情報セキュリティスペシャリスト対策

情報セキュリティスペシャリスト対策 https://ameblo.jp/security-specialist/ 情報セキュリティスペシャリスト試験の合格に必要な知識をまとめます ja 不正侵入 - 侵入者が権限昇格を行う目的侵入者は、システムに侵入後、システム管理者の権限の乗っ取りにつながる権限昇格を試みる。

----
Point
侵入者が権限昇格を行う目的は
　　”ログに残った不正侵入の痕跡を消去するため”
である。

[END]
]]> https://ameblo.jp/security-specialist/entry-10470068875.html Sun, 28 Feb 2010 15:14:49 +0900 不正侵入 - SYSLOGサーバに対する攻撃と対策 SYSLOGサーバは、バリアセグメント及び社内LANの各サーバとFWから出力されたログを、UDPポート番号514で受け取り、すべて格納する。
下表は、FWで許可されている通信内容である。

プロトコル	送信元		宛先
プロトコル	IPアドレス	ポート番号	IPアドレス	ポート番号
TCP	社内メールサーバ	任意	社外メールサーバ	25
TCP	社外メールサーバ	任意	社内メールサーバ	25
UDP	バリアセグメント	任意	NTPサーバ	123

----
Point1
現状のままでは、SYSLOGサーバへのセキュリティ上の脅威が２つ存在する。
それは、
　　”SYSLOGの内容の改ざん”
　　”インターネットからのDoS攻撃によるsyslogサービスの停止”
である。これらは、SYSLOGサーバをバリアセグメント上から社内LAN上に移設することにより解決する。

Point2
上記の移設後に、FWに追加で許可するSYSLOGサーバに関する通信内容は

プロトコル	送信元		宛先
プロトコル	IPアドレス	ポート番号	IPアドレス	ポート番号
UDP	バリアセグメント	任意	SYSLOGサーバ	514

である。

Point3
上記の移設後も、ログに対する脅威が残る。
その脅威は、
　　”SYSLOGサーバにログが集中した場合に転送時のログの欠落が生じる”
である　（UDPによる転送のためログの取りこぼしがあるため）。

[END]
]]> https://ameblo.jp/security-specialist/entry-10470068616.html Sun, 28 Feb 2010 15:13:56 +0900 不正侵入 - ログのあふれ対策あるサーバでは、ログファイルの出力方法として
『ディスクに空き容量がある限り、無制限に単一ファイルに書き込みを続ける』
という方法を採っている。

----
Point１
この方法では、
”ログファイルのオーバーフローを利用した攻撃によるログ情報の消失”
という脅威が想定される。

Point２
上記の脅威に備え、ログファイルの出力において考慮すべき事項は
”最適なログ出力項目を決定する”
ということであり、これにより
”大量のログ情報の採取に伴なう、重要な警告や不審な挙動の見落とし”
という問題が同時に解決できる。

Point３
ログファイルの出力方法を見直し、ログの定期的なローテーションを行いたい。
ログのローテーションの方法は、
”一つのログファイルに、サイズや期間の条件を指定し、複数世代のログファイルを保持する”
ことである。

[END]
]]> https://ameblo.jp/security-specialist/entry-10470067311.html Sun, 28 Feb 2010 15:10:59 +0900 このブログについて
当ブログでは、私が今春（または今秋）に受験予定の
　　情報処理技術者試験　区分：情報セキュリティスペシャリスト
に合格するために必要だと思われる前提知識について綴っています。

自分のための備忘録ですが、いろんな方に見ていただけると嬉しいです。

[END]
]]> https://ameblo.jp/security-specialist/entry-10470081545.html Sun, 28 Feb 2010 14:34:51 +0900