月別: 2007年1月

今年からUSの夏時間期間が変わるそうで、ITへの影響が取り沙汰されている。
Daylight Saving changes: No Y2K, but there could be headaches – Network World
ことしから、夏時間は3月の第2日曜(11日)に始まり、11月の第1日曜に終わるようになる。
時刻が重要なアプリケーション、特にいろいろな予約関係や輸送機関の支援システムなどでトラブルが心配。
やめてよー。
変えないでよー。
でもこれで、夏時間が伸びた分1日あたり10万バレルの石油が節約できるとか。
ホンマかいな。

OOBでNAC機能を提供するアプライアンス。SNMPで情報収集しプロファイリング、CLIでポリシー適用。$6500より。
Bradford Networks :: New NAC Director? Delivers COMPREHENSIVE NAC CAPABILITIES FOR Wired, Wireless, and VPN Connections

内部からの攻撃を検知する製品を作ってたintrusicが営業を停止。
Dark Reading – Desktop Security – Intrusic Shuttered – Security News Analysis

JANUARY 24, 2007 | Intrusic — an insider threat detection vendor — has closed its doors, a company executive confirmed today.
Other vendors in the sector have also had difficulties. Seattle-based GraniteEdge announced layoffs and a revamp last summer, and New York City-based CounterStorm restructured in 2004, he says. Other vendors in this market include Securify, PacketMotion, and network behavior anomaly detection players like Arbor Networks, Lancope, and Mazu Networks, Selby adds.

IPA、暗号化製品の認証制度を4月に開始

暗号化機能や署名機能が正しく実装されていることを確認するほか、鍵やID、パスワードなどの重要情報のセキュリティが確保されていることを試験・認証する
認証業務に必要な費用は26万2,500円～、試験業務については実費だが「数百万円単位」（IPA）。試験期間は2～3カ月

FortinetからNACスイッチ Fortigate-224B 。
admission control(＝端末検査)ではなくNAC(＝ユーザ認証＋アクセス制御)を提供。
つまり、一般的なACLにユーザ認証機能をつけたという意味の模様。
Fortigate-224B starts at $4,000 NAC以外のセキュリティ機能は含まず。
Fortinet switch enforces NAC policies – Network World
01/23/07
By Tim Greene

CISSP受験に役立ったサイトなど。
基本は、ガイドブック： CISSP認定試験 公式ガイドブック
CISSP Exam Preparation Guide 25 Sep 2006 | In partnership with SearchSecurity.com
登録すると、ドメインごとのレクチャー(各1時間弱)と例題(15問づつ)をゲットできる。
問題が多く、しかもダウンロードできるのが良い。解説も結構書いてある。
プレゼン資料は、余り役に立たない。
Free CISSP Practice exams – Certification News – CISSPs News | CISSP.com, the web portal for the certified information systems security professionals www.cissp.com
登録するとオンラインで模擬試験が受けられる。
My Top 10 Tips For Preparing and Passing the CISSP Exam netsecurity.about.com
意外とまじめ。#1実務経験を積む、に始まって正攻法な10の助言。
cissp CISSP training Certified Information Systems Security Professional www.cccure.org
CCcure CISSP関連のポータル。例題エンジンもあり。結構あちこちで参照されている。
登録なしでサンプル問題に挑戦でき、出題数や分野など出題内容のオプションも豊富。
→ 2010年12月確認、要登録になった。
7 Types of Hard CISSP Exam Questions and How to Approach Them by Global Knowledge www.bitpipe.com
「CISSP試験における難しい質問7タイプと対策」
まじめなんだか冗談なんだか。「殆どの人がCISSP試験について最初に聞かされることは、問題がいかに難しいか、あるいはずるいか、ということだ。」という書き出しで始まり、気をつけるべき問題のタイプを7種類に分けて解説。Global Knowledgeのトレーニングでは、そういう受験ノウハウもしっかり教えてあげるよ、ということらしい。
→ 2010年12月確認、要登録になった。PDFをダウンロードして開くと登録フォームが出る。
Physical Security in the CISSP Exam > Overview www.examcram2.com
Pearson IT Certification: CISSP Practice Questions: Application Security > Practice Questions
参考書Exam Cram 2から、Physical Securityの部分だけ紹介。例題50問つき。
→ 2010年12月確認。URL変更、Application Securityの部分になった。例題90問付き。
Preparing for the CISSP exam, Part 2 – Network World
大学先生の試験準備への助言。技術資料サイトへのリンク、NISTなど。

“CISSP試験対策” の続きを読む

マイクロソフトが新しいセキュアなVPNプロトコルを開発
Microsoft developing new secure VPN tunneling protocol – Network World
Technology targets remote access; protocol will not supoort site-to-site VPN tunnels.
By John Fontana, Network World, 01/19/07
VistaとLonghorn用に「新たな独自の」VPNプロトコルを開発しているそうな。
SSLベースで443ポート使用。
Vista SP1、Longhorn Beta3 (今年前半)
「ただのトンネリング･プロトコルなのでSSL VPNとは比べられない」が、

SSTPはSSL上でのフル･ネットワークVPNアクセスを可能にするので、RRASで基本的なSSL VPNを作ったり、もっと充実したSSL VPNを構築するための部品として使うことができる。

サーバ上でSSTPを使って、特定のIPやサブネットをブロックできる。」

だから、要はWhaleのSSL VPNなんだろ。
だけど能書きつけてそのままよそのSSLとはつながらない様にすると。
SSTPはIPv6上で動作可能、SSTP上でIPv6、PPPv6を使える。
NAPにも組み込む予定。
SSTP動作の解説：
Routing and Remote Access Blog:SSTP FAQ – Part 2: Client Specific

オラクル、定期セキュリティ・アップデートで51のパッチを配布 : セキュリティ – Computerworld.jp

データベース・サーバ（Oracle Database 10g、Oracle 9i、Oracle 8i）向けのものが26含まれており、データを改竄されるおそれのある脆弱性に対するセキュリティ・パッチは10に上っている。
アプリケーション・サーバ向けのセキュリティ・パッチは12あり、そのうち8つは、遠隔地からユーザー認証なしでアクセスできる脆弱性に対するもの

オラクル、定例パッチリリースで51件の脆弱性に対応 – CNET Japan

Oracleのセキュリティマネージャー、Eric Maurice氏は同社ブログで、「いくつかのバージョンのデータベースの脆弱性を修正するパッチに、ある問題がみつかった。…」

ありゃま。
とか言っといて…

「いつも通り、すぐに全パッチを適用することを推奨する」とMaurice氏

怖くてできないって。