情報安全管理支援士受かった。
プロジェクト忙しくて4年かかったけど。
なんでしょう。ノー勉でうかるという。
さくらVPSにオレオレ証明書を設定する方法
CSR(証明書お申込みデータ)の作成|Cybertrust.ne.jp
前準備
インストール
yum install openssl *opensslのコマンド使うため yum install mod_ssl *ssl使用するため
鍵の作成
秘密鍵の作成
openssl genrsa -aes128 1024 > /etc/httpd/conf/server.key Generating RSA private key, 1024 bit long modulus ......++++++ ..++++++ e is 65537 (0x10001) Enter pass phrase: Verifying - Enter pass phrase:
CSR(Certificate Signing Request)の作成 公開鍵の作成
CSR(Certificate Signing Request)とは、SSLサーバ証明書を発行するための証明書署名要求のことです。CSRには公開鍵の情報と、組織名や所在地等の情報(Distinguished Name=識別名)が含まれており、提出されたCSRにサーバ認証機関の署名を行い、サーバ 証明書として発行します。
openssl req -new -key /etc/httpd/conf/server.key > /etc/httpd/conf/server.csr
サーバ証明書の作成
自己書名ではプライベートCAを使って、サーバ証明書(server.crt)を発行する。
・x509 :X.509形式の証明書を作成する。
・-in CSRファイル:CSRファイルを指定する。
・-days 日数 :証明書の有効期限を指定する。
・-req :入力ファイルがCSRファイルであることを明示する。
・-signkey :事故証明書作成時に使用するオプション。秘密鍵ファイルを指定する。
openssl x509 -in /etc/httpd/conf/server.csr -days 36500 -req -signkey /etc/httpd/conf/server.key > /etc/httpd/conf/server.crt
mv /etc/httpd/conf/server.key /etc/httpd/conf/server.key.bak openssl rsa -in /etc/httpd/conf/server.key.bak > /etc/httpd/conf/server.key
サーバの設定
sslのサーバ設定
追記:2017/07/29
気づくと当たり前なのだけど、、httpdのrestartが出来なくなった。
原因は、ssl.confに既存のlocalhost.keyとlocalhost.crtが残っているから。コメントアウトする必要あり。
[root@ik1-313-16875 etc]# /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting httpd: [FAILED] [root@ik1-313-16875 etc]# [Sat Jul 29 16:38:39 2017] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Sat Jul 29 16:38:39 2017] [error] Init: Multiple RSA server certificates not allowed /etc/httpd/conf.d/ssl.conf #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
vi /etc/httpd/conf.d/ssl.conf <VirtualHost _default_:443>以下に SSLCertificateFile /etc/httpd/conf/server.crt SSLCertificateKeyFile /etc/httpd/conf/server.key
iptablesの設定
ファイアウォールiptablesを簡単解説~初心者でもよくわかる!VPSによるWebサーバー運用講座(4) - さくらのナレッジ
vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
service iptables restart iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules: [ OK ] iptables: Applying firewall rules: [ OK ]
httpd再起動
service httpd restart
メールシステム
送信側
SMTP
SMTPの仕組みについて
http://kimagureneet.hatenablog.com/entry/2016/04/07/122605
http://sakuratan.biz/archives/5182
SMTPの通信シーケンス
・実際にコマンドプロンプトから自分のSMTPサーバに接続して実践
※本当はHELOとかが出来るはずIPS網からだと25番のtelnetが出来ない??自分の端末に入った後なら出来た。
telnet入ってなかったので以下でインストール
sudo yum -y install telnet
※いつか解決するその際に使用するリンク
http://server-setting.info/centos/sendmail_relay_test_telnet.html
http://server-setting.info/centos/postfix-relay-error-point.html
http://www.geekpage.jp/technology/ip-base/mail-2.php
https://teratail.com/questions/8722
telnet XX.XXX.XX.XXX 25 $ telnet mailhost.com 25 Trying XXX.XXX.XXX.XXX... Connected to mailhost.com. Escape character is '^]'. 220 mailhost.com ESMTP Postfix HELO mailhost.com 250 mailhost.com MAIL FROM:userid@mailhost.com 250 2.1.0 Ok RCPT TO:receiptment@mail.com 250 2.1.5 Ok DATA 354 End data with <CR><LF>.<CR><LF> HELLO This is test mail . 250 2.0.0 Ok: queued as 5DF3AA0433 QUIT 221 2.0.0 Bye Connection closed by foreign host.
