Difference between revisions of "LPIC-303 Objectives V3.0(JA)"

From LPI Wiki
Jump to: navigation, search
Line 131: Line 131:
 
===''課題 332: ホストセキュリティ''===
 
===''課題 332: ホストセキュリティ''===
  
====<span style="color:navy">332.1 ホストハードニング (総重量: 5)</span>====
+
====<span style="color:navy">332.1 ホストハーデニング (総重量: 5)</span>====
 
{|
 
{|
 
| style="background:#dadada" | '''総重量'''
 
| style="background:#dadada" | '''総重量'''
Line 255: Line 255:
 
<br />
 
<br />
  
====<span style="color:navy">333.2 Mandatory Access Control (weight: 5)</span>====
+
====<span style="color:navy">333.2 強制アクセス制御 (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with mandatory access control (MAC) systems for Linux. Specifically, candidates should have a thorough knowledge of SELinux. Also, candidates should be aware of other mandatory access control systems for Linux. This includes major features of these systems but not configuration and use.
+
| style="background:#eaeaea" |Linuxの強制アクセス制御(MAC: mandatory access control)の知識がある 特にSELinux全体の知識がある。Linuxの他の強制アクセス制御の知識も必要である。これには、システムの主な機能が含まれるが、設定や利用に関しては含まれない。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand the concepts of type enforcement, role based access control, mandatory access control and discretionary access control
+
* Type Enforcement・ロールベースアクセス制御(RBAC: role based access control)・強制アクセス制御・任意アクセス制御の概念を理解している。
* Configure, manage and use SELinux
+
* SELinuxを管理・設定する。
* Awareness of AppArmor and Smack
+
* AppArmorとSmackの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* getenforce
 
* getenforce
 
* setenforce
 
* setenforce
Line 294: Line 294:
 
<br />
 
<br />
  
===''Topic 334: Network Security''===
+
===''課題 334:ネットワークセキュリティ''===
====<span style="color:navy">334.1 Network Hardening (weight: 4)</span>====
+
====<span style="color:navy">334.1 ネットワークハーデニング (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be able to secure networks against common threats. This includes analyzing network traffic of specific nodes and protocols.
+
| style="background:#eaeaea" | 一般的な脅威に対して、ネットワークをセキュアに設定できる。これには、特定のノードとプロトコルについて、ネットワークトラフィックを解析が含まれている。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand wireless networks security mechanisms
+
* ワイヤレスネットワークのセキュリティ機構を理解する。
* Configure FreeRADIUS to authenticate network nodes
+
* ネットワークノードの認証のため、FreeRADIUSを設定する。
* Use Wireshark and tcpdump to analyze network traffic, including filters and statistics
+
* ネットワークトラフィックの分析・フィルタ・統計取得のため、Wiresharkやtcpdumpを利用する。
* Use Kismet to analyze wireless networks and capture wireless network traffic
+
* ワイヤレスネットワークを解析し、ワイヤレスネットワークのトラフィックを取得するために、Kismetを利用する。
* Identify and deal with rogue router advertisements and DHCP messages
+
* 不正なRA(rogue router advertisement: ルータアドバタイズメント)とDHCPメッセージの確認と取り扱い。
* Awareness of aircrack-ng and bettercap
+
* aircrack-ngとbettercapの知識
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* radiusd
 
* radiusd
 
* radmin
 
* radmin
Line 327: Line 327:
 
<br />
 
<br />
  
====<span style="color:navy">334.2 Network Intrusion Detection (weight: 4)</span>====
+
====<span style="color:navy">334.2 ネットワーク侵入検知 (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use and configuration of network security scanning, network monitoring and network intrusion detection software. This includes updating and maintaining the security scanners.
+
| style="background:#eaeaea" | ネットワークのセキュリティスキャン・ネットワークモニタ・ネットワークの侵入検知ソフトウエアの設定・利用について理解している。これには、セキュリティスキャナの更新と管理が含まれる。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Implement bandwidth usage monitoring
+
* 利用帯域モニタリングの実施
* Configure and use Snort, including rule management
+
* Snortの利用と設定とルール管理
* Configure and use OpenVAS, including NASL
+
* NASLを含むOpenVASの利用と設定
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* ntop
 
