[LPIC 303][ネットワークセキュリティ] 指摘・質問 まとめ

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 | 投稿日時 2021-6-15 23:03 | 最終変更
tnishita2  長老   投稿数: 123
他のユーザーの投稿が埋もれてしまわないよう、主題「ネットワークセキュリティ」でまとめて投稿します。

■問題ID : 10502,10505,10512,10513など

tcpdump のオプション表にて

> -n ホスト名ではなくIPアドレスを表示する
> -nn プロトコルやポート番号なども変換なしに表示する

とありますが、今時のtcpdump では

> https://www.tcpdump.org/manpages/tcpdump.1.html
> -n Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.

のように-n だけですべて数値で表示します。-nn の説明はありません。

昔は-nn オプションがあったことと思います。例えば参考URL にある

https://linux.die.net/man/8/tcpdump

には-nn の説明があります。

※ しかしこのlinux.die.net のman にはいつの/どのバージョンの情報なのかが示されておらず、私はこのサイトのman は参考にしないことにしています。

いつの/どのバージョンのtcpdump なら-nn オプションが存在したかですが、明確に遡れたのは2000-07-21リリースのtcpdump 3.5.0まででした。しかし20年以上前の
https://github.com/the-tcpdump-group/tcpdump/blob/tcpdump-3.5/tcpdump.1
でさえ、もう-nn オプションはありません。なお、LPIC 303試験の開始は2007年1月29日だそうです。

そこで提案ですが、-nn オプションはLPIC 303対策として説明・出題しなくてもよいのではないでしょうか。
また皆さんに質問ですが、-nn オプションが存在したtcpdump のバージョン例をご存じでしたら情報提供いただけると参考になります。

※ 問題ID 10512はコマンド画像にも-nn 指定あり。

■問題ID : 10529

「snortプロセスを再起動したとき」が正解とされていますが、「snortプロセスがルールファイルを再読み込みするとき」も
正解だと思うのですが、いかがでしょうか。snort プロセスを再起動すると、それによってsnort プロセスがルールファイルを再読み込みするときが発生するから変更が反映されるのであって、むしろ「snortプロセスがルールファイルを再読み込みするとき」のほうが本質的回答のようにも思えます。

■問題ID : 10794など

問題ID : 10794のほか、10793,10795,10805など多数に影響するトピックです。

> iptablesにおいて、テーブルと使用可能なチェインは以下のように定められています。
> (中略)
> ◎nat ... OUTPUT、PREROUTING、POSTROUTING

とありますが、手元のUbuntu 20.04 でman iptables を確認したところ、nat テーブルはデフォルトで4つ、PREROUTING, INPUT, OUTPUT, POSTROUTING で構成される、とあります。よってINPUT も正解です。

興味深いのは、「ここ数年でINPUT も使えるようになったようですが、最新の事情に少し追い付いていなかっただけのこと。LPIC のような資格試験では最新の事情ではなく、問題作成時の事情に合わせて回答すべき」というよくある話ではなく、どうやら相当前(10年以上前)からINPUT も使えたようなのです。

iptables 1.6.1(2017-01-27リリース)で、以下のコミットがリリースされましたが、

https://git.netfilter.org/iptables/commit/?id=d7b813f0a097f81c5781a6a6f08c1d41a4affead

これはman の記述が間違っていたのを直しただけで、nat のINPUT 自体はずっと前から使用できて、man iptables-extensions には前から書いてあった、とあります。そこを確認してみると、

> Kernels prior to 2.6.36-rc1 don't have the ability to SNAT in the INPUT chain.

とあり、カーネル2.6.36-rc1は2010-08-15リリースですので、10年以上前の話です。

「nat テーブルではINPUT チェインは使えない」という間違った情報が広まってしまった残念な事例ということになると思いますが、訂正・補足しておいたほうがよいかもしれません。資格試験出題者側も、もしこのことにまだ気づいておらず問題ID 10794のような出題を続けているなら、情報のアップデートを期待したいです。

■問題ID : 10527

質問です。

> iptables -A INPUT -p tcp -s 192.168.10.1 -d 10.0.0.8 --dport 22 -j ACCEPT

に対し

> 本設定により、192.168.10.1からローカルホストへ送信されたパケットを、10.0.0.8のポート22へ中継(転送)することが可能になります。

と解説にあります。中継(転送)するにはINPUT ではなくFORWARD が必要だと思っていたのですが、このコマンドによりINPUT でも中継(転送)できるのでしょうか。

■問題ID : 10532

解説に

> その他の選択肢のオプション「-s」「--sport」「-i」「-o」については上表を参照してください。
> それ以外の選択肢のようなオプションはありません。

とありますが、-D オプションと-S オプションはiptables に存在します。「ルールで用いられるオプション」にはないという意味での記述でしょうか。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2021-6-16 14:29
staff_khira0410  長老   投稿数: 46
tnishita2 さん

ご指摘の点を修正いたしました。
ご報告、誠にありがとうございました。
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2021-6-16 19:29
tnishita2  長老   投稿数: 123
さっそくのご対応ありがとうございます。確認した結果を補足させていただきます。

■問題ID : 10502,10505,10512,10513など

表は直していただいたのですが、問題ID 10502のコマンド図にまだ-nn の説明が残っています。

また、-n の説明が「ホスト名ではなくIPアドレスを表示する」のままですが、-nn 廃止に伴って-n の意味も少々変わっております。

> -n  Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.

を踏まえ、ポート番号に関しても言及いただけるとよいかもしれません。

■問題ID : 10527

特に対応なしということで、引き続き皆さんからの回答を募集中です。

■問題ID : 10532

特に対応なしということで、「ルールで用いられるオプション」にはないという意味での記述だと理解しました。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2021-6-17 9:07
staff_khira0410  長老   投稿数: 46
tnishita2 さん

ご指摘の点を修正いたしました。
ご報告、誠にありがとうございました。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2021-6-17 19:06
tnishita2  長老   投稿数: 123
ご対応ありがとうございます。確認しました。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.