ゴロ。

16 10 2010

にごった(25)しるこ(465)、医師さん(143)救急車(993)、110番は救急後(995)

広告




SCで覚えた方がよさげなポート番号

30 09 2010
20 ftp-data tcp Ftpデータ転送用
21 ftp tcp Ftp制御用
25 smtp tcp メール送信とか
53 domain udp DNS
80 http tcp Web
110 pop3 tcp メール受信
465 tcp SMTPS(SSL/TLS)
995 tcp POP3S(SSL/TLS)
22 tcp SSH
23 tcp Telnet
500 udp IKE




私的メモ ついったーでの会話傍聴

24 09 2010
  • RT @ray_nivea: @webdevjp @flavorless そういえば、そういう視点で見てなかったんですが、DMZは普通プライベート、グローバルどちらを割り当てるんですか?それこそ、運用次第?プライベートにして、静的NATを行ってるのかな。
  • RT @Flavorless: @webdevjp あ、あれ?今更レス追い直してみたけど、ray_niveaさんの疑問はDMZのメールサーバ→MH間でFWでNATされない理由なんでしたっけ…P238の3行目は、内部メールサーバ→DMZのメールサーバの間にFWが入ってないから、それのことずっと言ってたや…
  • RT @webdevjp: @ray_nivea @Flavorless 例の午後問ですが、メールサーバーはグローバルIPなのでFWでNATしない。一方でプロキシサーバーはプライベートIPなのでFWでNATする。でどうでしょう・・
  • RT @ray_nivea: @Flavorless FWがプライベートかどうかをチェックしてるということですね。うーむ、私にはまだその読みがまだ出来ない・・・頑張らなきゃです。
  • RT @Flavorless: 自分みたいな素人的には、FWっていうとどうしてもPFWが浮かぶからNATと結びつきにくいけど、H/WなFWってNATがキモって言いますよね。
  • RT @Flavorless: @ray_nivea 思うんで、書いてない(よね?)だけでプライベートアドレス振ってあって、プライベートが宛先だからnatしないっていう話じゃないですかねぇ…んで持ってるグローバルアドレスで外向けに送信、かなぁ。自信ないけど。
  • RT @Flavorless: @ray_nivea とりあえずfwはnatる機械なんで、プライベートで入って、でる側にグローバルあてがってあったらnatと見なきゃならないんでしょうね。じゃないとでられないし。んでメールサーバのほうなんですけど、dmzのサーバにプライベート振ってないってこと普通無いと(続く)
  • RT @ray_nivea: @Flavorless NATが行われる条件がわからなくなってきました・・・問題にNATが行われる、書いてある場合は大丈夫ですが、それ以外にNATが行われるなんて・・・
  • RT @Flavorless: @ray_nivea ごめんなさいごめんなさい!立ち読みしてみたらやぱ公式の問題と全然違うですね!で自分も同じ疑問が…fwのmh側にグローバルipアドレスが振ってあるからnatは自明かもしれません。ならなんでdmz行くときはしないのかな??助けてwebdevjpさーん!!
  • RT @Flavorless: @ray_nivea ごめんなさいWebサーバの話じゃなかた、午後対策の問題って改題なのかな…前提文が同じなら、メールサーバのIP1-3はプライベートアドレスなんで、MHでアドレス交換されるんでしょうけど、いずれにしてもFWは何も触ってない気がします。
  • RT @ray_nivea: @Flavorless 今までは、NAT機能を持つ、と書かれた装置でのみNATを考慮していました。そうじゃないケースもあるのかなぁ。
  • RT @ray_nivea: @Flavorless おはようございます。ありがとうございます。じゃあ、逆にプロキシサーバからインターネットへ出る時にFWでNATが行われるのは、FWとしては当たり前なんでしょうかFWでNATが行われると問題には明記されてないような・・・
  • RT @Flavorless: @ray_nivea ちょと問題見てみましたけど、ファイアウォールはNATを行う以外で基本的にIPアドレスいじりませんよね。WebサーバはグローバルIPアドレスを持っていますし、何もしないのでは?どのレイヤでの疑問かわからないので的外れかもしれませんが。
  • RT @ray_nivea: @webdevjp ?どうしてFWを通るのに、IPは変わらないんでしょう。
  • RT @webdevjp: @ray_nivea あれれ。これはファイヤーウォール通ると思います。ただ、この場合は通ってもNATによるアドレス変換は行われません。
  • RT @ray_nivea: @webdevjp 3行目です。メールサーバ→MH-1っていうところです。
  • RT @webdevjp: @ray_nivea P238の何行目の解説ですか?
  • RT @ray_nivea: @webdevjp P.236のプロキシサーバから外部Webサーバへの送信でFWで送信元IPが変わるのは理解出来るのですが・・・ DMZのサーバ群とファイアウォールは同じセグメントだから、ファイアウォールは通らないってことでしょうか? NW初心者的な質問ですいません。
  • RT @ray_nivea: @webdevjp ピンポイントで質問してすいません。重点対策H15午後II問1を解いてます。P.238の解説なんですが、どうして、DMZのメールサーバからMHに行く場合、ファイアウォールを通らないのでしょう?DMZってそういうものですか?問題をよく読んだのですが理解できず・・・