* ntop
 
* snort
 
* snort
Line 353: Line 353:
 
<br />
 
<br />
  
====<span style="color:navy">334.3 Packet Filtering (weight: 5)</span>====
+
====<span style="color:navy">334.3 パケットフィルタリング (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use and configuration of the netfilter Linux packet filter.
+
| style="background:#eaeaea" | Linuxパケットフィルタのnetfilterの設定と利用の知識がある。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand common firewall architectures, including DMZ
+
* DMZを含む一般的なファイアウォールと構造の理解。
* Understand and use iptables and ip6tables, including standard modules, tests and targets
+
* 一般的なモジュール・テスト・ターゲットを含む、iptables, ip6tablesの利用と理解。
* Implement packet filtering for IPv4 and IPv6
+
* IPv4とIPv6のパケットフィルタリングの実施。
* Implement connection tracking and network address translation
+
* コネクショントラッキングとネットワークアドレス変換(NAT)の実施。
* Manage IP sets and use them in netfilter rules
+
* IPセットと、IPセットのnetfilterルールでの利用。
* Awareness of nftables and nft
+
* nftablesとnftの知識
* Awareness of ebtables
+
* ebtablesの知識
* Awareness of conntrackd
+
* conntrackdの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* iptables
 
* iptables
 
* ip6tables
 
* ip6tables
Line 380: Line 380:
 
<br />
 
<br />
  
====<span style="color:navy">334.4 Virtual Private Networks (weight: 4)</span>====
+
====<span style="color:navy">334.4 バーチャルプライベートネットワーク(VPN)  (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use of OpenVPN, IPsec and WireGuard to set up remote access and site to site VPNs.
+
| style="background:#eaeaea" | OpenVPN, IPsec, WireGuardについて、サイト間VPNでのリモートアクセスでの設定を行い、利用を熟知している。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand the principles of bridged and routed VPNs
+
* ブリッジ・ルーティングされたVPNの概念を理解している。
* Understand the principles and major differences of the OpenVPN, IPsec, IKEv2 and WireGuard protocols
+
* OpenVPN, IPsec, IKEv2, WIreGuardプロトコルの主な違いと概念を理解している。
* Configure and operate OpenVPN servers and clients
+
* OpenVPNサーバとクライアントを設定・操作する。
* Configure and operate IPsec servers and clients using strongSwan
+
* IPsecサーバとクライアントを、strongSwanを利用して設定・操作する。
* Configure and operate WireGuard servers and clients
+
* WireGuardサーバとクライアントを設定・操作する。
* Awareness of L2TP
+
* L2TPの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* /etc/openvpn/
 
* /etc/openvpn/
 
* openvpn
 
* openvpn
Line 409: Line 409:
 
<br />
 
<br />
  
===''Topic 335: Threats and Vulnerability Assessment''===
+
===''課題 335: 脅威と脆弱性評価''===
  
====<span style="color:navy">335.1 Common Security Vulnerabilities and Threats (weight: 2)</span>====
+
====<span style="color:navy">335.1 一般的なセキュリティの脆弱性と脅威 (総重量: 2)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 2
 
| style="background:#eaeaea" | 2
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should understand the principle of major types of security vulnerabilities and threats.
+
| style="background:#eaeaea" | 主要なセキュリティの脆弱性と脅威について原理を理解している。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Conceptual understanding of threats against individual nodes
+
* 独立したノードに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against networks
+
* ネットワークに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against application
+
* アプリケーションに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against credentials and confidentiality
+
* 証明書と信頼に対する脅威について、概念上の理解がある。
* Conceptual understanding of honeypots
+
* ハニーポットついて、概念上の理解がある。
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
* Trojans
+
* トロイの木馬型ウイルス
* Viruses
+
* ウイルス
* Rootkits
+
* ルートキット
* Keylogger
+
* キーロガー
* DoS and DDoS
+
* DoSとDDoS
 
