LinuCレベル2 202試験の例題と解説
2.12.4セキュリティ業務
LinuCレベル2202試験の出題範囲から「2.12.4 セキュリティ業務」についての例題を解いてみます。
このテーマは、セキュリティ情報の収集、侵入検知システムの構築・運用などの内容が含まれます。運用フェーズに入ったシステムを最新の脅威などから守るために必要なものが含まれておりますので、しっかりと理解しておきましょう。
例題
以下のうち、IDSに関する記述を2つ選択せよ。
- ネットワーク上のトラフィックやシステム上のログを監視し、異常な通信や脅威を検知する。
- 対象システムに対してポートスキャンを行い、不要なポートが公開されていないか確認する。
- 検知した攻撃や異常な通信をアラートとして通知し、また攻撃を阻止する。
- 検知した攻撃や異常な通信をアラートとして通知するが、攻撃阻止はしない。
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「1.ネットワーク上のトラフィックやシステム上のログを監視し、異常な通信や脅威を検知する。」と、「4.検知した攻撃や異常な通信をアラートとして通知するが、攻撃阻止はしない。」です。
IDSはIntrusion Detection Systemの略で、設定されたシグネチャ情報に基づいて異常な通信パターンや脅威を検知する仕組みです。Detection(検知)とあるように検知した内容をアラートとして通知をしますが、阻止はしません。
一方、IPSはIntrusion Prevention Systemの略で、検知した内容をアラートとして通知するとともに阻止を行います。
IDSやIPSとしては、snortやfail2banなどのソフトウェアがあります。
snortは、ルールに基づき検知した内容をアラートとして通知したり、その通信をドロップするなどの動作をします。
fail2banは、ログファイルを監視し攻撃と思われる情報を見つけた場合、その攻撃元となるIPアドレスからの通信を遮断する動作をします。
なお、両ソフトウェアに関する詳細は、以下で確認出来ます。
snort
https://snort.org/
fail2
https://github.com/fail2ban/fail2ban
例題作成者
鯨井 貴博(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 ゼウスITトレーニングセンター)