情報安全管理支援士受かった。

プロジェクト忙しくて4年かかったけど。
なんでしょう。ノー勉でうかるという。

さくらVPSにオレオレ証明書を設定する方法

itpro.nikkeibp.co.jp

CSR(証明書お申込みデータ)の作成|Cybertrust.ne.jp

f:id:kenta_everyday:20170730205752p:plain

前準備

インストー
yum install openssl *opensslのコマンド使うため
yum install mod_ssl *ssl使用するため

鍵の作成

秘密鍵の作成
openssl genrsa -aes128 1024 > /etc/httpd/conf/server.key
Generating RSA private key, 1024 bit long modulus
......++++++
..++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:

openssl rsa -text < /etc/httpd/conf/server.key

CSR(Certificate Signing Request)の作成 公開鍵の作成

CSR(Certificate Signing Request)とは、SSLサーバ証明書を発行するための証明書署名要求のことです。CSRには公開鍵の情報と、組織名や所在地等の情報(Distinguished Name=識別名)が含まれており、提出されたCSRにサーバ認証機関の署名を行い、サーバ 証明書として発行します。

openssl req -new -key /etc/httpd/conf/server.key > /etc/httpd/conf/server.csr
サーバ証明書の作成

自己書名ではプライベートCAを使って、サーバ証明書(server.crt)を発行する。
・x509 :X.509形式の証明書を作成する。
・-in CSRファイル:CSRファイルを指定する。
・-days 日数   :証明書の有効期限を指定する。
・-req :入力ファイルがCSRファイルであることを明示する。
・-signkey :事故証明書作成時に使用するオプション。秘密鍵ファイルを指定する。

openssl x509 -in /etc/httpd/conf/server.csr -days 36500 -req -signkey /etc/httpd/conf/server.key > /etc/httpd/conf/server.crt
mv /etc/httpd/conf/server.key /etc/httpd/conf/server.key.bak
openssl rsa -in /etc/httpd/conf/server.key.bak > /etc/httpd/conf/server.key

サーバの設定

sslのサーバ設定

追記:2017/07/29
気づくと当たり前なのだけど、、httpdのrestartが出来なくなった。
原因は、ssl.confに既存のlocalhost.keyとlocalhost.crtが残っているから。コメントアウトする必要あり。

[root@ik1-313-16875 etc]# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd:                                            [FAILED]

[root@ik1-313-16875 etc]#
[Sat Jul 29 16:38:39 2017] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sat Jul 29 16:38:39 2017] [error] Init: Multiple RSA server certificates not allowed

/etc/httpd/conf.d/ssl.conf
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
vi /etc/httpd/conf.d/ssl.conf
<VirtualHost _default_:443>以下に
SSLCertificateFile /etc/httpd/conf/server.crt
SSLCertificateKeyFile /etc/httpd/conf/server.key
iptablesの設定

ファイアウォールiptablesを簡単解説~初心者でもよくわかる!VPSによるWebサーバー運用講座(4) - さくらのナレッジ

vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
service iptables restart
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]
httpd再起動
service httpd restart

メールシステム

送信

SMTP

SMTPの通信シーケンス

・実際にコマンドプロンプトから自分のSMTPサーバに接続して実践
※本当はHELOとかが出来るはずIPS網からだと25番のtelnetが出来ない??自分の端末に入った後なら出来た。
telnet入ってなかったので以下でインストール

sudo yum -y install telnet

※いつか解決するその際に使用するリンク
http://server-setting.info/centos/sendmail_relay_test_telnet.html
http://server-setting.info/centos/postfix-relay-error-point.html
http://www.geekpage.jp/technology/ip-base/mail-2.php
https://teratail.com/questions/8722

telnet XX.XXX.XX.XXX 25
$ telnet mailhost.com 25
Trying XXX.XXX.XXX.XXX...
Connected to mailhost.com.
Escape character is '^]'.
220 mailhost.com ESMTP Postfix
HELO mailhost.com
250 mailhost.com
MAIL FROM:userid@mailhost.com
250 2.1.0 Ok
RCPT TO:receiptment@mail.com
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
HELLO This is test mail
.
250 2.0.0 Ok: queued as 5DF3AA0433
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

受信側

メール受信拒否

SPF

・内容
・設定方法
※ホストのIPで記述
※ホスト名で記述
※ネットワークで記述
・設定確認
・参考情報
IPA
http://www.ipa.go.jp/security/topics/20120523_spf.html

