【ネスぺ対策】セキュリティ関連技術
ネットワークスペシャリスト合格に必要となる知識を一問一答形式で確認していきます。
目次
DNS
DNSリフレクタ攻撃の原理を述べよ。またその対策を述べよ。
送信元IPアドレスを偽装してDNSに問い合わせを送信して,ある特定のサーバに大量の応答が返るDDoS攻撃の一種。応答のパケットサイズを大きくしたいため,TXTレコードをDNSサーバにキャッシュさせる。したがって,対策としては,DNSサーバをキャッシュサーバとフルリゾルバに分離させればよい。そうすることで,キャッシュが無効化したキャッシュサーバがリゾルバとしてはたらき,TXTレコードを用いたDDoS攻撃を防ぐことができる。
DNSキャッシュポイズニングの対策を三つ述べよ
- 送信元ポート番号のランダム化
- 外部DNSサーバをコンテンツサーバとフルリゾルバサーバに分類する
- DNSSEC
C&CサーバのIPアドレスとFQDNを偽装する方法を述べよ
- IPアドレス:特定のドメインに対するDNSレコードを短時間に変化させるFast Fluxを利用する
- FQDN:あらゆるホスト名に対してワイルドカードで同一のIPアドレスを指定するDomain Fluxを利用する
メール
OP25Bが適用されない条件を二つ答えよ
- 固定IPからの送信
- SMTP-AUTHで認証済みのノードからの送信
電子メールのセキュリティリスクとその対策を洗い出せ
- 全体
- 本文が暗号化されていない:S/MIME, SMTPS
- 送信
- 認証機能がない:POP before SMTP, SMTP AUTH
- 送信元が詐称される:SPF, DKIM
- 大量のメールが送信される:OP25B
- 受信
- 認証パスワードが暗号化されていない:APOP, POP3S
悪意のある攻撃と脆弱性
クロスサイトリクエストフォージェリを説明せよ
悪意のある人が用意した罠により,利用者が予期しない処理を実行させられてしまう攻撃
IPスプーフィング攻撃の対策例を述べよ
外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄するという対策。IPスプーフィングは送信元IPアドレスを偽装する攻撃であるため,送信元IPアドレスを調べて不適切なアドレスであれば除外するといったような対策は有効になる。
リフレクタ攻撃で利用されるプロトコルの特徴を述べよ
IPアドレスの偽装が容易であるコネクションレス型のUDPが利用されやすい。例えば,NTP/Memcached/NTPなどが利用されやすい。なお,リフレクタ攻撃とは送信元IPアドレスを攻撃対象に偽装して,大量の応答パケットを送り込むことで過負荷状態に追い込むDDoS攻撃の一種である。
PCをリピータハブ経由で認証を行うスイッチに接続したときのセキュリティ上の問題を指摘せよ
認証されたポート経由で認証されていないPCの接続が許可されてしまうという問題
SYN Flood攻撃を説明せよ
最後のACKパケットを何らかの方法で相手ホストに届かないようにすることで未完了の接続開始処理を大量に発生させる攻撃
ARPスプーフィングを説明せよ
偽のARP応答とARP要求により,接続先を自分に仕向ける攻撃のことを指す。例えば,クライアントとルータ間の接続で通信制限装置を介在させるケースを考えると,以下のARP要求とARP応答が送られる。なお,下の表にあるフィールドはARPパケットにおけるペイロードに格納されるデータであり,ARPパケットの先頭には別途宛先MACアドレス・送信元MACアドレス・タイプ(ARPは0x0806)が存在する。
| クライアントからの ARP要求 | 通信制限装置からの ARP応答 | 通信制限装置からの ARP要求 |
送信元 MACアドレス | クライアントの MACアドレス | 通信制限装置の MACアドレス | 通信制限装置の MACアドレス |
送信元 IPアドレス | クライアントの IPアドレス | ルータの IPアドレス | クライアントの IPアドレス |
宛先 MACアドレス | ブロードキャスト | クライアントの MACアドレス | ルータの MACアドレス |
宛先 IPアドレス | ルータの IPアドレス | クライアントの IPアドレス | ルータの IPアドレス |
ARPスプーフィングの仕組み
対策
代表的なファイアーウォールの種類を三つ述べ,それらを簡単に説明せよ
- パケットフィルタリング方式:ネットワーク層のレベルで内外の通信を中継する
- サーキットゲートウェイ方式:トランスポート層のレベルで内外の通信を中継する
- アプリケーションゲートウェイ方式:アプリケーション層のレベルで内外の通信を中継する
UTMとは
Unified Thread Managementの略称で,FW・IDS/IPS・SPAM対策などの機能を統合する管理手法。
冗長構成にしたFWの副系はどのように主系の故障を検知するのか
なお,主系自体は監視ポートのリンクダウンや特定端末へのポーリング失敗などを通して自身や周辺機器の故障を検知する。
FWとIDS/IPSとWAFの違いを述べよ
- FW:ヘッダ情報を参照
- IDS/IPS:データ部を参照
- WAF:FWでもIDS/IPSでも止められない高度な攻撃を防ぐ
- Webアプリケーション専用
- 80番ポートなのでFWは機能せずIDS/IPSも防ぎきれない
ソーシャルエンジニアリングを説明せよ
人間の心理性を利用して個人が持つ秘密情報を入手する方法
ping監視で検知できないダウンの特徴を述べよ
ポートが複数あるデバイス。逆にいうとポートが一つのスイッチのダウンは検知することができる。