受信側
メール受信拒否
SPF
・内容
・設定方法
※ホストのIPで記述
※ホスト名で記述
※ネットワークで記述
・設定確認
・参考情報
IPA
http://www.ipa.go.jp/security/topics/20120523_spf.html
DKIM
・内容
・設定方法
http://cui.tokyo/2361
・参考情報
メールヘッダー情報
ヘッダーの見方
以前の勉強の痕跡
DNSに対する攻撃
DNS
Domain(ドメイン)とは
領域・領土と訳される。
インターネット上の住所のこと。
.comとか.jpとかのことだが、一般的にいうと青字の部分がドメインと呼ばれる。
ex)
TLD(Top Level Domain)
.comとか.jpとかの部分。
ドメインの取得・登録方法
攻撃手法
キャッシュポイズニング
・内容
・対策
※Kaminsky Attack
・内容
・対策
DNSリフレクション(DNS amp)
・内容
・対策
・参考記事
www.atmarkit.co.jp
不正なゾーン転送
・内容
・対策
実践編
ドメイン検索
以下のサイトで検索するとこのような情報が出力される。
WHOIS検索 | ドメインの所有者情報を簡単検索 | すぐに使える便利なWEBツール | Tech-Unlimited
検索結果
hatena.ne.jp
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [ドメイン情報]
a. [ドメイン名] HATENA.NE.JP
b. [ねっとわーくさーびすめい] はてな
c. [ネットワークサービス名] はてな
d. [Network Service Name] hatena
k. [組織種別] ネットワークサービス
l. [Organization Type] Network Service
m. [登録担当者] JK9494JP
n. [技術連絡担当者] DT033JP
p. [ネームサーバ] ns0.future-s.com
p. [ネームサーバ] ns1.future-s.com
s. [署名鍵]
[状態] Connected (2017/03/31)
[登録年月日] 2014/03/18
[接続年月日] 2014/03/18
[最終更新] 2016/04/01 01:11:34 (JST)
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Contact Information: [担当者情報]
a. [JPNICハンドル] JK9494JP
b. [氏名] 近藤 淳也
c. [Last, First] Kondo, Junya
d. [電子メイル] jpnic-apply@future-s.com
f. [組織名] 株式会社はてな
g. [Organization] Hatena Co., Ltd.
k. [部署]
l. [Division]
m. [肩書]
n. [Title]
o. [電話番号]
p. [FAX番号]
y. [通知アドレス] jpnic-apply@future-s.com
[最終更新] 2014/03/17 15:01:00 (JST)
form@dom.jprs.jp
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Contact Information: [担当者情報]
a. [JPNICハンドル] DT033JP
b. [氏名] 谷孝 大
c. [Last, First] Tanitaka, Dai
d. [電子メイル] jpnic-apply@future-s.com
f. [組織名] 株式会社フューチャースピリッツ
g. [Organization] Future Spirits Co.,Ltd
m. [肩書] 代表取締役
n. [Title] President
o. [電話番号] 075-326-3700
p. [FAX番号] 075-326-7400
y. [通知アドレス] jpnic-apply@future-s.com
[最終更新] 2016/09/14 10:54:20 (JST)
form@dom.jprs.jp
コマンド
管理者のためのコマンド活用講座 - nslookup(1)――ドメイン情報を検索する:ITpro
nslookup google.com Server: 133.242.0.3 Address: 133.242.0.3#53 Non-authoritative answer: Name: google.com Address: 172.217.26.14
※TXTレコードの確認
nslookup -type=txt google.com Server: 133.242.0.3 Address: 133.242.0.3#53 Non-authoritative answer: google.com text = "v=spf1 include:_spf.google.com ~all" Authoritative answers can be found from:
※Aレコードの確認
nslookup -type=a google.com Server: 133.242.0.3 Address: 133.242.0.3#53 Non-authoritative answer: Name: google.com Address: 172.217.25.110
※MXレコードの確認