DKIM

・内容
・設定方法
http://cui.tokyo/2361
・参考情報

メールヘッダー情報

ヘッダーの見方

スパムメール

スパム度
算出方法

・キーワードマッチング
ヒューリスティック
ベイジアン

各種プロトコル

APOP

・内容
脆弱性
・現実

DNSに対する攻撃

DNS

DNSとは

Domain Name Systemの略
IPアドレスとDomainを紐付け、ドメインでのアクセスを可能にする仕組みのこと。

Domain(ドメイン)とは

領域・領土と訳される。
インターネット上の住所のこと。
.comとか.jpとかのことだが、一般的にいうと青字の部分がドメインと呼ばれる。
ex)

https://www.google.co.jp/

TLD(Top Level Domain)

.comとか.jpとかの部分。

FQDN(Fully Qualified Domain Name )完全修飾ドメイン

トップレベルドメインから以下すべてを含んだドメインのこと

https://www.google.co.jp/

ドメインの取得・登録方法

DNSサーバ

コンテンツサーバ

・役割

キャッシュサーバ

攻撃手法

キャッシュポイズニング

・内容
・対策
※Kaminsky Attack
・内容
・対策

DNSリフレクション(DNS amp)

・内容
・対策
・参考記事
www.atmarkit.co.jp

不正なゾーン転送

・内容
・対策

実践編

ドメイン検索

以下のサイトで検索するとこのような情報が出力される。
WHOIS検索 | ドメインの所有者情報を簡単検索 | すぐに使える便利なWEBツール | Tech-Unlimited

検索結果

hatena.ne.jp
[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Domain Information: [ドメイン情報]
a. [ドメイン名]                 HATENA.NE.JP
b. [ねっとわーくさーびすめい]   はてな
c. [ネットワークサービス名]     はてな
d. [Network Service Name]       hatena
k. [組織種別]                   ネットワークサービス
l. [Organization Type]          Network Service
m. [登録担当者]                 JK9494JP
n. [技術連絡担当者]             DT033JP
p. [ネームサーバ]               ns0.future-s.com
p. [ネームサーバ]               ns1.future-s.com
s. [署名鍵]                     
[状態]                          Connected (2017/03/31)
[登録年月日]                    2014/03/18
[接続年月日]                    2014/03/18
[最終更新]                      2016/04/01 01:11:34 (JST)

[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Contact Information: [担当者情報]
a. [JPNICハンドル]              JK9494JP
b. [氏名]                       近藤 淳也
c. [Last, First]                Kondo, Junya
d. [電子メイル]                 jpnic-apply@future-s.com
f. [組織名]                     株式会社はてな
g. [Organization]               Hatena Co., Ltd.
k. [部署]                        
l. [Division]                    
m. [肩書]                        
n. [Title]                       
o. [電話番号]                    
p. [FAX番号]                     
y. [通知アドレス]               jpnic-apply@future-s.com
[最終更新]                      2014/03/17 15:01:00 (JST)
                                form@dom.jprs.jp

[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Contact Information: [担当者情報]
a. [JPNICハンドル]              DT033JP
b. [氏名]                       谷孝 大
c. [Last, First]                Tanitaka, Dai
d. [電子メイル]                 jpnic-apply@future-s.com
f. [組織名]                     株式会社フューチャースピリッツ
g. [Organization]               Future Spirits Co.,Ltd
m. [肩書]                       代表取締役
n. [Title]                      President
o. [電話番号]                   075-326-3700
p. [FAX番号]                    075-326-7400
y. [通知アドレス]               jpnic-apply@future-s.com
[最終更新]                      2016/09/14 10:54:20 (JST)
                                form@dom.jprs.jp
コマンド

管理者のためのコマンド活用講座 - nslookup(1)――ドメイン情報を検索する:ITpro

nslookup google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
Name:   google.com
Address: 172.217.26.14

※TXTレコードの確認

nslookup -type=txt google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
google.com      text = "v=spf1 include:_spf.google.com ~all"

Authoritative answers can be found from:

※Aレコードの確認

nslookup -type=a google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
Name:   google.com
Address: 172.217.25.110

※MXレコードの確認

nslookup -type=mx google.com
Server:         133.242.0.3
Address:        133.242.0.3#53

Non-authoritative answer:
google.com      mail exchanger = 20 alt1.aspmx.l.google.com.
google.com      mail exchanger = 50 alt4.aspmx.l.google.com.
google.com      mail exchanger = 10 aspmx.l.google.com.
google.com      mail exchanger = 30 alt2.aspmx.l.google.com.
google.com      mail exchanger = 40 alt3.aspmx.l.google.com.