http://www.tomnetwork.net/zyousyo/kakomon/15211.htm

http://www.tomnetwork.net/zyousyo/kakomon/15212.htm





LBについて私的メモ

8 09 2010
  • RT @webdevjp: あ、ごめん。これ、こういう問題が多いってことではなくて、現実にはってことね。RT @webdevjp: @wizard_paso LBがSSLアクセラレータ兼ねる場合もあるね。というかその方が多いかも?NWとSCのコラボって楽しいねw
  • RT @webdevjp: @wizard_paso LBがSSLアクセラレータ兼ねる場合もあるね。というかその方が多いかも?NWとSCのコラボって楽しいねw
  • RT @webdevjp: @wizard_paso LBのものによってL4だったりL7だったりするみたいー。セッションの留意点もよくみるね http://bit.ly/aABWEe
  • RT @Flavorless: @webdevjp あー、あーあー…なるほど…件の問題では、セッション維持にレイヤ3方式を使うとあります。これがすんごい大きなポイントだったんですね。助かりましたありがとうございます>< やっぱ問題はきちんと読まないと!
  • RT @Flavorless: @webdevjp やっぱそうですかー。LB自体の可用性upを考えるんですねえ普通は。件の問題では、LB落ちてもLBが経路上にあるわけじゃないから、手動でDNSのホストに登録してあるIPアドレスをLB→サーバに変えることで安心だぜ!みたいな話っぽいです。
  • RT @webdevjp: @Flavorless これはLBの実装や設定にもよると思います(口癖)。LBがL7でリバースプロキシみたいなノリで負荷分散するのであれば、TCPコネクションは「PCとLB」「LBとサーバー」にそれぞれできるので、サーバーの戻りパケットが直接PCにはいかないはずです。
  • RT @webdevjp: @Flavorless LBにNIC2マイで─[LB]─[サーバ] がよくあるんだと思います。可用性上げるためにはLB自体を二重化とか・・ RT @Flavorless: 普通はLBってどの位置に設置するんだろ。LB経由しないとサーバに到達できないような─[LB]─[サーバ]
  • RT @Flavorless: H21NW午後1問3の要約ですけど、サーバのホスト名をLBのIPアドレスにして、LAN内PC→LB→サーバとして負荷分散わっほいしようとしたら、返信パケットがLB経由しなかったから、送信先IPアドレス(LB)と違うIPアドレス(サーバ)から返信来てパケ捨てちゃったゾ☆みたいな。
  • RT @wizard_paso: どの層で動くのやらもわかってないっすw Webサーバとの間にLB挟むとセッションがどうたらーって問題はみた気がする RT @webdevjp: それはちがうとおもうぞー RT @wizard_paso: 俺の頭はLB=NAPT RT @Flavorless: 普通はLBってどの位
  • RT @webdevjp: それはちがうとおもうぞー RT @wizard_paso: 俺の頭はLB=NAPT RT @Flavorless: 普通はLBってどの位置に設置するんだろ。LB経由しないとサーバに到達できないような─[LB]─[サーバ] みたいなが普通だと思ってたからイマイチ頭まわんなかった
  • RT @Flavorless: @webdevjp うーん?あれ?これの(3)がサブネットなんですけど…あんまよくわかってない http://rosacyanin.jp/content/jitec/pm.html?nw21133
  • RT @wizard_paso: 俺の頭はLB=NAPT RT @Flavorless: 普通はLBってどの位置に設置するんだろ。LB経由しないとサーバに到達できないような─[LB]─[サーバ] みたいなが普通だと思ってたからイマイチ頭まわんなかったんだけど、LBの障害考慮してふつうに並べてつなぐのもよくあるんだ
  • RT @Flavorless: 普通はLBってどの位置に設置するんだろ。LB経由しないとサーバに到達できないような─[LB]─[サーバ] みたいなが普通だと思ってたからイマイチ頭まわんなかったんだけど、LBの障害考慮してふつうに並べてつなぐのもよくあるんだろうか。
  • RT @webdevjp: LBバランサを入れると証明書の数が少なく済むけど、使用権の数え方は提供元によってちがうぽ?
  • RT @webdevjp: んんんん
  • RT @webdevjp: そうなんですか?LBとサーバの間に新たにTCPコネクションはるから関係ないと思っていたのですが・・  RT @Flavorless: ロードバランサを行き来とも経由する形に設置する場合って、LBをサーバのデフォルトゲートウェイにして、アクセスがデフォルトゲートウェイ行きになるよ
  • RT @Flavorless: んんん
  • RT @Flavorless: ロードバランサを行き来とも経由する形に設置する場合って、LBをサーバのデフォルトゲートウェイにして、アクセスがデフォルトゲートウェイ行きになるようなサブネットマスクの設定が必須なんだね。そういや帰りはどうやってLB経由にするんだろうとか思った。H21NW午後1問3