* Man in the Middle
 
* Man in the Middle
 
* ARP and NDP forgery
 
* ARP and NDP forgery
 
* Rogue Access Points, Routers and DHCP servers
 
* Rogue Access Points, Routers and DHCP servers
 
* Link layer address and IP address spoofing
 
* Link layer address and IP address spoofing
* Buffer Overflows
+
* バッファオーバーフロー
 
* SQL and Code Injections
 
* SQL and Code Injections
* Cross Site Scripting
+
* クロスサイトスクリプティング
 
* Cross Site Request Forgery
 
* Cross Site Request Forgery
* Privilege escalation
+
* 権限昇格
* Brute Force Attacks
+
* ブルートフォースアタック
 
* Rainbow tables
 
* Rainbow tables
* Phishing
+
* フィッシング詐欺
* Social Engineering
+
* ソーシャルエンジニアリング
 
<br />
 
<br />
  
====<span style="color:navy">335.2 Penetration Testing (weight: 3)</span>====
+
====<span style="color:navy">335.2 ペネトレーションテスト (総重量: 3)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 3
 
| style="background:#eaeaea" | 3
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates understand the concepts of penetration testing, including an understand of commonly used penetration testing tools. Furthermore, candidates should be able to use nmap to verify the effectiveness of network security measures.
+
| style="background:#eaeaea" | ペネトレーションテスト(侵入を試みるテスト)についての理解していて、一般的に利用されているペネトレーションテストツールの理解もしている。さらに、nmapを利用してネットワークのセキュリティ計測を効果的に行うことができる。
 
|}
 
|}
 
'''Key Knowledge Areas:'''
 
'''Key Knowledge Areas:'''
* Understand the concepts of penetration testing and ethical hacking
+
* ペネトレーションテストとエシカルハッキングの概念の理解。
* Understand legal implications of penetration testing
+
* ペネトレーションテストの法的な影響の理解
* Understand the phases of penetration tests, such as active and passive information gathering, enumeration, gaining access, privilege escalation, access maintenance, covering tracks
+
* アクティブ・受領的な情報収集・列挙・アクセス権取得・権限昇格・アクセスメンテナンス・カバートラック(侵入後の痕跡を隠す・消すこと)などの、ペネトレーションテストのフェーズを理解する。
* Understand the architecture and components of Metasploit, including Metasploit module types and how Metasploit integrates various security tools
+
* Metasploitのコンポーネントと構造を理解する。これには、MetasploitモジュールタイプとMetasploitが様々なセキュリティツールをどのように統合しているかの理解も含まれる。
* Use nmap to scan networks and hosts, including different scan methods, version scans and operating system recognition
+
* nmapをネットワークとホストスキャンに利用する。これには、様々なスキャンの方法・バージョンスキャン・オペレーティングシステムの認識も含まれる。
* Understand the concepts of Nmap Scripting Engine and execute existing scripts
+
* Nmap Scripting Engineの概念の理解と、存在するスクリプトの実行。
* Awareness of Kali Linux, Armitage and the Social Engineer Toolkit (SET)
+
* Kali Linux・Armitage・Social Engineer Toolkit(SET)の知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* nmap
 
* nmap
  
 
<br />
 
<br />

Revision as of 07:52, 1 March 2020

はじめに

ここ修正!!これは、 LPIC-3認定試験LPIC-3認定試験[LPIC-3|here]]に必要な項目です。

バージョン情報

の試験範囲は、バージョン3.0.0です。

以前の バージョン2.0 の試験範囲は こちら


試験範囲の翻訳

このwikiに、以下の試験範囲の翻訳があります:


