1.セキュリティプロトコル
TLSのセキュリティ機能
①証明書による認証・・証明書のデジタル署名を確認することで、通信相手を認証。証明書の改竄を検知し、証明書に記載されているFQDNが正しいかどうか検証する。
②鍵交換・・TLSレコードプロトコルの共通鍵暗号方式による通信で使用するセッション鍵を生成する元となる情報を公開鍵暗号方式で交換し、共有する。
③暗号化通信・・鍵交換で取得したセッション鍵を用いて共通鍵暗号方式での暗号化通信を行う。
TLSの利用
TLSを利用する場合、公開鍵と秘密鍵のキーペアを作成し、公開鍵を認証局に提出して証明書を作成するため、利用には証明書と秘密鍵のペアが必要となる。
SSL/TLSアクセラレータ
SSL/TLS専用のハードウェア。サーバ負荷の軽減を図れる。
常時SSL/TLS
Webサイトにおいて、すべてのWebページをTLSで保護するように設定を行うこと。
IPsec
ネットワーク層のプロトコル。通信を行うときに仮想的な通信路であるSAを生成し、その中で通信を行う。SAには以下の二種類がある。
1.IKE SA・・・制御用のSA。通信に先立ち、データ交換を安全に行うために暗号化プロトコルや暗号鍵などの情報をやり取りする。
2.IPsec SA・・通信データを送るためのSA。上り用と下り用でそれぞれ別のSAを生成。IPアドレスやポート番号、プロトコルが異なると別々のSAを生成する。
IKE
共通鍵を安全に共有するためのプロトコル。IKE SAを確立し安全な通信に必要となる情報を交換するフェーズ1と、IPsec SAを確立し安全な通信路を生成するフェーズ2がある。フェーズ1で行われる処理の内容は以下。
1.パラメータの交換・・暗号化アルゴリズム、認証アルゴリズムなどのパラメータを交換し、2と3でやり取りする内容を決定する。
2.共通鍵の生成・・DH鍵交換アルゴリズムで互いに乱数を交換することで暗号化に使用する共通鍵を安全に生成する。
3.認証・・通信相手のルータやPCを認証する。
IPsecの通信モード
①トランスポートモード・・IPヘッダが付加されないモード。PC同士のエンドツーエンド通信で使われる。
②トンネルモード・・IPヘッダが付加されるモード。IPsecゲートウェイでLAN内のIPアドレスを隠蔽する場合などに使われる。
VPN
仮想的な専用線。トンネリングや暗号化などを利用し、共有のネットワークに専用のネットワークを構築する。
IEEE 802.1X
LAN接続時に使用する認証プロトコル。ポートごとに認証を行い、接続を認めた端末以外がネットワークを利用することがないように接続規制を行う。
RADIUS
認証と利用事実の記録を一つのサーバで一元管理する仕組み。
###フィンガプリント
情報の同一性を確認するために用いられる値。
SSID
無線LANアクセスポイントなどに設定される最長32バイトのネットワーク識別子。
無線LANのセキュリティ機能
1.プライバシーセパレータ・・同じアクセスポイントに接続されている機器同士の通信を禁止する。
2.MACアドレスフィルタリング・・事前に登録されたMACアドレスを持つ機器だけに無線LANへの接続を許可する。
2.アプリケーションセキュリティ
HSTS
一度あるサイトにアクセスすると、次回から当該WebサイトにはすべてHTTPSでアクセスすることをWebブラウザに強制する仕組み。HTTPヘッダにStrict-Transport-Securityパラメータを設定して適用する。
HTTPヘッダにおけるセキュリティ対策
①Secure属性・・SSL/TLSを使用して暗号化しているかどうか確認し、暗号化されている場合のみCookieを送信することを指定する。
②HttpOnly属性・・HTMLテキスト内のスクリプトからアクセスすることを禁じる。
③Strict-Transport-Security・・HSTSを利用することを設定する。
④X-Frame-Options・・HTMLのフレーム内でのコンテンツ表示を許可するかどうか設定する。
⑤X-XSS-Protection・・クロスサイトスクリプティングを防ぐためのフィルタを有効化・無効化する。
⑥Content-Security-Policy・・特定の攻撃を検知し、影響を軽減するために追加する情報を定義する。
S/MIME
MIME形式の電子メールを暗号化し、デジタル署名を行う標準規格。共有鍵でメール本文を暗号化した後、その共通鍵を受信者の公開鍵で暗号化し、メールに添付する。
電子メールの認証
①SPF・・差出人のIPアドレスなどをもとにメールのドメインの正当性を検証する。
②DKIM・・デジタル署名を用いて送信者の正当性を検証する。
③SMTP-AUTH・・送信メールサーバでメール送信時にユーザ名とパスワードなどを用いてユーザを認証する。
④POP before SMTP・・送信メールサーバでメール送信前にメール受信のプロトコルでユーザ名とパスワードなどを用いてユーザを認証する。
⑤OP25B・・自社ISPのネットワークの動的IPアドレスから他社ISPの管理するメールサーバへの25番ポートでのSMTP通信を制限する。
DNSSEC
DNSのセキュリティを改善する拡張仕様。クライアントとサーバの両方がDNSSECに対応しており、該当するドメインの情報が登録されていれば、DNS応答レコードの偽造や改竄などを検出できる。
ゾーン転送
オリジナルの情報を保持しているプライマリDNSサーバから情報をセカンダリDNSサーバにコピーする際に使われる手法。
SIEM
サーバやネットワーク機器から集めたログ情報を分析し異常があれば管理者に通知する仕組み。