めも

5 09 2010
  • LDAP(Lightweight Directory Access Protocol)
    軽量の ディレクトリ(ユーザ情報など)に アクセスする 規格

    SSOを導入するためにはユーザ情報の一元管理化が必要。そこで必要になってくるのがユーザ情報などを渡す仕組みなのさー
    POPで受信する際のパスワードを変えるとポータルサイトへのアクセスパスワードも一緒に変えられるみたいな(たぶん)

  • PKI(Public Key Infrastructure)
    公開の 鍵の 基盤

    俗にいわれる公開鍵基盤だ。

  • XAUTH(Extended Authentication within IKE)
    拡張された 認証 IKEでの

    IKE(Internet Key Exchange)はIPsecで使う鍵交換プロトコル。
    17年NW午後1-1では、"IKEを拡張することで認証部分にワンタイムパスワードを使い,利用者単位の認証が可能"なプロトコルとある

  • RADIUS(Remote Authentication Dial In User Service)
    リモート 認証 ダイヤルアップでの ユーザサービスの

    名前にあるように元々はダイヤルアップ用

  • DHCP(Dynamic Host Configuration Protocol)
    ダイナミックホストを 設定する 規格
  • IDS(Intrusion Detection System)
    侵入 検知 システム
    なお,DはCSMA/CDのDと同じ
  • IPS(Intrusion Prevention System)
    進入 防御 システム




午後IIの出題内容

1 09 2010

22年春SC1
[認証],SSH,フィンガプリント,ACL,DNSキャッシュポイズニング,DNSSEC送信ドメイン認証,SPF,オープンリゾルバ

22年春SC2
[事故],[攻撃],プライバシーマーク,JPCERT/CC,ログ,PGP,ステルススキャン,ディレクトリトラバーサル,HTMLメソッド,IPS,フォレンジック