試験範囲

課題 331: 暗号化

331.1 X.509証明書と公開鍵基盤 (総重量: 5)

総重量 5
説明 X.509証明書と公開鍵基盤を理解している必要がある。認証局/CAを実装するのために、OpenSSLを設定し利用したり、様々な目的のために、SSL証明書を発行することを知っている必要があります。

主な知識分野:

  • X.509証明書、X.509証明書のライフサイクル、X.509証明書のフィールドとX.509v3証明書拡張を理解している。
  • 証明書の透明性(CT: certificate transparency)を含む、信頼の連鎖(trust chains)と公開鍵基盤を理解している。
  • 公開鍵と秘密鍵の生成と管理。
  • 認証局/CAを作成・操作・厳重に管理する。
  • サーバ・クライアント証明書を、要求・署名・管理する。
  • 証明書と認証局/CAを無効にする。
  • Let's Encrypt, ACME, certbotの基本的な特徴の知識。
  • CFSSLの基本的な特徴の知識。

用語とユーティリティ:

  • openssl (関連するサブコマンドを含む)
  • OpenSSLの設定
  • PEM, DER, PKCS
  • CSR
  • CRL
  • OCSP


331.2 暗号化・署名・認証のためのX.509証明書 (総重量: 4)

総重量 4
説明 サーバ・クライアント認証両方のために、X.509証明書を利用することができる。 これには、Apache HTTPDのユーザとサーバ認証の実装が含まれる。Apache HTTPDのバージョンは2.4以上を対象としている。

主な知識分野:

  • プロトコルバージョンと暗号(cipher)を含む、SSL, TLSの理解。
  • Apache HTTPDのmod_sslを利用して、SNI, HSTSを含む、HTTPSサービスを提供できるように設定する。
  • 証明書の連鎖を提供し、cipherの設定を調節して、Apache HTTPDのmod_sslを設定する(cipherに特化した知識ではない)。
  • 証明書を利用して、ユーザ認証をするようにApache HTTPDのmod_sslをせっていする。
  • OCSPを提供するように、Apache HTTPDのmod_sslを設定する。
  • OpenSSLを、SSL/TLSクライアントとサーバのテストに利用する。

用語とユーティリティ:

  • httpd.conf
  • mod_ssl
  • openssl (関連するサブコマンドを含む)


331.3 暗号化ファイルシステム (総重量: 3)

総重量 3
説明 暗号化ファイルシステムを構築し設定できる。

主な知識分野:

  • ブロックデバイスとファイルシステム暗号化を理解する。
  • ブロックデバイスを暗号化するために、LUKS1によるdm-cryptを利用する。
  • ファイルシステムを暗号化するために、eCryptfsを利用する。これには、ホームディレクトリとPAM統合を含まれる。
  • plainモードのdm-cryptの知識
  • LUKS2機能の知識
  • LUKSデバイスのClevisと、TMP2とNetwork Bound Disk Encryption (NBDE)/TangのClevis PINの概念的な理解。

用語とユーティリティ:

  • cryptsetup (関連するサブコマンドを含む)
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • ecryptfs-* commands
  • mount.ecryptfs, umount.ecryptfs
  • pam_ecryptfs


331.4 DNSと暗号化 (総重量: 5)

総重量 5
説明 BINDを利用した際の、DNSの背景と実装について、暗号化の知識と経験がある。BINDのバージョンは9.7とそれ以上を対象としている。

主な知識分野:

  • DNS・ゾーン・リソースレコードの概念を理解している。
  • 鍵署名鍵、ゾーン署名鍵、DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAMなどの関連するDNSレコードを含み、DNSSECを理解している。
  • DNSSECセキュアゾーンを提供している権威のあるネームサーバとしての、BINDの設定をトラブルシューティング。
  • DNSSECの署名されたゾーンを管理する。これには、キー生成・キーのロールオーバー・ゾーンの再署名が含まれます。
  • クライアントの振る舞いがDNSSECバリデーションとして機能する、再帰ネームサーバとしてBINDを設定する。
  • CAAやTLSAのようなDNSレコードに関連する、CAAとDANEの理解。
  • DNSで、X.509証明書と認証局/CAの情報を発行する、CAAとDANEを利用する。
  • BINDでセキュアな接続を行うため、TSIGを利用する。
  • DNS over TLSとDNS over HTTPSの知識。
  • マルチキャストDNSの知識。

