セキュリティ用語一覧

このエントリーをはてなブックマークに追加
Pocket

注意が必要なセキュリティ対策

SNMPの列挙の対策をしたい

正規の用途があるので削除したり、無効化したりは対策になりません。コミュニティ名のデフォルト名(Public)はすぐに変えるべきですがバージョン2.0までは平文通信なのでバージョン3.0で暗号化してからコミュニティ名を変更するようにしましょう。

WHOIS情報を隠したい

ドメイン所有者の連絡先詳細などを収集される可能性があるWHOIS情報を隠蔽したい。
WHOIS情報は公開が義務付けられているので非公開にできません。代理公開して個人情報の保護を行うほかありません。

IDLE/IPヘッダのスキャンの判断

踏み台(ゾンビ)を通して通信してくるので、IPアドレスでは判断できません。TTLが異なることからIPスプーリングを判断することはできます。

SSDPが有効だとなぜダメなのか

SSDPが有効だとMACアドレスを答えてOUIからメーカーを特定されます。

AESの欠点

対称鍵アルゴリズムであるため、各受信者はメッセージとは異なるチャネルを介して鍵を受信する必要があります

違いに注意すべきセキュリティ用語

脆弱性評価とセキュリティ監査、ペネトレーションテストの違い

脆弱性評価:システムまたはアプリケーションの攻撃に耐える能力を検証することです。
脆弱性が悪用可能かどうかや、損害の大きさ、攻撃し易さについては示されません。
セキュリティ監査:セキュリティ監査:セキュリテイポリシーに従っているかどうかのみチェック
ペネトレーションテスト:セキュリティ監査と脆弱性評価を含み、悪用できるかどうかを示す

セキュリティポリシーの種類と違い

パノライア的ポリシー:推奨しない。管理、監視が切り離されるため現実的ではありません。⇄プロミスキャスポリシー
寛容なポリシー:ブラックリスト方式
分別あるポリシー:ホワイトリスト方式、こちらが推奨されます。

アクセスコントロールポリシーとリモートアクセスポリシーの違い

アクセスコントロールポリシー:保護されるリソースと、それらのアクセス媒体をコントロールするルールを定義します、
リモートアクセスポリシー:リモートアクセス権を持つユーザ、アクセス媒体およびリモートアクセスセキュリティコントロールを定義します。

挿入攻撃(Insertion Attack)と セッションスプライシング(Session splicing)の違い</h3>
挿入攻撃(Insertion Attack)は攻撃者は無効なパケットを送信してIDSを混乱させようとします。
セッションスプライシング(Session splicing)はIDSは通常無視するSYNセグメントのペイロードにパケットを分割し順不同でパケットを送信分割されたパケットは、ターゲットマシン上で後で組み立てられるようにして検知をかいくぐります。
「Nessus」や「Whisker」といったツールには、HTTPアクセス時のIDS回避機能といった項目があります。

Covert Channel

偽装通信の技術で、セキュリティポリシーに違反または想定しない方法で情報を転送するために使用される通信経路のことです。DNSやICMP、HTTPの中に別の目的を持った通信を隠蔽することができます。特にDNSの場合、DNS Tunnelといい IodineというVPNソフトでDNS Tunnnelを使って手軽にIPv4プロトコルを隠蔽することができます。

DNSレコードの種類と違い

■Aレコード:このドメイン名にはこのIPアドレスが対応することを示す書き方です。
■AAAAレコード:クワッドエーレコードと読む、IPv6アドレス用のAレコードです。
■CNAMEレコード:AWSなどではエイリアスレコードとも呼ばれます。このドメイン名とこのドメイン名は同じと示す書き方です。
■MXレコード:Mail eXchangeの略でメールアドレスに対応するサーバ示す書き方です。メールの喪失を避けるため優先順位(括弧内の数字)も設定できます。
■NSレコード:他のネームサーバを指定して対応をゆだねます。
■TXTレコード:上記以外のSPFレコード(Sender Policy Framework)、SenderIDなどを設定します。
例) IN TXT “v=spf1 a:sample.com ~all”
■PTRレコード:PoinTeRの略で、Aレコードの逆で「このIPアドレスはこのドメイン」と示します。
例) xxx.xxx.xxx.xxx.in-addr.arpa. 86400 IN PTR ns.sample.com.

DOS攻撃の種類

■Ping of Death
ネットワーク上での疎通確認に用いる「ping」と呼ばれるプログラムを悪用し、相手方の受信不可能なサイズのデータを送りつける攻撃手法
■SYN Flood
特定のTCPポートに許容値を超過した数の接続(SYN)を送信する攻撃手法。ほとんどのソースIPが偽装されています。
■Fragment Flood
許容値を超過した数の fragmented IPパケットを送りつける攻撃
■Connection Flood
Connectionの数が正常より非常に多い場合
■Source Flood
単一のソースが 許容値より多くのIPパケットを転送する場合
Zombie 攻撃:非常に数の多い正常なソースIPアドレスから正常なTCPパケットを転送する場合
My Doom 攻撃:Zombieから許容値より多くの HTTPパケットを転送
■Smurf 攻撃
対象サーバーのソースアドレスを偽造して多数EchoメッセージをIP Broadcastアドレスに送信。
該当Broadcastアドレスにトラフィックを転送するルーティングデバイスがLayer 2 Broadcast機能に対してIP Broadcastを実行するため、ほとんどのネットワークのホストはそれぞれのICMP Echo要求を受け入れてEcho応答を実行されるため、応答しているホストの数に比例してトラフィックが増加
■Fraggle 攻撃
FraggleはUDP Echoメッセージを使用するという点を除いて、smurfと似ています。 マルチアクセスBroadcastネットワークでは、数百台のシステムが各パケットに応答することがあります。EchoとChargen(UDP19)を利用して、Loopの形成が可能
■Teardrop攻撃
最大伝送単位(MTU)を超えるIPパケットは、複数の小さなIPパケットに分割される。この分割されたIPパケットには、分割前のどの部分であるかを示すオフセット値が含まれており、この情報を元に、分割されたIPパケットを受信した側は、データを復元することができる。オフセット値が重複するような不正なIPパケットの断片を偽造し、データ再構築時にPCをクラッシュさせたりフリーズさせたりする。

