NetworkSecurity

VPN:Virtual Private Network
1. IP-VPN
  1. 特徴
    1. インターネットを利用せずに通信事業者（キャリア）の提供する閉域IPネットワーク上に構築するVPN
2. インターネットVPN
  1. IPSec-VPN
    1. 特徴
      1. ネットワーク層でカプセル化、暗号化する
      2. 通信モード
      3. トランスポードモード
      4. システム間の通信経路のすべてを暗号化する
      5. IPパケットのペイロードのみを暗号化
      6. マルチプロトコルに対応できない
      7. プライベートアドレスによる通信ができない
      8. トンネルモード
      9. VPNゲート間の通信経路のメッセージだけが暗号化
      10. IPヘッダとペイロードを暗号化
      11. マルチプロトコルに対応可能
      12. 送信元IPアドレスと宛先IPアドレスを隠ぺいできる
      13. プライベートアドレスで通信可能
      14. カプセル化によるオーバヘッドが生じる
      15. MTU長を超えた場合、フラグメント化や再構成によるオーバヘッドが生じる
      16. プライベートアドレスが重複する可能性がある
      17. アクセス制御
      18. SPD：Security Policy Database
      19. パケットの破棄
      20. IPSecを適用
      21. IPSecを適用せずに通過
      22. セレクタ（ルール）を登録
      23. IPSecの適用有無
      24. 使用するプロトコル
      25. AH
      26. ESP
      27. 暗号化アルゴリズム
      28. 通信モード
      29. トランスポードモード
      30. トンネルモード
      31. 認証アルゴリズム
      32. セキュリティプロトコル
      33. AH:Authentication Header
      34. MACを用いたメッセージ改ざんの検知（完全性）
      35. ICV：Integrity Check ValueをAHヘッダに格納
      36. HMAC－MD5
      37. HMAC-SHA1
      38. エンティティ認証
      39. リプレイ攻撃の防御
      40. フォーマット
      41. 次ヘッダ
      42. ペイロード長
      43. 予約
      44. SPI：Security Parameter Index （32bit）
      45. SA：Security Associationを指定
      46. シーケンス番号（32bit）
      47. リプレイ攻撃の防御
      48. 認証データ
      49. トランスポートモード
      50. [IPヘッダ][AHヘッダ][TCPヘッダ][データ]
      51. トンネルモード
      52. [新IPヘッダ][AHヘッダ][IPヘッダ][TCPヘッダ][データ]
      53. ESP：Encapsulating Security Payload
      54. MACを用いたメッセージ改ざんの検知（完全性）
      55. ICV：Integrity Check ValueをAHヘッダに格納
      56. HMAC－MD5
      57. HMAC-SHA1
      58. エンティティ認証
      59. リプレイ攻撃の防御
      60. メッセージの暗号化
      61. トランスポートモード
      62. [IPヘッダ][ESPヘッダ][TCPヘッダ][データ][ESPトレーラ][ESP認証データ]
      63. トンネルモード
      64. [新IPヘッダ][ESPヘッダ][IPヘッダ][TCPヘッダ][データ][ESPトレーラ][ESP認証データ]
      65. SA：Security Association
      66. IPSecで作成される仮想トンネル
      67. SPI：Security Parameter Index
      68. SAを識別する
      69. ①ISAKMP SA（IKEフェーズ１）
      70. IPSecを確立するための情報を制御する制御用トンネル
      71. IKE：Internet Key Exchange
      72. SAの作成や、暗号化に用いる自動鍵交換プロトコル
      73. 500 /UDPを使用
      74. メインモード
      75. リモートアクセスには適していない
      76. ①ISAKMP SA　ネゴシエーション
      77. SAペイロードにより暗号アルゴリズム、ハッシュアルゴリズムなどパラメータを提案
      78. [IPヘッダ][UDPヘッダ][ISAKMPヘッダ][ISAKMPペイロード]
      79. 暗号アルゴリズム
      80. DES/3DES/AES
      81. ハッシュアルゴリズム
      82. MD5/SHA-1
      83. 認証方式
      84. 事前共有鍵（Pre Shared Key)
      85. デジタル署名
      86. DSA
      87. RSA
      88. 公開鍵暗号
      89. 改良型公開鍵暗号
      90. ライフタイム
      91. DHグループ
      92. ②DH交換による共通鍵の共有
      93. [IPヘッダ][UDPヘッダ][ISAKMPヘッダ][鍵交換ペイロード][乱数]
      94. ③ID確認よる通信相手の認証
