So-net無料ブログ作成
検索選択
セキュリティ ブログトップ
前の10件 | -

F/Wの導入設計 [セキュリティ]

公開サーバー設計と構築
テキスト8章にて PP中心で解説

公開サーバーのセキュリティ
要求仕様書(RFP)導入としてネットワークの設計
物理設計、論理設計
IPアドレッシング、ルーティングアドレス変換、NAT
セキュリティ

F/Wの3つの目的
・公開サーバーのセキュリティ確保
・内部ネットワークの確保
・外部への不正アクセス抑止
ウイルスの拡大ーー脅威を与える加害者になるのを防止)

F/Wの機能
ルールに基づいたアスセス制御
①ネットワークの分割
②フィルタリング
③アドレス変換(NAT,NAPT) プライベートを公開に!

・アスセス制御ポリシー
誰がどの情報資産にどのような操作を定めたもの
・F/Wでのアスセス制御ポリシーの手順
Z社ネットワーク図を基にポリシ作成実習
○Z・アスセス制御ポリシー
●外部向けサービス
・Web  DMZ上のWebサーバーで外向けコンテンツを提供している
・DNS  コンテンツサーバーとしてドメインを管理しDNS(外向け)はマスターとスレープを用意
・メール 自ドメイン宛のメールを受信する
外部からは ゲート→外向けメール→内向け
●内部向けサービス
・Web  外部のWebサーバーはポート番号は8080でウイルスゲートウエイを経由
・DNS  クライアントは打ち向けサーバー、DNSはDMZ上の外向けサーバー
     DNS(マスタ)に向けてフォワード設定を行う
・メール 
内→外
内→外
内→外
外部からは ゲート→外向けメール→内向け

ルーティング表の制御表作成実習

以下参考になるURL
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
ファイアウォールの役割復習
@ITより
一番やさしい役割の勉強
5分でわかる
http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html
そのほかのファイヤウォール関係
http://www.atmarkit.co.jp/channel/firewall/firewall.html

ルーチングについてはネットワークの勉強が良いかも!


nice!(0)  コメント(0) 

セキュアドの結果と今後 [セキュリティ]

午前問題の答え合わせ
午前45/55 正解率82%
9割出来たと思ったが まあまあ
山勘はあたらないものですね 
悩んだものは ことごとくミスしました
午前の勉強はあまりしなかったので
焼き直し問題が多かったから8割クリア
http://0kara.org/quiz1/index.cgi
このような問題を 気が向いたときに10分の勉強でした

午後ⅠとⅡ
時間がないので もう一度考えてみませんが
いつも峠であった 午後Ⅰは合格圏内ですが♪
午後Ⅱの最終2問目は何を書いて良いのか
問題の意味が??????
と言うわけで
コレが関が原の戦い
自分の解答に点数があるように祈るだけです

で今後は
基本情報で基本を固めるか
新規情報セキュリティを受けるのか
どちらか決めかねてます

今日のランニング
仕事が忙しかった のとFPの勉強&雨でしませんでした
あるあるの体操だけでした


nice!(0)  コメント(0) 
共通テーマ:学問・資格(旧テーマ)

セキュアド受けてきました [セキュリティ]

今回はいつもになく時間には余裕でした
だから 午後Ⅰは合格レベルに達していると
余裕で午後Ⅱを迎えて 途中までは良かったのですが
終わりの2問の意味が良くわかりません
合否はこの出来にかかっています
受かっていればいいなあ♪

試験後早速FPの勉強に切り替え電車の中とジムで2CDを聞きました
今月中に4回分のレポートとプラン提出しなきゃ
相変わらず忙しい勉強スケジュールです

今日の運動は 試験の帰りに5キロのランニングでした
明日は8キロ走るぞ!


nice!(1)  コメント(2) 
共通テーマ:学問・資格(旧テーマ)

セミナー申し込みフォームがスパムの踏み台? [セキュリティ]

Webアプリ・チェックポイント
hiddenタグで埋め込んだPOSTデータは書き換えが可能だと思うこと

先日の講習で勉強したことが 易しく書かれていた
セミナー申し込みフォームがスパムの踏み台
http://www.atmarkit.co.jp/fsecurity/rensai/hoshino01/hoshino01.html
@ITはためになるなあ!
明日試験ですが ついつい範囲外の勉強に目が取られてしまいます(@@)
これ位わかりやすく 他人に説明できるようにならなければ
セキュリティのプロとは言えないんだろう。


nice!(0)  コメント(0) 
共通テーマ:学問・資格(旧テーマ)

セキュリティ実習 [セキュリティ]

昨日の授業は価格コムで問題になったSQLインジェクションなどの実習でした。
きちんとセキュリティの対応をとるのは難しいが 目の付け所は大体理解できた。
特にhiddenフィールドの改ざんは簡単で URLには気につけて見ないと危ないし
暗号化していないものは もろ見えで要注意だ!
そして 自分の セキュリテイ技術はまだまだ未熟 
今回の情報セキュリティ試験の合否に関係なく継続的な勉強の必要性を痛感!!

