[LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ
tnishita2
投稿数: 123
他のユーザーの投稿が埋もれてしまわないよう、主題「ネットワークセキュリティ」でまとめて投稿します。
■問題ID : 10502,10505,10512,10513など
tcpdump のオプション表にて
> -n ホスト名ではなくIPアドレスを表示する
> -nn プロトコルやポート番号なども変換なしに表示する
とありますが、今時のtcpdump では
> https://www.tcpdump.org/manpages/tcpdump.1.html
> -n Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
のように-n だけですべて数値で表示します。-nn の説明はありません。
昔は-nn オプションがあったことと思います。例えば参考URL にある
https://linux.die.net/man/8/tcpdump
には-nn の説明があります。
※ しかしこのlinux.die.net のman にはいつの/どのバージョンの情報なのかが示されておらず、私はこのサイトのman は参考にしないことにしています。
いつの/どのバージョンのtcpdump なら-nn オプションが存在したかですが、明確に遡れたのは2000-07-21リリースのtcpdump 3.5.0まででした。しかし20年以上前の
https://github.com/the-tcpdump-group/tcpdump/blob/tcpdump-3.5/tcpdump.1
でさえ、もう-nn オプションはありません。なお、LPIC 303試験の開始は2007年1月29日だそうです。
そこで提案ですが、-nn オプションはLPIC 303対策として説明・出題しなくてもよいのではないでしょうか。
また皆さんに質問ですが、-nn オプションが存在したtcpdump のバージョン例をご存じでしたら情報提供いただけると参考になります。
※ 問題ID 10512はコマンド画像にも-nn 指定あり。
■問題ID : 10529
「snortプロセスを再起動したとき」が正解とされていますが、「snortプロセスがルールファイルを再読み込みするとき」も
正解だと思うのですが、いかがでしょうか。snort プロセスを再起動すると、それによってsnort プロセスがルールファイルを再読み込みするときが発生するから変更が反映されるのであって、むしろ「snortプロセスがルールファイルを再読み込みするとき」のほうが本質的回答のようにも思えます。
■問題ID : 10794など
問題ID : 10794のほか、10793,10795,10805など多数に影響するトピックです。
> iptablesにおいて、テーブルと使用可能なチェインは以下のように定められています。
> (中略)
> ◎nat ... OUTPUT、PREROUTING、POSTROUTING
とありますが、手元のUbuntu 20.04 でman iptables を確認したところ、nat テーブルはデフォルトで4つ、PREROUTING, INPUT, OUTPUT, POSTROUTING で構成される、とあります。よってINPUT も正解です。
興味深いのは、「ここ数年でINPUT も使えるようになったようですが、最新の事情に少し追い付いていなかっただけのこと。LPIC のような資格試験では最新の事情ではなく、問題作成時の事情に合わせて回答すべき」というよくある話ではなく、どうやら相当前(10年以上前)からINPUT も使えたようなのです。
iptables 1.6.1(2017-01-27リリース)で、以下のコミットがリリースされましたが、
https://git.netfilter.org/iptables/commit/?id=d7b813f0a097f81c5781a6a6f08c1d41a4affead
これはman の記述が間違っていたのを直しただけで、nat のINPUT 自体はずっと前から使用できて、man iptables-extensions には前から書いてあった、とあります。そこを確認してみると、
> Kernels prior to 2.6.36-rc1 don't have the ability to SNAT in the INPUT chain.