用語とユーティリティ:

  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc (関連するサブコマンドを含む)
  • dig
  • delv
  • openssl (関連するサブコマンドを含む)



課題 332: ホストセキュリティ

332.1 ホストハーデニング (総重量: 5)

総重量 5
説明 一般的な脅威に対して、Linuxが稼働しているコンピュータをよりセキュアにする。

主な知識分野:

  • BIOSとboot loader(GRUB 2)セキュリティの設定。
  • 利用していないソフトウエアとサービスを無効化する。
  • 特定のsystemdユニットと全体システムに対して、不必要な機能を理解し削除する。
  • アドレス空間のランダム化(ASLR: Address Space Layout Randomization )、Data Execution Prevention (DEP) 、 Exec-Shieldを理解し設定する。
  • ブラックリスト・ホワイトリストに分けられたUSBデバイスを、USBGuardを利用して、コンピュータに接続する。
  • CAを利用してホストとユーザーキーのSSH CA、SSH証明書を作成し、OpenSSHがSSH証明書を利用するように設定する。
  • chroot環境での作業
  • システムコールとプロセスに対して有効な機能を制限するために、systemdユニットを利用する。
  • 特定のファイルやデバイスに、アクセスを制限したりアクセスさせないようにして、プロセスを起動するようにsystemdユニットを利用する。
  • 専用のテンポラリディレクトリや/devディレクトリがあり、ネットワークアクセスができない状態のプロセスを起動するように、systemdユニットを利用する。
  • プロセスが消費することができるシステムリソースを制限するように、systemdユニットを利用することができる。
  • Linux MeltdownとSpectreの回避策の影響の理解と、回避策の有効化・無効化。
  • polkitの知識
  • 仮想化とコンテナ化のセキュリティの利点の知識

用語とユーティリティ:

  • grub.cfg
  • systemctl
  • getcap
  • setcap
  • capsh
  • sysctl
  • /etc/sysctl.conf
  • /etc/usbguard/usbguard-daemon.conf
  • /etc/usbguard/rules.conf
  • usbguard
  • ssh-keygen
  • /etc/ssh/
  • ~/.ssh/
  • /etc/ssh/sshd_config
  • chroot


332.2 ホストの侵入検知 (総重量: 5)

総重量 5
説明 一般的なのホスト侵入検知ソフトウエアの利用と設定の知識がある必要がある。これには、Linux Auditシステムとシステムの一貫性の検証が含まれる。

主な知識分野:

  • Linux Auditシステムの設定と利用
  • chkrootkitの利用
  • rkhunterの、利用・設定・アップデート
  • Linux Malware Detect(マルウェア検出ツール)の利用。
  • cronを利用したホストのスキャンの自動化。
  • インストールされたファイルの一貫性の検証のため、RPMやDPKGのパッケージ管理ツールの利用。
  • ルール管理を含んだAIDEの設定と利用。
  • OpenSCAPの知識

用語とユーティリティ:

  • auditd
  • auditctl
  • ausearch, aureport
  • auditd.conf
  • audit.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • rpm
  • dpkg
  • aide
  • /etc/aide/aide.conf


332.3 リソース制御 (総重量: 3)

総重量 3
説明 サービスとプログラムが利用可能なリソースを制限できる。

主な知識分野:

  • ulimitsの理解と設定
  • クラス・リミット・アカウンティングを含むcgroupsの理解。
  • cgroupsの管理と、cgroup associationの加工。
  • スライスを含む、systemdリソース制御の理解
  • systemdユニットのリソース制限の設定。
  • cgmanagerとlibcgroupユーティリティーの知識。

