【ネスぺ対策】セキュリティ関連技術

送信元IPアドレスを偽装してDNSに問い合わせを送信して，ある特定のサーバに大量の応答が返るDDoS攻撃の一種。応答のパケットサイズを大きくしたいため，TXTレコードをDNSサーバにキャッシュさせる。したがって，対策としては，DNSサーバをキャッシュサーバとフルリゾルバに分離させればよい。そうすることで，キャッシュが無効化したキャッシュサーバがリゾルバとしてはたらき，TXTレコードを用いたDDoS攻撃を防ぐことができる。

• 送信元ポート番号のランダム化
• 外部DNSサーバをコンテンツサーバとフルリゾルバサーバに分類する
• DNSSEC

• IPアドレス：特定のドメインに対するDNSレコードを短時間に変化させるFast Fluxを利用する
• FQDN：あらゆるホスト名に対してワイルドカードで同一のIPアドレスを指定するDomain Fluxを利用する

• 固定IPからの送信
• SMTP-AUTHで認証済みのノードからの送信

• 全体
  • 本文が暗号化されていない：S/MIME, SMTPS
• 送信
  • 認証機能がない：POP before SMTP, SMTP AUTH
  • 送信元が詐称される：SPF, DKIM
  • 大量のメールが送信される：OP25B
• 受信
  • 認証パスワードが暗号化されていない：APOP, POP3S

悪意のある人が用意した罠により，利用者が予期しない処理を実行させられてしまう攻撃

外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば，そのパケットを破棄するという対策。IPスプーフィングは送信元IPアドレスを偽装する攻撃であるため，送信元IPアドレスを調べて不適切なアドレスであれば除外するといったような対策は有効になる。

IPアドレスの偽装が容易であるコネクションレス型のUDPが利用されやすい。例えば，NTP/Memcached/NTPなどが利用されやすい。なお，リフレクタ攻撃とは送信元IPアドレスを攻撃対象に偽装して，大量の応答パケットを送り込むことで過負荷状態に追い込むDDoS攻撃の一種である。

認証されたポート経由で認証されていないPCの接続が許可されてしまうという問題

最後のACKパケットを何らかの方法で相手ホストに届かないようにすることで未完了の接続開始処理を大量に発生させる攻撃

偽のARP応答とARP要求により，接続先を自分に仕向ける攻撃のことを指す。例えば，クライアントとルータ間の接続で通信制限装置を介在させるケースを考えると，以下のARP要求とARP応答が送られる。なお，下の表にあるフィールドはARPパケットにおけるペイロードに格納されるデータであり，ARPパケットの先頭には別途宛先MACアドレス・送信元MACアドレス・タイプ（ARPは0x0806）が存在する。

• パケットフィルタリング方式：ネットワーク層のレベルで内外の通信を中継する
• サーキットゲートウェイ方式：トランスポート層のレベルで内外の通信を中継する
• アプリケーションゲートウェイ方式：アプリケーション層のレベルで内外の通信を中継する

戻りのパケットを設定不要で許可する仕組み

Unified Thread Managementの略称で，FW・IDS/IPS・SPAM対策などの機能を統合する管理手法。

• 定期的に送るHAケーブル経由のハートビート

なお，主系自体は監視ポートのリンクダウンや特定端末へのポーリング失敗などを通して自身や周辺機器の故障を検知する。

• FW：ヘッダ情報を参照
• IDS/IPS：データ部を参照
• WAF：FWでもIDS/IPSでも止められない高度な攻撃を防ぐ
  • Webアプリケーション専用
  • 80番ポートなのでFWは機能せずIDS/IPSも防ぎきれない

• IDSの種類
  • ネットワーク型IDS
  • ホスト型IDS
• 検知方法
  • シグネチャ型
  • アノマリ型

人間の心理性を利用して個人が持つ秘密情報を入手する方法

ポートが複数あるデバイス。逆にいうとポートが一つのスイッチのダウンは検知することができる。

• 下位互換方式：ping+SYSLOG
• 上位互換方式：SNMP

pingはサーバがダウンしているか・していないか程度しか検知できない。複数のポートがある場合などは対応が不可能。また，SYSLOGはデバイス側から監視サーバへの単方向的な監視に限られてしまう。一方で，SNMPでは監視サーバから能動的にデバイスの情報を取得できるだけでなく，ポートごとの監視も可能になる。