暗号化に対する攻撃の種類と違い

■暗号文単独攻撃(Ciphertext Only Attack; COA)
暗号文単独攻撃とは, 同一の秘密鍵によって暗号化された複数の暗号文を利用することで, 鍵や平文に関する情報を取得しようとする攻撃です.
■既知平文攻撃(Known Plaintext Attack; KPA)
既知平文攻撃とは, ある特定の平文に対してその暗号文が既知である場合に利用される攻撃手法です. ただし, すべての暗号文は同一の秘密鍵によって暗号化されているものとします.
■選択平文攻撃(Chosen Plaintext Attack; CPA)
選択平文攻撃とは, 自分で選んだ任意の平文に対する暗号文を得られる状況において, 攻撃を実行するモデルです.
攻撃者は暗号化オラクルと呼ばれる, 入力した平文に対して適切な暗号文を返す装置を利用して暗号文を得ます. 暗号化オラクルを入手するには, 暗号化装置を入手したり, 認証サーバを悪用したりします.
暗号化オラクルを入手することで, 秘密鍵を知らなくとも平文に対して適切な暗号文を得られることになり, 暗号を解読する大きな手がかりを入手することになります.

セキュリティ概念の基礎知識

情報セキュリティの脅威の分類

ネットワークへの攻撃:スニッフィング、ポイゾニング、DOS攻撃
ホストへの攻撃:フットプリンティング、マルウェア攻撃(バックドア)、
物理セキュリティへの攻撃、権限のエスカレーション、非認証アクセス
アプリケーションへの攻撃:不適切なデータ、入力検証、暗号技術攻撃

脅威モデル

コンポーネント,データフロー,信頼境界(トラストバウンダリ)を特定

企業情報セキュリティアーキテクチャ(EISA)

組織のリソースに優先順位(トリアージ)を付けること
組織がコスト予想を活用できること
アセットを特定するために必要な手順を解析できること
を目的としている

有名なマルウェア

Code Red:.ida バッファオーバーフロー をエクスプロイトするワーム
Conficker:マイクロソフトOSを対象としたワーム
Nimda:IISがターゲットのマルウェア
Poison Ivy:フルリモートコントロール バックドア自身を直接 /system32 にコピーするマルウェア
Tini:ポート 7777 を使うトロイの木馬です。
TROJ_QAZ:レジストリに自身を書き込み起動時に動作するようにしてくるトロイの木馬です。

有名なツール

FOCA:メタデータの抜き取り、DNSスヌーピング、フィンガプリンティング、オープンディレクトリ検索

暗号化技術に関する知識

■キーエスクロー
暗号化されたデータを復号するために必要な鍵がエスクローに保持され、特定の状況下で、許可された第三者がその鍵にアクセスできるようにする仕組みのことである。

セキュリティに関連する法律

DMCA:著作権の法的禁止を定義します。
FISMA:セキュリティコントロールの効果を保証するためのフレームワーク

その他、セキュリテイ用語の知識

EFS(Encrypt File System) :
NTFSのファイル暗号化に利用されます。Windows XP以降に登場したWindowsは、すべてWindows NT系です。FAT16>FAT32>NTFSの順なので注意しましょう。
Metrics:メトリクスとは、様々な活動を定量化し、その定量化したデータを管理に使えるように加工した指標のことです。
Netcraft:netcraft.comでと関連ドメイン、ターゲット組織で利用しているOSを検索できます。
Traceroute:IMCPパケットヘッダのTTLフィールドを利用し経路上のデバイスを検出します

ウォーダイヤリング(War Dialing):非公開の社内ネットワーク向けのダイヤルアップ回線などを求めて、無差別にダイヤルアップを繰り返すクラッキング行為のこと
エゴサーチ:自分の名前で検索してどんな情報が出ているか把握する
コードサイニング(code signing):作成したプログラム等に対して、配布元の組織が実在し、プログラムの内容が改ざんされていないことを証明するために、デジタル署名データなどを埋め込むこと
コンテナスパム:メール本文に情報を記載せず、添付ファイル内に情報を記載して配信される形態のスパムメール
セキュリティアーキテクチャ:特定のシナリオまたは環境に関連する必要性と潜在的なリスクに対処する統一されたセキュリティ設計です。また、いつ、どこでセキュリティ管理策を適用するかも指定します。設計プロセスは一般的に再現可能です。
タイポスクワッティング(typo-squatting):ブラウザのアドレスバーへURLを入力する際の「タイプミス」を悪用して、ユーザーを別のサイトへ誘導する行為のこと
デイジーチェーン:あるネットワークまたはコンピュータへのアクセス権を得て、同じ情報を利用して複数のネットワークやコンピュータのアクセス権を得る行為
ドキシング:個人を特定できる情報を公開すること
ドロッパー:指定したプログラムをコンピューターに取り込み、起動するプログラムのこと