平成28年春期 午前2(後半)
目次
- 無線LANで用いられるSSID
- OP25B(Outbound Port 25 Blocking)
- DoS攻撃の一つであるSmurf攻撃(スマーフアタック)
- サブミッションポート
- ハッシュ関数の性質
- エクスプロイトコード(Exploit Code)
- SAML(Security Assertion Markup Language)
- 信頼性設計
- EAP(Extensible Authentication Protocol)
- OCSP(Online Certificate Status Protocol)
- CRL(Certificate Revocation List)
無線LANで用いられるSSID
最長32オクテットのネットワーク識別子であり,接続するアクセスポイントの選択に用いられる。
OP25B(Outbound Port 25 Blocking)
第三者中継を悪用することなく、送信先のメールサーバと直接TCPコネクションを確立してスパムメールを送る手法を防ぐための対策。動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する。
DoS攻撃の一つであるSmurf攻撃(スマーフアタック)
ICMPの応答パケットを大量に送り付ける。 ネットワークの疎通確認に使用されるICMP echo request(ping)の仕組みを悪用して、相手のコンピュータやネットワークに大量のパケットを送りつける反射型のDoS攻撃です。 攻撃者は、以下の手順で攻撃対象のサービスを妨害します。 1. 送信元IPアドレスを攻撃対象のコンピュータに偽装したICMP echo requestを攻撃対象が属するネットワークにブロードキャストで大量に送りつける 2. ICMP echo requestを受け取ったネットワーク内の端末が一斉に攻撃対象にecho replyパケットで応答する 3. 大量の応答パケットの発生により攻撃対象のコンピュータおよびネットワークが過負荷状態になり正常なサービスが阻害される
攻撃名 説明 Smurf攻撃 ICMPの応答パケットを大量に送り付ける。 SYN Flood攻撃 TCP接続要求であるSYNパケットを大量に送り付ける。 UDP Flood攻撃 サイズの大きいUDPパケットを大量に送り付ける。 メールボム攻撃 サイズの大きい電子メールや大量の電子メールを送り付ける。
サブミッションポート
利用者の電子メールソフトからメール送信サーバにメールを投稿(submission)する際に用いる、専用のTCPポート。サーバの運用者が個別に指定できるが、標準では587番が、SSL/TLS接続の場合は465番が用いられる。 http://e-words.jp/w/%E3%82%B5%E3%83%96%E3%83%9F%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%9D%E3%83%BC%E3%83%88.html
ハッシュ関数の性質
ハッシュ関数性質 説明 衝突発見困難性(強衝突耐性) ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる,探索の困難性のこと。 ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM1とM2を探索することが困難であること 第二原像計算困難性(弱衝突耐性) 既知のメッセージM1に対するハッシュ値が与えられた時に、ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM2を探索することが困難であること 原像計算困難性 ハッシュ値が与えられたときに,元のメッセージの探索に要する計算量の大きさによる,探索の困難性のこと。 ハッシュ値から元の入力値を探すことが困難であること、すなわち、hash(M)から元のメッセージMを探索することが困難であること
エクスプロイトコード(Exploit Code)
ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム。 ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムを指す言葉です。
SAML(Security Assertion Markup Language)
シングルサインオンの機能を実現するために標準化団体OASISによって策定された、認証情報、属性情報、およびアクセス制御情報を表現するXMLベースの仕様
信頼性設計
設計思想 説明 例 フェールセーフ システムの不具合や故障が発生したときでも、障害の影響範囲を最小限にとどめ、常に安全を最優先にして制御を行う考え方。 交通管制システムが故障したときには,信号機に赤色が点灯するようにする。 フールプルーフ 利用者が操作や取り扱い方を誤っても危険が生じない、あるいは、そもそも誤った操作や危険な使い方ができないような構造や仕掛けを設計段階で組み込むこと。 乾電池のプラスとマイナスを逆にすると,乾電池が装填できないようにする。 フェールソフト 故障箇所を切り離すなど被害を最小限に抑え、機能低下を許しても、システムを完全には停止させずに機能を維持した状態で処理を続行(縮退運転)する設計のこと。 ネットワークカードのコントローラを二重化しておき,故障したコントローラの方を切り離しても運用できるようにする。 フォールトトレランス システムに障害が発生した場合にも正常に機能し続けることである。 ハードディスクにRAID1を採用して,MTBFで示される信頼性が向上するようにする。※RAID1=ディスクミラーリング
EAP(Extensible Authentication Protocol)
IEEE802.1X規格に基づきPPPの認証機能を拡張したプロトコル。 主に無線LAN ネットワークでレイヤ2ベースの認証、許可、アカウンティング(AAA)の標準認証機構として使用される。
EAP認証方式
EAP-MD5
ユーザ名とパスワードを用いたチャレンジレスポンスによってクライアントを認証する方式。サーバの認証は行われない。
EAP-TLS
認証にTLS(Transport Layer Security)の機構を用いる方式。サーバ-クライアント間でディジタル証明書を用いた相互認証を行う。無線LANのセキュリティの主流となっている。
EAP-TTLS(EAP Tunneled TLS)
TLSによりサーバ認証を行い、その後確立されたEAPトンネルを使用し、各種の認証方法でクライアントを認証する方式。
EAP-FAST
Cisco社によるEAP認証プロトコル。仕組みはEAP-TTLSと同じくTLSを用いて確立した暗号化トンネル上でクライアント認証を行う。
クライアントの認証に、クライアント証明(ディジタル証明書)を用いるのは「EAP-TLS」のみ
https://www.infraexpert.com/study/dot1xz01.html
OCSP(Online Certificate Status Protocol)
リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル。 ディジタル証明書の失効情報を問い合わせる。 クライアントはディジタル証明書のシリアル番号をOCSPレスポンダに送信し、有効性検証の結果を受け取ります。この仕組みを利用することで、クライアント自身がCRLを取得・検証する手間を省くことができます。 https://qiita.com/harukasan/items/fe37f3bab8a5ca3f4f92
CRL(Certificate Revocation List)
- 有効期限内だが、
- 使えなくなった公開鍵証明書が列挙されたリスト
- 使えなくなった理由
- 秘密鍵の漏えい、紛失、証明書の被発行者の規則違反などの理由で認証の約に立たなくなった
- 失効した
- 停止状態である(信用性のない)
- 使えなくなった理由
- CRLには公開鍵証明書のシリアル番号と、その証明書が失効した日時が登録されている