      95. IDに固定IPアドレスを利用
      96. IDとハッシュ値が暗号化される
      97. モバイル環境やIPアドレスが固定でない場合は、事前共通鍵が利用できない
      98. [IPヘッダ][UDPヘッダ][ISAKMPヘッダ][ID][ハッシュ値]
      99. アグレッシブモード
      100. リモートアクセスに適している
      101. ①ISAKMPパラメータ、DH公開値、ID、認証用乱数を送信
      102. 最初にIDを送信するため、利用IDや動的IPアドレスも利用可能
      103. XAUTH
      104. IDとパスワードによるユーザ認証
      105. IDは暗号化されない
      106. [IPヘッダ][UDPヘッダ][ISAKMPヘッダ][ISAKMPペイロード][鍵交換ペイロード][乱数][ID]
      107. ②SAペイロード、鍵交換ペイロード、乱数、IDのレスポンダを送信
      108. [IPヘッダ][UDPヘッダ][ISAKMPヘッダ][ISAKMPペイロード][鍵交換ペイロード][乱数][ID][ハッシュ値]
      109. ③イニシエータのハッシュを送信し、認証を実施
      110. ハッシュ値は暗号化される
      111. ②IPSec SA（IKEフェーズ２）
      112. 実際のデータの送受信に用いられる通信用トンネル
      113. セッション鍵を定期的に更新する
      114. リキー（Re-keying)
      115. ソフトライフタイム
      116. 現在のSAから新しいSAが確立するまでの時間
      117. ハードライフタイム
      118. 既存のSAの有効期限
      119. クイックモード
      120. ①イニシエータがIPSec SAパラメータ、乱数、ハッシュ値を送信
      121. パケットのペイロードは暗号化
      122. PFS：Perfect Forward Security
      123. オプションでDH交換を行う
      124. デフォルトではDH交換しない
      125. ②レスポンダが受諾するパラメータ、乱数、ハッシュ値を送信
      126. ③認証用のハッシュ値をレスポンダに送信
      127. ハッシュ値は暗号化される
      128. 鍵管理
      129. IKE
      130. ISAKMP：Internet SA and Key Management Protocol
      131. SAや鍵の管理を行う
      132. OAKLEY
      133. 鍵交換プロトコル
      134. SKEME：a Versatile Secure Key Exchange Mechanism for internet
      135. 鍵交換プロトコル
  2. SSL-VPN
    1. SSL
      1. セッション層とトランスポート層の間で実装される
      2. デジタル証明書を用いてサーバとクライアントの正当性を相互認証する
      3. https, pop3s,idaps,telnets,ftps,imaps
      4. MACメッセージ認証を行う
      5. プロトコル
      6. Handshakeプロトコル
      7. Change Cipher Spec プロトコル
      8. Alertプロトコル
      9. Applicationデータプロトコル
      10. Recordプロトコル
3. リモートアクセスVPN
  1. PPTP：Point to Point Tunneling Protocol
    1. マイクロソフト社が開発したトネリングプロトコル
    2. データリンク層
    3. 暗号化処理
      1. RC4
      2. MPPE:Microsoft Point-to-Point Encryption
    4. 認証
      1. MS-CHAP
    5. [IPヘッダ][GREヘッダ][PPPヘッダ][IPヘッダ][TCPヘッダ][データ]
    6. GRE:Generic Routing Encapsulation
      1. プロトコル：47
    7. 1723/TCP
  2. L2TP：Layer2 Tunnelling Protocol)
    1. データリンク層
    2. PPTPとシスコシステム社が開発したL2F（Layer2 Forwarding ) をベースに作られたプロトコル
    3. L2TPヘッダによってPPPフレームをカプセル化し、さらにUDPでカプセル化する
    4. [IPヘッダ][UDPヘッダ][L2TPヘッダ][PPPヘッダ][IPヘッダ][TCPヘッダ][データ]
    5. 1701/UDP
Wireless Network
1. IEEE 802.11
  1. IEEE 802.11a
    1. 54Mbps
      1. 5GHz
  2. IEEE 802.11b
    1. 11Mbps
      1. 2.4GHz(ISMバンド）
  3. IEEE 802.11g
    1. 54Mbps
      1. 2.4GHz
  4. IEEE 802.11n
    1. 600Mbps
      1. 2.4GHz/5GHz
  5. 暗号化方式
    1. WEP
      1. データリンク層で暗号化が行われる
      2. すべての無線LAN端末に同じ秘密鍵を設定する
      3. IVは暗号化されずにフレームに格納される
      4. ビットフリッピング攻撃
      5. ICVの生成にCRC32を利用しているため、人為的操作により改ざんができる
