328.2ネットワークの侵入検知

今回は303試験の試験範囲から「328.2 ネットワークの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.2 ネットワークの侵入検知＞
重要度 4

＜説明＞
侵入検出ソフトウェアの使用方法と設定に精通していること。

＜主要な知識範囲＞
・snortサービスの設定、ルールおよび使用方法
・tripwire サービスの設定、ポリシーおよび使用方法

＜重要なファイル、用語、ユーティリティ＞
・snort
・snort-stat
・/etc/snort/
・tripwire
・twadmin
・/etc/tripwire/

■例題
侵入検出の考え方として間違っているものを選びなさい。

1. ファイルの改ざんを防ぐために、ハッシュ値の比較を行う
2. パケットをチェックし、攻撃と思われる通信を検知する
3. セキュリティ攻撃と誤って検知されてしまう場合がある
4. 侵入検出システムを設定すれば、すべての攻撃は検出できる

※この例題は実際のLinuC試験とは異なります。

侵入検出システムはIDS(Intrusion Detection System)とも呼ばれ、サーバーなどに対するセキュリティ攻撃を検出するための仕組みです。対象としてはサーバーへのネットワーク通信から不正を検出するものと、ホスト上のファイルなどに対する改ざんなどを検出するものがあります。

改ざん検出は、あらかじめファイルのハッシュ値を取得しておき、定期的にハッシュ値の再計算を行い、両者を比較します。ハッシュ値はファイルの内容が1ビットでも書き換わっていれば変更されるので、ファイルの改ざんを検出できます。ただし、正常なファイルの書き換えでも比較すれば違うと検出されてしまうので、改ざんなのかどうかは最終的には管理者が判断する必要があります。

不正なネットワーク通信の検出は、たとえばあり得ない送信元のIPアドレスだったり、Webサーバーなどのセキュリティホールを攻撃するような内容のパケットだったりするものを検出するようになっています。

どちらの方式も、既知の攻撃方法であればある程度検出することは可能ですが、正常動作を攻撃として誤検知してしまう可能性があるため、管理者としては慎重に対応が必要であるだけでなく、動作の細かい調整なども必要となる点には注意が必要でしょう。