解しておくとよいでしょう。

☆参考となる情報☆
@IT：Snortでつくる不正侵入検知システム
http://www.atmarkit.co.jp/fsecurity/rensai/snort01/snort01.html