授業は9時で終わり 10時から4.5キロ350キロカロリーのランニング
----------------------------------------------
 第7章 Webサーバへのセキュリティ対策

 ■Webアプリケーションセキュリティ
 ●入力フォームを使った攻撃
  □hiddenフィールドの改ざん
   (デモ) 価格を不正に変更
   (事例)ACCS(著作権協会)ページからの情報流出

  □コマンドインジェクション(講師側だけでデモ)
      OSコマンドインジェクションは   "test & netstat -a & ipconfig"   を入力
      SQLインジェクションは   101' OR '1 = 1 を入力
 
  □スクリプト埋め込み攻撃
   (デモ)掲示板にスクリプトを埋め込む

 ●ブラウザから送信される情報の漏えい
   GETで送信
   POSTで送信

ネットワークセキュリティ対策
 ●通信の暗号化
  □基本認証(クリアテキストで送信されていることを確認)
    1)皆さんの個人情報を登録 ここから
    2)基本認証の設定されたページへアクセス  webclient : webclient123

   ヘッダ部の記載
      Authorization: Basic d2ViY2xpZW50OndlYmNsaWVudDEyMw==

    3)デコードしてみましょう (Base64でエンコードされたものをデコードするサイト)

これ以上のメモは悪用されると困るので非公開です


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

試験まであと20日  [セキュリティ]

情報セキュリティの試験(10月16日)まで
http://www.jitec.jp/ あと20日
しっかり理解するには 自分の実力がないのも痛感しますが
何回も受けているので そこそこわかっている気もします
ここは 完璧に理解して勉強したいです。

こんな時期に次の試験や勉強の調整も考えているので
勉強の範囲を狭めて集中も必要です

見ていたもの
http://www.itac.gr.jp/juku/ts.html
今回受ける情報セキュリティアドミニストレータ試験(SS)との相違点を把握するのが目的
でも 気持ちはこの講習を受けようかなという風に動きました
http://www.itac.gr.jp/juku/2006_01.asp
試験が最初なので水岡祥二先生が教えるので参加してみようかな
でも 来年の1月中旬にあるAFP(FP技能士2級)の勉強もあるから
最初がきついなあ....など考えてしまっています

まあ 悩んだ時は とりあえず受験(講習受講)してみよう!
テクニカルエンジニア(情報セキュリティ)試験
今 学んでい技術にも近いし
テキストは佐々木先生の本を使うのも 何かの縁か
 
とりあえず 今回の試験には より管理的な出題で
技術的なものは春試験に移行したのを踏まえて勉強だ!!
(春は基本情報も監査も受けたい....)


nice!(0)  コメント(0) 
共通テーマ:学問・資格(旧テーマ)

index of parent directory [セキュリティ]

今日はTDUでSEA/Jの
Webサーバーセキュリティ対策勉強でした

個人情報が漏洩した原因
検索エンジンで探し出された原因
アクセス権限がよくない
②読み取り権限 付与権限が適切ではない(nobodyに権限を与えた)
ファイルサーバーのデレクトリリスティング
index of parent directoryという文字があるので 検索できる
Apacheはデフォルトで有効となっている
表示するファイルがなければ デレクトリ配下をリスト表示する
ファイルを作るとhello が表示 されることをやってみた
ファイルを作ればいいのか?
デフォルトを無効にすると
Forbidden
You don't have permission to access /soft/ on this server.
の表示になる

公開デレクトリだったのでブラウザでアクセスできた
《非公開データは公開デレクトリに保存しない》
今日はApacheによるサーバー構築
@ITでは2.0
講習では1.3でlynxでインストール


nice!(0)  コメント(0) 
共通テーマ:学問・資格(旧テーマ)

やっと 100に届いた [セキュリティ]

ここで短時間に勉強の確認してます
http://0kara.org/quiz1/index.cgi

情報セキュリティでやっと100問正解になりました
85問まで連続で正解でしたが 気力がなくなり
ミスと思考力がなくなり何とか100問に届きました
同じ問題が出てくるので 答えだけ覚えてることもありますが
数分の勉強に集中できるのはいいと思います。

今日は音楽を聴きながらといてます


nice!(0)  コメント(2) 
共通テーマ:学問・資格(旧テーマ)

午後Ⅱ勉強開始 [セキュリティ]

情報セキュリティの試験対策で
昨年受けたLECの演習マスタ講座のCDを
iPodに入れて聞いて勉強した
昨日から一日CD2枚分40分x2
聞いただけでも勉強した気になるけど
紙でしっかりと勉強しないと 解けない!
明日はまず 紙の状態で解いてから聞こう。

今日の運動は音楽を聴きながら
ランニング5キロです

LECの講習を聞きながら走るのは辛そう
AFPの教材でも聞きながら走ろうかな.....
試験まで1ヶ月なので まず情報セキュリティの勉強しかないな!!


nice!(0)  コメント(0) 
共通テーマ:学問・資格(旧テーマ)

待ち行列 [セキュリティ]

情報処理試験午前対策で
過去問題を解く
 
本当なら午後Ⅰに時間をかけたいが
気分が載らないので簡単な午前対策

スラスラと解けたが 以前解けたのも出来なくて大変
そんなものに 待ち行列がある
銀行のATMでキャッシュコーナー
機械が1台 処理に5分 並んでいるのは3人というやつだ

う~ん 忘れている
昔 勉強したものを復習だ!
http://www.ne.jp/asahi/home/baruru/machigyoretsu.html


nice!(1)  コメント(1) 
共通テーマ:パソコン・インターネット
前の10件 | - セキュリティ ブログトップ

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。