WPA2はIEEE802.11iの必須部分を実装したAESベースのプロトコル。パスワードは利用者間で共有する方式で，AESは，データをある一定の長さに分割して置換と並べ替えを繰り返す暗号化アルゴリズムのことを指す。WPA2では，中間者攻撃を用いるKRACKsという攻撃に対して脆弱性が存在する。WPA3はSAEを利用したパスワードベースの認証を可能にするプロトコル。SAEは，楕円曲線暗号を用いた認証および鍵交換の方式を指し，WPA2の脆弱性を克服する。

• EAP：PPPの拡張プロトコルで暗号化通信の機能はない
• RADIUS：認証と利用ログの記録を行うプロトコルだが暗号化通信の機能はない
• SSID：APと端末に設定する識別子
• WPA2：TKIP（Temporal Key Integrity Protocol）を使用して動的に暗号鍵を更新する

Certificate Revocation Listの略称で，有効期限内に失効したディジタル証明書のシリアル番号のリストを表す。有効期限切れになった証明書ではない点と，公開鍵自体のリストではない点に注意。

• PEAP：サーバ証明書＋ID/Password
• EAP-TLS：サーバ証明書+クライアント証明書

PEAPとEAP-TLSの差分はクライアントの認証方式。前者はユーザ認証を行い，後者は端末認証を行う。

• メインモード：IPアドレスも認証情報として利用されるため固定IPアドレスが必要
• アグレッシブモード：動的IPアドレスでも認証できる
  • XAUTH：IKEの認証拡張機能でRADIUSサーバと連携する

• 改ざん防止（完全性）
• なりすまし防止（真正性）
• 否認防止（本人が署名を否定できない）

公開鍵

CCMP（Counter-mode with CBC-MAC Protocol）

• パーソナルモード：PSK認証
• エンタープライズモード：IEEE802.1X認証

PMK（Pairwise Master Key）

• TLS1.0/TLS1.1：MD5/SHA-1
• TLS1.2：SHA-256

• Client Hello：利用可能な暗号化アルゴリズム一覧
• Server Hello：暗号化アルゴリズムの決定

• リバースプロキシ：
  • クライアントがHTTPS通信でユーザ認証をしてSSL-VPNゲートウェイでURL変換を行う。
• ポートフォワーディング：
  • クライアントがHTTPS通信で専用モジュールをダウンロードする。
• L2フォワーディング：
  • クライアントがHTTPS通信で専用ソフトをダウンロードする。

IPsecがネットワーク層のトンネリング技術であるのに対し，SSL-VPNはセッション層（アプリケーション層）のトンネリング技術である。

• 認証：RSAなどの公開鍵暗号化方式によりサーバ証明書を認証する
• 鍵交換：RSAなどの公開鍵暗号化方式により共通鍵を交換する
• 暗号化通信：AESなどの共通鍵暗号化方式でアプリケーション層の暗号化を行う
• 改ざん検知：SHA-256などのハッシュアルゴリズムでメッセージの改ざんを検知する

他にも，公開鍵暗号化方式・共通鍵暗号化方式・ハッシュ暗号化方式それぞれに対して，以下のようなアルゴリズムが存在する。

• 公開鍵
  • RSA：素因数分解の困難性を利用
  • ElGamal暗号：離散対数問題を利用
  • 楕円曲線暗号（ECC）：楕円曲線上の離散対数問題を利用
• 共通鍵
  • RC4：データを1bitずつ暗号化していくストリーム暗号
  • DES：一定量のデータをまとめて暗号化するブロック暗号
  • AES：複雑性を増したブロック暗号
• ハッシュ
  • MD5：128bit
  • SHA-1：160bit
  • SHA-256：256bit