デバイスの監視方法に関して二つの下位互換方式と一つの上位互換方式を述べよ
- 下位互換方式:ping+SYSLOG
- 上位互換方式:SNMP
pingはサーバがダウンしているか・していないか程度しか検知できない。複数のポートがある場合などは対応が不可能。また,SYSLOGはデバイス側から監視サーバへの単方向的な監視に限られてしまう。一方で,SNMPでは監視サーバから能動的にデバイスの情報を取得できるだけでなく,ポートごとの監視も可能になる。
暗号化
WPA2とWPA3の違いを述べよ
WPA2はIEEE802.11iの必須部分を実装したAESベースのプロトコル。パスワードは利用者間で共有する方式で,AESは,データをある一定の長さに分割して置換と並べ替えを繰り返す暗号化アルゴリズムのことを指す。WPA2では,中間者攻撃を用いるKRACKsという攻撃に対して脆弱性が存在する。WPA3はSAEを利用したパスワードベースの認証を可能にするプロトコル。SAEは,楕円曲線暗号を用いた認証および鍵交換の方式を指し,WPA2の脆弱性を克服する。
EAP/RADIUS/SSID/WPA2では暗号化通信の機能が規定されているか
- EAP:PPPの拡張プロトコルで暗号化通信の機能はない
- RADIUS:認証と利用ログの記録を行うプロトコルだが暗号化通信の機能はない
- SSID:APと端末に設定する識別子
- WPA2:TKIP(Temporal Key Integrity Protocol)を使用して動的に暗号鍵を更新する
CRLを説明せよ
Certificate Revocation Listの略称で,有効期限内に失効したディジタル証明書のシリアル番号のリストを表す。有効期限切れになった証明書ではない点と,公開鍵自体のリストではない点に注意。
EAPの代表的な認証方式を二つ述べよ
- PEAP:サーバ証明書+ID/Password
- EAP-TLS:サーバ証明書+クライアント証明書
PEAPとEAP-TLSの差分はクライアントの認証方式。前者はユーザ認証を行い,後者は端末認証を行う。
802.1X認証における各層ごとのプロトコルを可視化せよ
IEEE802.1X可視化
IKEの二つの動作モードを説明せよ
- メインモード:IPアドレスも認証情報として利用されるため固定IPアドレスが必要
- アグレッシブモード:動的IPアドレスでも認証できる
- XAUTH:IKEの認証拡張機能でRADIUSサーバと連携する
ディジタル署名の目的を三つ述べよ
- 改ざん防止(完全性)
- なりすまし防止(真正性)
- 否認防止(本人が署名を否定できない)
WPA2では,暗号化アルゴリズムにAESを採用した何というプロトコルを使用するか。
CCMP(Counter-mode with CBC-MAC Protocol)
WEP/WPA/WPA2をまとめよ
暗号化方式 | WEP | WPA | WPA2 |
暗号化アルゴリズム | WEPのRC4 | TKIPのRC4 | CCMPのAES |
整合性検証 | WEPのCRC32 | TKIPのMIC | CCMPのCCM |
認証方式 | WEPにはない IEEE802.1X認証を併用する | PSK認証 IEEE802.1X認証 | PSK認証 IEEE802.1X認証 |
WEP/WPA/WPA2の比較
WPA(WPA2)のパーソナルモードとエンタープライズモードを説明せよ
- パーソナルモード:PSK認証
- エンタープライズモード:IEEE802.1X認証
TLSのバージョンと具体的なハッシュアルゴリズムをまとめよ
- TLS1.0/TLS1.1:MD5/SHA-1
- TLS1.2:SHA-256
SSLのハンドシェイクを説明せよ
- Client Hello:利用可能な暗号化アルゴリズム一覧
- Server Hello:暗号化アルゴリズムの決定
SSL-VPNの代表的な三方式を説明せよ
- リバースプロキシ:
- クライアントがHTTPS通信でユーザ認証をしてSSL-VPNゲートウェイでURL変換を行う。
- ポートフォワーディング:
- クライアントがHTTPS通信で専用モジュールをダウンロードする。
- L2フォワーディング:
- クライアントがHTTPS通信で専用ソフトをダウンロードする。
IPsecがネットワーク層のトンネリング技術であるのに対し,SSL-VPNはセッション層(アプリケーション層)のトンネリング技術である。
SSLを4つのフェーズに分けて具体的なアルゴリズムと共に説明せよ
- 認証:RSAなどの公開鍵暗号化方式によりサーバ証明書を認証する
- 鍵交換:RSAなどの公開鍵暗号化方式により共通鍵を交換する
- 暗号化通信:AESなどの共通鍵暗号化方式でアプリケーション層の暗号化を行う
- 改ざん検知:SHA-256などのハッシュアルゴリズムでメッセージの改ざんを検知する
他にも,公開鍵暗号化方式・共通鍵暗号化方式・ハッシュ暗号化方式それぞれに対して,以下のようなアルゴリズムが存在する。
- 公開鍵
- RSA:素因数分解の困難性を利用
- ElGamal暗号:離散対数問題を利用
- 楕円曲線暗号(ECC):楕円曲線上の離散対数問題を利用
- 共通鍵
- RC4:データを1bitずつ暗号化していくストリーム暗号
- DES:一定量のデータをまとめて暗号化するブロック暗号
- AES:複雑性を増したブロック暗号
- ハッシュ
- MD5:128bit
- SHA-1:160bit
- SHA-256:256bit
シェアはこちらからお願いします!
コメント