328.1ネットワークの堅牢化

今回は303試験の試験範囲から「328.1 ネットワークの堅牢化」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.1 ネットワークの堅牢化＞
重要度 5

＜説明＞
ネットワークセキュリティ検知ツールの方法と設定に精通していること。

＜主要な知識範囲＞
・nessusの設定、NASL及び使用方法

＜重要なファイル、用語、ユーティリティ＞
・nmap
・wireshark
・tshark
・tcpdump
・nessus
・nessus-adduser/nessus-rmuser
・nessusd
・nessus-mkcert
・/etc/nessus

■例題
ネットワークセキュリティスキャンについての説明で間違っているものを選びなさい。

1. nmapを使って利用可能なポートを検出する
2. Nessusを使って脆弱性の診断を行う
3. Wiresharkで送受信されるパケットを解析する
4. tcpdumpでHTTPパケット内の攻撃コマンドを自動的に検出する

※この例題は実際のLinuC試験とは異なります。

ネットワークを経由したセキュリティ攻撃を防ぐには、事前に検知ツールを使って脆弱性の診断を行ったり、送受信されるパケットを解析して攻撃内容を把握する必要があります。

nmapコマンドは、簡単に使用できるポートスキャンのコマンドです。対象となるホストで利用可能なポートを検出します。ただし、サービスが使用するポートを変更している場合、そのポートが何のための利用できるかまでは分かりません。

Nessusはより高度な脆弱性スキャンツールです。ただし、現在は商用製品として提供されているので、オープンソースソフトウェアのものを利用したいのであれば、OpenVASなどを利用するとよいでしょう。

○OpenVAS
http://www.openvas.org/

Wiresharkはネットワークのパケットをキャプチャするソフトウェアです。セキュリティ攻撃には不正なプロトコルのやり取りを行う場合がありますが、キャプチャしたパケットを解析してそのような攻撃を見つけ出すことができます。

tcpdumpはLinuxで簡単に動かせるパケットキャプチャのソフトウェアです。
様々な種類のパケット情報をキャプチャすることができますが、セキュリティ攻撃を自動的に検出する機能は備わっていません。