21年秋SC1
[アクセス制御],[認証],LDAP,SSO,SAML2.0,RBAC

21年秋SC2
[物理的セキュリティ],SIP,ACL,IEEE802.1X

21年春SC1
[認証],2010年問題,リモート接続,公開鍵証明書,署名,CA,鍵の取り扱い,プライベートCA

21年春SC2
[規格],PCIDSS,ISMS,ISO/IEC27001,ICカード,マネジメントレビュー,ポートスキャン検査,ペネトレーションテスト,リスク,WAF

20年春SV1
[攻撃],[セキュアプログラミングperl],認可制御,ログ解析,SQLインジェクション,ディレクトリトラバーサル,エスケープ処理

20年春SV2
[認証],[暗号化],[無線LAN],ダイジェスト認証,認可制御,SSL,SSO,IEEE802.1X,EAP,Cookie,PKI,ICカード

18年春SV2
[認証],[暗号化],[セキュアプログラミングperl],S/MIME,証明書,SSL,base64

17年秋SU1
[法律],[認証]e-文書法,電子帳簿,タイムスタンプ

16年秋SS2
[事業継続計画],リスク,バックアップ





午後の定番問題

27 08 2010
  1. パスワードを暗号化して送信しても無駄なのはなぜ?[14秋SS1-4][19春SV1-3]
    ・リプレイアタックにより攻撃される
    →ワンタイムパスワードの使用
  2. クエリストリングに情報を載せることによる脆弱性は?[21春SC1-2]
    ・Refererヘッダによる外部へのセッション情報流出
    →Cookie,hiddenフィールドの使用
    ・Webサーバのアクセスログで入力データが読み取られる
    →Cookie,hiddenフィールドの使用
  3. FWのフィルタリングではWebサーバに対する攻撃を防ぎきれないのはなぜ?[19春SV1-2]
    ・パケットのペイロードまで検査していないため
    →WAF,ステートフルインスペクションを使用
  4. 監査ログの機能は?[19春SV1-3]
    ・利用者の認証やアクセス制御のすべての動作を記録し,その記録の有効性を確認できる
    ・後日の監査においてITによる統制が正しく遂行されたことを確認できる
    →"イベントを記録する"は×。これは目的ではない(講評より
  5. ログの改ざんを防ぐ・検知するには?[16秋SU1-2][19春SV1-3]
    ・ログサーバを設け,ログを送信する
    →比較することで改ざんを検知できるだけでなく,バックアップにもなる
    ・ハッシュをとる
  6. rootkitはどうやって自分を隠す?[20春SV1-1]
    ・システムコールを横取りして,その応答を偽装する
  7. ウイルスがウイルス対策ソフトによる検知を難しくする仕組みは?[20春SV1-1]
    ・頻繁に自身のコードを更新する
  8. MD5など有名なハッシュ関数を用いてパスワードをハッシュ化していると,
    レインボーテーブル等を使ってハッシュからパスワードを突き止められる可能性がある。その対処法は?[21春SC1-3]
    ・鍵付きハッシュ関数を用いる。
    ・元の文字列にソルトなどの文字列を連結してからハッシュ化する
  9. 第三者からのアクセスを阻止するためにアクセス権限はどうする?[21春SC1-2][20春SV2-1]
    ・必要最小限にする(最小権限の原則)
  10. ログサーバが満たすべき条件は?[16秋SS1-2]
    27002:2006
    ・ログの完全性
    ・時刻同期
    (・システム資源の監視)
  11. アカウントを共有することによるリスクは?[16秋SS1-2][17秋SU1-3]
    ・障害や事件発生時に個人を特定できない
  12. DHCPを用いた検疫ネットワーク構築の注意点は?
    ・IPアドレスを手動設定されると検疫できない
    →ARPパケットを受け取ったら検疫鯖は偽MACを返して妨害する
    →ゲートウェイのACLを変更し,許可された端末のみがGWを超えられるようにする