328.1 ネットワークの堅牢化

LinuC 303試験の試験範囲から「328.1 ネットワークの堅牢化」についての例題を解いてみます。
ネットワークトラフィック分析を行なうためのコマンドにはどのようなものがあるか把握しておきましょう。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.1 ネットワークの堅牢化＞
重要度 4

＜説明＞
一般的な脅威に対してネットワークをセキュアにする能力が求められる。
これには、セキュリティの測定効果の検証も含まれる。

＜主要な知識範囲＞
・FreeRADIUSを設定したネットワークノードの認証。
・nmapを使用したネットワークとホストのスキャン。異なるスキャン方法を含む。
・Wiresharkを使用したネットワークのトラフィック分析。フィルタと統計を含む。
・不正RA(ルータ広告）とDHCPメッセージの識別と処理。

＜重要なファイル、用語、ユーティリティ＞
・radiusd
・radmin
・radtest, radclient
・radlast, radwho
・radiusd.conf
・/etc/raddb/*
・nmap
・wireshark
・tshark
・tcpdump
・ndpmon

■例題
SMTPプロトコルのネットワークトラフィックのパケットダンプを取得するために使用するコマンドとして、誤っているものを選択してください。

1. tcpdump
2. wireshark
3. ndpmon
4. tshark

※この例題は実際の試験問題とは異なります。

ネットワークに関する障害解析やネットワークトラフィックの分析を行なう場合、ネットワーク上に流れるパケットのキャプチャが必用になることがあります。
キャプチャしたパケットを確認すると、ネットワーク上に流れていたパケットの内容を確認することができ、ネットアークの障害解析やトラフィック分析に有用です。

Linuxでパケットキャプチャを行なう場合、tcpdumpを代表とするいくつかのツールを使用することができます。
これらのツールでは、パケットキャプチャした結果をファイルに保存したり、標準出力に出力したりすることができます。

それぞれの選択肢について解説します。

1. tcpdump
正解です。
tcpdumpは、ネットワーク上に流れるパケットの内容を出力するためのコマンドラインツールです。
指定したネットワークインタフェースをキャプチャして、その内容を標準出力に出力したり、pcapの形式でファイルに出力したりすることができます。
pcap形式で出力したファイルは、wireshark等のpcapに対応したアプリケーションで参照することができます。
フィルタを指定すれば、抽出したパケットだけ(例えばSMTPプロトコルのみ)を出力することも可能です。

2. wireshark
正解です。
wiresharkは、ネットワークトラフィックをダンプ・解析するためのGUIツールです。
tcpdumpのように、ネットワークインタフェース上に流れるパケットをキャプチャし、その内容をリアルタイムに参照することができます。
また、tcpdumpで取得したパケットダンプの出力ファイルを読み込んで表示することも可能です。
パケットの内容をGUIで参照することができるため、わかりやすくネットワークトラフィックの解析を行なうことができます。

3. ndpmon
誤っています。
ndpmonは、近隣探索プロトコルモニター(Neighbor Discovery Protocol Monitor)です。
IPv6の近隣探索プロトコルを監視するためのツールですので、SMTPプロトコル等のパケットダンプを行なうものではありません。

4. tshark
正解です。
tsharkは、ネットワークトラフィックをダンプ・解析するためのコマンドラインツールです。
wiresharkと同じように、ネットワークインタフェース上に流れるパケットをキャプチャしたり、pcap形式のファイルを読み込んでその内容を表示したりすることができます。

ネットワークトラフィックの解析を行なうためのコマンドの種類とそれぞれの特徴について把握しておきましょう。

■例題作成者
株式会社デージーネット OSS研究室 大野 公善