用語とユーティリティ:

  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • /sys/fs/group/
  • /proc/cgroups
  • systemd-cgls
  • systemd-cgtop



課題 333: Access Control

333.1 任意アクセス制御 (総重量: 3)

総重量 3
説明 任意アクセス制御(DAC: discretionary access control)を理解していて、アクセス制御リスト(ACL: access control list)を利用してどのように実装するかの知識があります。さらに、拡張された属性をどのように利用するかを理解しているひつようがあります。

主な知識分野:

  • SetUID, SetGIDビットを含む、ファイルの所有権・パーミッションの管理と理解。
  • アクセス制御リスト(ACL)の管理と理解。
  • 拡張属性と属性クラスの管理と理解。

用語とユーティリティ:

  • getfacl
  • setfacl
  • getfattr
  • setfattr


333.2 強制アクセス制御 (総重量: 5)

総重量 5
説明 Linuxの強制アクセス制御(MAC: mandatory access control)の知識がある 特にSELinux全体の知識がある。Linuxの他の強制アクセス制御の知識も必要である。これには、システムの主な機能が含まれるが、設定や利用に関しては含まれない。

主な知識分野:

  • Type Enforcement・ロールベースアクセス制御(RBAC: role based access control)・強制アクセス制御・任意アクセス制御の概念を理解している。
  • SELinuxを管理・設定する。
  • AppArmorとSmackの知識

用語とユーティリティ:

  • getenforce
  • setenforce
  • selinuxenabled
  • getsebool
  • setsebool
  • togglesebool
  • fixfiles
  • restorecon
  • setfiles
  • newrole
  • setcon
  • runcon
  • chcon
  • semanage
  • sestatus
  • seinfo
  • apol
  • seaudit
  • audit2why
  • audit2allow
  • /etc/selinux/*



課題 334:ネットワークセキュリティ

334.1 ネットワークハーデニング (総重量: 4)

総重量 4
説明 一般的な脅威に対して、ネットワークをセキュアに設定できる。これには、特定のノードとプロトコルについて、ネットワークトラフィックを解析が含まれている。

主な知識分野:

  • ワイヤレスネットワークのセキュリティ機構を理解する。
  • ネットワークノードの認証のため、FreeRADIUSを設定する。
  • ネットワークトラフィックの分析・フィルタ・統計取得のため、Wiresharkやtcpdumpを利用する。
  • ワイヤレスネットワークを解析し、ワイヤレスネットワークのトラフィックを取得するために、Kismetを利用する。
  • 不正なRA(rogue router advertisement: ルータアドバタイズメント)とDHCPメッセージの確認と取り扱い。
  • aircrack-ngとbettercapの知識

用語とユーティリティ:

  • radiusd
  • radmin
  • radtest
  • radclient
  • radlast
  • radwho
  • radiusd.conf
  • /etc/raddb/*
  • wireshark
  • tshark
  • tcpdump
  • kismet
  • ndpmon


334.2 ネットワーク侵入検知 (総重量: 4)

総重量 4
説明 ネットワークのセキュリティスキャン・ネットワークモニタ・ネットワークの侵入検知ソフトウエアの設定・利用について理解している。これには、セキュリティスキャナの更新と管理が含まれる。

主な知識分野:

  • 利用帯域モニタリングの実施
  • Snortの利用と設定とルール管理
  • NASLを含むOpenVASの利用と設定

用語とユーティリティ:

  • ntop
  • snort
  • snort-stat
  • /etc/snort/*
  • openvas-adduser,
  • openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • /etc/openvas/*


334.3 パケットフィルタリング (総重量: 5)

総重量 5
説明 Linuxパケットフィルタのnetfilterの設定と利用の知識がある。

主な知識分野:

