HOMEサンプル問題・例題解説303試験の例題と解説324.1 侵入検出

303試験の例題と解説

324.1侵入検出

今回は303試験の試験範囲から、「324.1 侵入検出」についての例題を解いてみます。


トピックの概要
このトピックの内容は以下の通りです。

<324.1 侵入検出>
重要度 4

<説明>
侵入検出ソフトウェアの使用方法と設定に精通していること。

<主要な知識範囲> 
・snortサービスの設定、ルールおよび使用方法
・tripwire サービスの設定、ポリシーおよび使用方法

<重要なファイル、用語、ユーティリティ>
・snort
・snort-stat
・/etc/snort/
・tripwire
・twadmin
・/etc/tripwire/


■例題
snortの機能の説明として適切なものを選びなさい。

1. ファイルの改ざんを検出する
2. ウイルスを検出する
3. セキュリティ攻撃のパケットを検出する
4. 通信を暗号化する


※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 3. セキュリティ攻撃のパケットを検出する です。

SnortはIDS(侵入検出システム)と呼ばれる種類のソフトウェアです。通信パケットをチェックし、攻撃を意図しているパケットを検出します。

セキュリティ攻撃のパケットは、IPアドレスを詐称しているなどパケット自体が不正な場合と、パケット自体は正常なもの(あるいは正常なフリをしているもの)でもサーバー上で動作しているサーバープロセスなどに対する攻撃を含んだものである場合があります。Snortが主に検出対象としているのは後者です。

Snortは、攻撃の様々なパターンを「シグネチャ」として保持し、これに当てはまるものをセキュリティ攻撃のパケットとして検出します。典型的な攻撃はあらかじめシグネチャが用意されているのでそれらを取り込むことで流用できますが、独自のシグネチャを作ることもできます。

また、「プリプロセッサ」を利用することで、不正な通信を排除したりすることもできるので、合わせて設定方法を理解しておくとよいでしょう。


☆参考となる情報☆
@IT:Snortでつくる不正侵入検知システム
http://www.atmarkit.co.jp/fsecurity/rensai/snort01/snort01.html

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