Security Terminology
-
セキュリティの必要性
- 閉じている系でさえ問題がおきる
- 機密を盗んだり
- 開いている系ではなおさら
- ワイヤレスAP
- 物理出社
- インターネット接続
- ビジネスパートナーのネットワーク接続
-
言葉の定義
- vulnerability
-
例: ドア
- たとえ鍵がかかっていても
- exploit
-
例: 鍵以外の、不正にドアを開ける道具 — ピッキング道具など
- 特定のvulnerability以外には有効でないことが多い
- threat
- 例: ピッキング道具を持った人
- mitigation techniques
- 例: ドアを頑丈にする、侵入検知アラームをつけるなど
Common Security Threats
Attacks That Spoof Addresses
-
プロトコルが「アドレス」を無条件に信じがちな脆弱性を突く
- 送信元IPアドレスの詐称
- ARP詐称
Denial-of-Service Attacks
- SYN-flood attackが有名
Reflection and Amplification Attacks
- 送信元アドレスを攻撃対象のものにspoofして間接的にパケットを送りつけるやつ
-
amplification attack
- リフレクターでデータを増幅して攻撃対象に送りつけ、帯域を枯渇させる
- DNS amp
- exploit: DNSの「問い合わせよりも応答のほうが必ず大きい」という性質
- NTP amp
- exploit: monlistの、200バイト程度のリクエストに対して100倍以上のレスポンスパケットが返る性質
Man-in-the-Middle Attacks
- トラフィックを盗聴・改ざんする
-
ARPのMITM
- ARP応答をspoofingしてL2機器のARPテーブルを汚染し
-
DNSのMITM — DNSキャッシュポイズニング
- 権威サーバーからフルリゾルバーへのDNS応答をspoofingしてDNSキャッシュを汚染する
Reconnaissance Attacks
-
効果的に攻撃するために脆弱性の情報収集を行うプレ攻撃
- nslookup/dig, whoisでIPアドレス空間特定
- ping sweeps
- port scanning
Buffer Overflow Attacks
- 任意のコードが実行されたりしてこわいやつ
Malware
Trojan Horse | Virus | Worm | |
---|---|---|---|
他のソフトウェアにこっそり同梱される | yes | no | no |
寄生する | no | yes | no |
増殖する | no | yes | yes |
Human Vulnerabilities
- social engineering
-
phishing
- 政府などの大物狙いはwhalingとも
-
pharming
- 偽装サイトに誘導する点ではphishingと同じだが、やり口が異なる
- よりdrasticなやり方
- DNSキャッシュポイズニングや
/etc/hosts
の改変など
-
watering hole attack
- 水飲み場
- よく訪問されるサイトにマルウェアを仕込む
Password Vulnerabilities
Password Alternatives
- パスワードはSYK (Something You Know)
- 多要素認証 — SYH (Something You Have) や SYA (Something You Are)と組み合わせる
-
SYHの例
- 短時間しか使えないトークン
- 証明書
- 期限がある
- revokeできる
-
SYAの例
- 指紋
- 虹彩
Controlling and Monitoring User Access
-
AAA
- Authentication
- 誰?
- Authorization
- 誰かはわかった。何を許可する?
- Accounting
- 何をした?
- 小規模ならばネットワーク機器自体に認証機能がある
-
スケールするにはAAAサーバーを立てる
- TACACS+
- Cisco独自
- TCP 49
- RADIUS
- 標準
- UDP 1812,1813
- AAAクライアントロールのSwitchはNAD(Network Access Device)またはNAS(Network Access Server)とよばれる
Developing a Security Program to Educate Users
-
盛り込むべき要素
- user awareness
- user training
- 定期的に実施すべき
- したがって企業のセキュリティポリシー自体定期的に見直すべき
- physical access control
- アクセスバッジはスケーラブルで、記録が残るので監査でも役立つ
英語
-
pester
- 困らせる
-
eavesdrop
- 盗聴する
-
unwitting accomplice
- 無自覚の共犯者
- リフレクターとして加害者になってしまう側を指している
-
reconnaissance
- 偵察
-
disguised
- 偽装された
-
watering hole
- 水飲み場