とあり、カーネル2.6.36-rc1は2010-08-15リリースですので、10年以上前の話です。
「nat テーブルではINPUT チェインは使えない」という間違った情報が広まってしまった残念な事例ということになると思いますが、訂正・補足しておいたほうがよいかもしれません。資格試験出題者側も、もしこのことにまだ気づいておらず問題ID 10794のような出題を続けているなら、情報のアップデートを期待したいです。
■問題ID : 10527
質問です。
> iptables -A INPUT -p tcp -s 192.168.10.1 -d 10.0.0.8 --dport 22 -j ACCEPT
に対し
> 本設定により、192.168.10.1からローカルホストへ送信されたパケットを、10.0.0.8のポート22へ中継(転送)することが可能になります。
と解説にあります。中継(転送)するにはINPUT ではなくFORWARD が必要だと思っていたのですが、このコマンドによりINPUT でも中継(転送)できるのでしょうか。
■問題ID : 10532
解説に
> その他の選択肢のオプション「-s」「--sport」「-i」「-o」については上表を参照してください。
> それ以外の選択肢のようなオプションはありません。
とありますが、-D オプションと-S オプションはiptables に存在します。「ルールで用いられるオプション」にはないという意味での記述でしょうか。
■問題ID : 10502,10505,10512,10513など
tcpdump のオプション表にて
> -n ホスト名ではなくIPアドレスを表示する
> -nn プロトコルやポート番号なども変換なしに表示する
とありますが、今時のtcpdump では
> https://www.tcpdump.org/manpages/tcpdump.1.html
> -n Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
のように-n だけですべて数値で表示します。-nn の説明はありません。
昔は-nn オプションがあったことと思います。例えば参考URL にある
https://linux.die.net/man/8/tcpdump
には-nn の説明があります。
※ しかしこのlinux.die.net のman にはいつの/どのバージョンの情報なのかが示されておらず、私はこのサイトのman は参考にしないことにしています。
いつの/どのバージョンのtcpdump なら-nn オプションが存在したかですが、明確に遡れたのは2000-07-21リリースのtcpdump 3.5.0まででした。しかし20年以上前の
https://github.com/the-tcpdump-group/tcpdump/blob/tcpdump-3.5/tcpdump.1
でさえ、もう-nn オプションはありません。なお、LPIC 303試験の開始は2007年1月29日だそうです。
そこで提案ですが、-nn オプションはLPIC 303対策として説明・出題しなくてもよいのではないでしょうか。
また皆さんに質問ですが、-nn オプションが存在したtcpdump のバージョン例をご存じでしたら情報提供いただけると参考になります。
※ 問題ID 10512はコマンド画像にも-nn 指定あり。
■問題ID : 10529
「snortプロセスを再起動したとき」が正解とされていますが、「snortプロセスがルールファイルを再読み込みするとき」も
正解だと思うのですが、いかがでしょうか。snort プロセスを再起動すると、それによってsnort プロセスがルールファイルを再読み込みするときが発生するから変更が反映されるのであって、むしろ「snortプロセスがルールファイルを再読み込みするとき」のほうが本質的回答のようにも思えます。
■問題ID : 10794など
問題ID : 10794のほか、10793,10795,10805など多数に影響するトピックです。
> iptablesにおいて、テーブルと使用可能なチェインは以下のように定められています。
> (中略)
> ◎nat ... OUTPUT、PREROUTING、POSTROUTING
とありますが、手元のUbuntu 20.04 でman iptables を確認したところ、nat テーブルはデフォルトで4つ、PREROUTING, INPUT, OUTPUT, POSTROUTING で構成される、とあります。よってINPUT も正解です。
興味深いのは、「ここ数年でINPUT も使えるようになったようですが、最新の事情に少し追い付いていなかっただけのこと。LPIC のような資格試験では最新の事情ではなく、問題作成時の事情に合わせて回答すべき」というよくある話ではなく、どうやら相当前(10年以上前)からINPUT も使えたようなのです。
iptables 1.6.1(2017-01-27リリース)で、以下のコミットがリリースされましたが、
https://git.netfilter.org/iptables/commit/?id=d7b813f0a097f81c5781a6a6f08c1d41a4affead
これはman の記述が間違っていたのを直しただけで、nat のINPUT 自体はずっと前から使用できて、man iptables-extensions には前から書いてあった、とあります。そこを確認してみると、
> Kernels prior to 2.6.36-rc1 don't have the ability to SNAT in the INPUT chain.
とあり、カーネル2.6.36-rc1は2010-08-15リリースですので、10年以上前の話です。
「nat テーブルではINPUT チェインは使えない」という間違った情報が広まってしまった残念な事例ということになると思いますが、訂正・補足しておいたほうがよいかもしれません。資格試験出題者側も、もしこのことにまだ気づいておらず問題ID 10794のような出題を続けているなら、情報のアップデートを期待したいです。
■問題ID : 10527
質問です。
> iptables -A INPUT -p tcp -s 192.168.10.1 -d 10.0.0.8 --dport 22 -j ACCEPT
に対し
> 本設定により、192.168.10.1からローカルホストへ送信されたパケットを、10.0.0.8のポート22へ中継(転送)することが可能になります。
と解説にあります。中継(転送)するにはINPUT ではなくFORWARD が必要だと思っていたのですが、このコマンドによりINPUT でも中継(転送)できるのでしょうか。
■問題ID : 10532
解説に
> その他の選択肢のオプション「-s」「--sport」「-i」「-o」については上表を参照してください。
> それ以外の選択肢のようなオプションはありません。
とありますが、-D オプションと-S オプションはiptables に存在します。「ルールで用いられるオプション」にはないという意味での記述でしょうか。
投稿ツリー
-
[LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ
(tnishita2, 2021-6-15 23:03)
- Re: [LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ (staff_khira0410, 2021-6-16 14:29)
-
Re: [LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ
(tnishita2, 2021-6-16 19:29)
- Re: [LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ (staff_khira0410, 2021-6-17 9:07)
- Re: [LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ (tnishita2, 2021-6-17 19:06)