      6. IVのサイズが短いため、短時間で同じ値が再利用される
      7. 暗号鍵キーストリーム
      8. 暗号鍵：64bit
      9. WEPキー：40bit
      10. IV: 24bit
      11. 暗号鍵：128bit
      12. WEPキー：104bit
      13. IV:24bit
      14. WEPキーとIVをRC4で暗号化しキーストリームを生成
      15. [FCS]
      16. [暗号化データ][暗号化ICV]
      17. [MACアドレス][IV]
  6. アクセス制御方式
    1. ESS ID
      1. ESS IDにANYまたは空白を設定する通信可能
      2. ANYアクセスの拒否機能
      3. アクセスポイントが定期的にESS IDをビーコンとしてブロードキャストする
      4. ビーコンのステルス化（停止）
      5. プローブ応答を返さないようにする
      6. 第三者が盗聴可能
    2. MACアドレス制御
      1. ノートPCや無線LANカードの盗難によってなりすましが容易
      2. MACアドレスは平文でネットワークに流れるため盗聴が容易
  7. フレーム制御方式
    1. CSMA/CA
      1. 衝突の検出ができないため、フレームを送信するタイミングをずらす
2. IEEE　802.11i
  1. WPA2
    1. AES
      1. CCMP：Counter Mode with CBC-MAC Protocol
      2. データの暗号化と整合性の検証を同時に行う
    2. IEEE 802.1x
  2. WPA:Wi-Fi Protected Access
    1. TKIP
      1. フレームごとに暗号鍵を変更する
      2. 暗号方式
      3. WPA-TKIP
      4. RC4+TKIP
      5. MIC：Message Integrity Code
      6. 伝送フレームが途中で改ざんされていることを検知する
      7. WPA-AES
      8. AES+ TKIP
      9. 暗号鍵キーストリーム
      10. 一時鍵（TK):128bit
      11. 一定時間ごとにTKを更新する
      12. IV：48bit
      13. IVをカウンタとして利用し現在通信しているIVより小さいIVを含んだフレームを排除する（リプレイ攻撃を防止）
      14. Topic
      15. MACアドレス
      16. TK+IV+MACをハッシュ化
      17. [FCS]
      18. [暗号化データ][暗号化MIC][暗号化ICV]
      19. [MACヘッダ][IV][拡張IV]
      20. Beck-Tews攻撃
    2. IEEE 802.1x
      1. EAP
      2. PSK
      3. アクセスポイントとPC端末との間で事前に共有鍵を共有する方式でユーザ認証は行わない
ネットワーク監視・検知技術
1. IDS
  1. NIDS
    1. ステルスモード
      1. プロミスキャストモード
      2. すべてのパケットを収集するモード
      3. NICにIPアドレスを割り当てない
    2. L2スイッチのミラーポート
      1. 指定したポートに流れるパケットをコピーして転送する機能
    3. 通知方法
      1. コンソール画面のメッセージの表示
      2. メールでの通知
      3. SNMPトラップの発行
    4. 防御機能
      1. RSTパケットによりTCPコネクションの切断
      2. １パケットで完了する攻撃は防御できない。
      3. SYNフラッドやSYNスキャンなどのDOS攻撃、UDPを用いたコネクションレス攻撃には効果がない
      4. ファイアウォールのACLを動的に変更して防御（シャニング）
      5. ICMPによるUDPの切断
  2. HIDS
    1. 通知方法
      1. コンソール画面のメッセージの表示
      2. メールでの通知
      3. SNMPトラップの発行
    2. 防御機能
      1. RSTパケットによりTCPコネクションの切断
      2. ファイアウォールのACLを動的に変更して防御（シャニング）
      3. ICMPによるUDPの切断
      4. 不正アクセスパケットの破棄
      5. アカウントのロックアウト
      6. ログインの制限
      7. 上位権限への昇格制限
      8. ファイルへのアクセス制限
2. IPS
  1. NIPS
    1. プロミスキャストモード
      1. すべてのパケットを通過させるため、防御機能を発揮できない
    2. インラインモード
      1. 正常なパケットのみを通過させることが可能
  2. HIPS
3. 検知方式
  1. シグネチャ型
  2. アノマリ型
    1. プロトコルアノマリ検知
      1. 異常パケットを検知
    2. トラフィックアノマリ検知
      1. トラフィックを検知し、統計的な異常を検知
検疫システム
1. ウイルスの二次感染を防止するためのシステム
2. PC接続規制
3. 認証処理
4. 治療処理
5. DHCP方式
  1. ネットワークの構成を変更せずに導入可能
  2. 手動で固定IPアドレスを設定しているPCには対応できない
6. 認証スイッチ方式
  1. IEEE 802.1Xによる認証機能と動的VLAN機能を持った認証スイッチを利用
  2. PCに接続するスイッチをすべて認証スイッチに変更しなければならない