Authoritative answers can be found from:
DNSサーバの構築と運用そして攻撃実験

hosts

情報セキュリティスペシャリスト勉強法

過去問題の解き方ルール

時間を計測して解く

→→4→→0分/問 + 10分(バッファ)

プロセスチェック(時間)

→→→→問題に対しての時間のかけ方

プロセスチェック(言葉)

→→→→問題文中の言葉に変換する。
①設問を理解し、その答えに目途がついたなら、いったんそれを自分の言葉で表現する。
②字数が少ない場合5W1Hで膨らまないか考える
③その後、自分の言葉を問題文中に出てくる用語で置き換えられないかをチェックする。そのためには、問題文のマーク個所に目を通す
④これである程度字数が決まるので、設問の制限字数内に収まるように、不要な部分から優先的にカットしていく。

*** 解答・解説確認

①一言一句違ってなければ○、まったく番うのであれば×、よく似ているなら△
②根拠となる記述を発見出来た時。→OK 発見出来な時。→問題文の読み方、マークの仕方を改善する。
③解答表現の突合せを試験センターの解答と行う。
合っていれば→OK
間違っていれば→なぜその用語を使用しなかったのか、どのように他の用語を使用することを判断したのか。

情報セキュリティスペシャリスト

■必要勉強時間
550時間(情報セキュリティスペシャリスト 資格の難易度とランキング
2015/4/16をターゲットにすると。
1,2,3で、土日が24あるとすると、24*10でも240時間。
平日1時間*180で。420時間。
12月後半からでかなりギリギリ。。

使用した教材

アウトプット

以下の本を解く。午前Ⅱは重要なところだけ乗っていて便利。午後に関しても重要なものから順番に章立てされているので順番に解いていけばよい。

極選分析 情報処理安全確保支援士 予想問題集 (予想問題シリーズ)

極選分析 情報処理安全確保支援士 予想問題集 (予想問題シリーズ)

インプット

全体を広く学習することが出来る。

情報セキュリティスペシャリスト 合格テキスト 2016年度 (情報処理技術者試験対策)

情報セキュリティスペシャリスト 合格テキスト 2016年度 (情報処理技術者試験対策)

広く学習した内容を掘り下げるのに使える。
情報処理教科書 情報セキュリティスペシャリスト 2016年版

情報処理教科書 情報セキュリティスペシャリスト 2016年版

試験構成の把握と戦略・解答順番

午前Ⅰ  30問で50分

戦略

  応用情報処理を過去6年分解ければ問題ない。

午前Ⅱ  25問で40分

戦略

  情報セキュリティスペシャリスト過去問6年分解ければ問題ない。

午後Ⅰ  2問で90分 午後Ⅱ  3問から2問選択で120分

解答順番

・設問確認、問いに対する回答時間見積もり(5分)
・問いには対象のページ番号を記載する。
・残り35分以内で回答を行う。

午後Ⅰから入る。

理由:午前は所詮暗記、午後Ⅰの方式になれることと、午前Ⅱの内容も同時に勉強するため。
TACにのっとり
①合格テキスト
②ポイント集
③合格トレーニング
④模試
でやろうかとしたが、形式になれるためにまずは模試から行う。
そこで足りないものを①から③で吸収していくようにする。
としようとしたが、その前に
午後試験攻略テクニックというものがあるので、それを理解してから試験を行った。

■日々行ったこと
文字を読むことが少なくなっているのでリハビリがてら小説を読むことにした。
鼻の呼吸が難しいので呼吸できるようにした。

IPsecの仕組み - (3/3)Part1 オリエンテーション---LAN同士をつなぐために安全なトンネルを作る:ITpro
技術解説:IT管理者のためのIPSec講座 (1/3) - @IT
CCNAネットワーク基礎講座「IPSecって何?」 - YouTube


■POP
やってみよう!実験室 - 第1回 電子メールを送受信するSMTPとPOP3:ITpro
Windows 7 Telnetの設定 | AIRnet

■syslog
Linuxサーバ運用マニュアル
Linux管理者への道(3):システム管理の基礎 syslogdの設定をマスターしよう (1/3) - @IT


Linuxサーバのセキュリティ対策 part1

SSHを公開鍵認証にしたらパスワード入力しなくていいので楽すぎる

■暗号化
Let's Encrypt - Free SSL/TLS Certificates