  • DMZを含む一般的なファイアウォールと構造の理解。
  • 一般的なモジュール・テスト・ターゲットを含む、iptables, ip6tablesの利用と理解。
  • IPv4とIPv6のパケットフィルタリングの実施。
  • コネクショントラッキングとネットワークアドレス変換(NAT)の実施。
  • IPセットと、IPセットのnetfilterルールでの利用。
  • nftablesとnftの知識
  • ebtablesの知識
  • conntrackdの知識

用語とユーティリティ:

  • iptables
  • ip6tables
  • iptables-save
  • iptables-restore
  • ip6tables-save
  • ip6tables-restore
  • ipset


334.4 バーチャルプライベートネットワーク(VPN) (総重量: 4)

総重量 4
説明 OpenVPN, IPsec, WireGuardについて、サイト間VPNでのリモートアクセスでの設定を行い、利用を熟知している。

主な知識分野:

  • ブリッジ・ルーティングされたVPNの概念を理解している。
  • OpenVPN, IPsec, IKEv2, WIreGuardプロトコルの主な違いと概念を理解している。
  • OpenVPNサーバとクライアントを設定・操作する。
  • IPsecサーバとクライアントを、strongSwanを利用して設定・操作する。
  • WireGuardサーバとクライアントを設定・操作する。
  • L2TPの知識

用語とユーティリティ:

  • /etc/openvpn/
  • openvpn
  • /etc/strongswan.conf
  • /etc/strongswan.d/
  • /etc/swanctl/swanctl.conf
  • /etc/swanctl/
  • swanctl
  • /etc/wireguard/
  • wg
  • ip


課題 335: 脅威と脆弱性評価

335.1 一般的なセキュリティの脆弱性と脅威 (総重量: 2)

総重量 2
説明 主要なセキュリティの脆弱性と脅威について原理を理解している。

主な知識分野:

  • 独立したノードに対する脅威について、概念上の理解がある。
  • ネットワークに対する脅威について、概念上の理解がある。
  • アプリケーションに対する脅威について、概念上の理解がある。
  • 証明書と信頼に対する脅威について、概念上の理解がある。
  • ハニーポットついて、概念上の理解がある。

用語とユーティリティ:

  • トロイの木馬型ウイルス
  • ウイルス
  • ルートキット
  • キーロガー
  • DoSとDDoS
  • Man in the Middle
  • ARP and NDP forgery
  • Rogue Access Points, Routers and DHCP servers
  • Link layer address and IP address spoofing
  • バッファオーバーフロー
  • SQL and Code Injections
  • クロスサイトスクリプティング
  • Cross Site Request Forgery
  • 権限昇格
  • ブルートフォースアタック
  • Rainbow tables
  • フィッシング詐欺
  • ソーシャルエンジニアリング


335.2 ペネトレーションテスト (総重量: 3)

総重量 3
説明 ペネトレーションテスト(侵入を試みるテスト)についての理解していて、一般的に利用されているペネトレーションテストツールの理解もしている。さらに、nmapを利用してネットワークのセキュリティ計測を効果的に行うことができる。

Key Knowledge Areas:

  • ペネトレーションテストとエシカルハッキングの概念の理解。
  • ペネトレーションテストの法的な影響の理解
  • アクティブ・受領的な情報収集・列挙・アクセス権取得・権限昇格・アクセスメンテナンス・カバートラック(侵入後の痕跡を隠す・消すこと)などの、ペネトレーションテストのフェーズを理解する。
  • Metasploitのコンポーネントと構造を理解する。これには、MetasploitモジュールタイプとMetasploitが様々なセキュリティツールをどのように統合しているかの理解も含まれる。
  • nmapをネットワークとホストスキャンに利用する。これには、様々なスキャンの方法・バージョンスキャン・オペレーティングシステムの認識も含まれる。
  • Nmap Scripting Engineの概念の理解と、存在するスクリプトの実行。
  • Kali Linux・Armitage・Social Engineer Toolkit(SET)の知識

用語とユーティリティ:

  • nmap


Retrieved from "https://wiki.lpi.org/pubwiki/index.php?title=LPIC-303_Objectives_V3.0(JA)&oldid=5421"