nslookup -type=mx google.com Server: 133.242.0.3 Address: 133.242.0.3#53 Non-authoritative answer: google.com mail exchanger = 20 alt1.aspmx.l.google.com. google.com mail exchanger = 50 alt4.aspmx.l.google.com. google.com mail exchanger = 10 aspmx.l.google.com. google.com mail exchanger = 30 alt2.aspmx.l.google.com. google.com mail exchanger = 40 alt3.aspmx.l.google.com. Authoritative answers can be found from:
DNSサーバの構築と運用そして攻撃実験
hosts
情報セキュリティスペシャリスト勉強法
過去問題の解き方ルール
時間を計測して解く
→→4→→0分/問 + 10分(バッファ)
プロセスチェック(時間)
→→→→問題に対しての時間のかけ方
プロセスチェック(言葉)
→→→→問題文中の言葉に変換する。
①設問を理解し、その答えに目途がついたなら、いったんそれを自分の言葉で表現する。
②字数が少ない場合5W1Hで膨らまないか考える
③その後、自分の言葉を問題文中に出てくる用語で置き換えられないかをチェックする。そのためには、問題文のマーク個所に目を通す
④これである程度字数が決まるので、設問の制限字数内に収まるように、不要な部分から優先的にカットしていく。
*** 解答・解説確認
①一言一句違ってなければ○、まったく番うのであれば×、よく似ているなら△
②根拠となる記述を発見出来た時。→OK 発見出来な時。→問題文の読み方、マークの仕方を改善する。
③解答表現の突合せを試験センターの解答と行う。
合っていれば→OK
間違っていれば→なぜその用語を使用しなかったのか、どのように他の用語を使用することを判断したのか。
情報セキュリティスペシャリスト
■必要勉強時間
550時間(情報セキュリティスペシャリスト 資格の難易度とランキング)
2015/4/16をターゲットにすると。
1,2,3で、土日が24あるとすると、24*10でも240時間。
平日1時間*180で。420時間。
12月後半からでかなりギリギリ。。
使用した教材
アウトプット
以下の本を解く。午前Ⅱは重要なところだけ乗っていて便利。午後に関しても重要なものから順番に章立てされているので順番に解いていけばよい。
極選分析 情報処理安全確保支援士 予想問題集 (予想問題シリーズ)
- 作者: IT人材教育研究部
- 出版社/メーカー: アイテック
- 発売日: 2016/09/27
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
インプット
全体を広く学習することが出来る。
情報セキュリティスペシャリスト 合格テキスト 2016年度 (情報処理技術者試験対策)
- 作者: TAC情報処理講座
- 出版社/メーカー: TAC出版
- 発売日: 2015/10/22
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
情報処理教科書 情報セキュリティスペシャリスト 2016年版
- 作者: 上原孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2015/09/15
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (3件) を見る
試験構成の把握と戦略・解答順番
午前Ⅰ 30問で50分
戦略
応用情報処理を過去6年分解ければ問題ない。
午前Ⅱ 25問で40分
戦略
情報セキュリティスペシャリスト過去問6年分解ければ問題ない。
午後Ⅰ 2問で90分 午後Ⅱ 3問から2問選択で120分
解答順番
・設問確認、問いに対する回答時間見積もり(5分)
・問いには対象のページ番号を記載する。
・残り35分以内で回答を行う。
午後Ⅰから入る。
理由:午前は所詮暗記、午後Ⅰの方式になれることと、午前Ⅱの内容も同時に勉強するため。
TACにのっとり
①合格テキスト
②ポイント集
③合格トレーニング
④模試
でやろうかとしたが、形式になれるためにまずは模試から行う。
そこで足りないものを①から③で吸収していくようにする。
としようとしたが、その前に
午後試験攻略テクニックというものがあるので、それを理解してから試験を行った。
■日々行ったこと
文字を読むことが少なくなっているのでリハビリがてら小説を読むことにした。
鼻の呼吸が難しいので呼吸できるようにした。
IPsecの仕組み - (3/3)Part1 オリエンテーション---LAN同士をつなぐために安全なトンネルを作る:ITpro
技術解説:IT管理者のためのIPSec講座 (1/3) - @IT
CCNAネットワーク基礎講座「IPSecって何?」 - YouTube
■POP
やってみよう!実験室 - 第1回 電子メールを送受信するSMTPとPOP3:ITpro
Windows 7 Telnetの設定 | AIRnet
■syslog
Linuxサーバ運用マニュアル
Linux管理者への道(3):システム管理の基礎 syslogdの設定をマスターしよう (1/3) - @IT
