D.Horiyama's output

CCNA試験対策 下巻ch4: Security Architectures

CCNAネットワーク勉強メモ

出典: 

Security Terminology

  • セキュリティの必要性

    • 閉じている系でさえ問題がおきる
    • 機密を盗んだり
    • 開いている系ではなおさら
    • ワイヤレスAP
    • 物理出社
    • インターネット接続
    • ビジネスパートナーのネットワーク接続

  • 言葉の定義

    • vulnerability

    • 例: ドア

      • たとえ鍵がかかっていても
    • exploit

    • 例: 鍵以外の、不正にドアを開ける道具 — ピッキング道具など

      • 特定のvulnerability以外には有効でないことが多い
    • threat
    • 例: ピッキング道具を持った人
    • mitigation techniques
    • 例: ドアを頑丈にする、侵入検知アラームをつけるなど

Common Security Threats

Attacks That Spoof Addresses

  • プロトコルが「アドレス」を無条件に信じがちな脆弱性を突く

    • 送信元IPアドレスの詐称
    • ARP詐称

Denial-of-Service Attacks

  • SYN-flood attackが有名

Reflection and Amplification Attacks

  • 送信元アドレスを攻撃対象のものにspoofして間接的にパケットを送りつけるやつ

  • amplification attack

    • リフレクターでデータを増幅して攻撃対象に送りつけ、帯域を枯渇させる
    • DNS amp
    • exploit: DNSの「問い合わせよりも応答のほうが必ず大きい」という性質
    • NTP amp
    • exploit: monlistの、200バイト程度のリクエストに対して100倍以上のレスポンスパケットが返る性質

Man-in-the-Middle Attacks

  • トラフィックを盗聴・改ざんする

  • ARPのMITM

    • ARP応答をspoofingしてL2機器のARPテーブルを汚染し

  • DNSのMITM — DNSキャッシュポイズニング

    • 権威サーバーからフルリゾルバーへのDNS応答をspoofingしてDNSキャッシュを汚染する

Reconnaissance Attacks

  • 効果的に攻撃するために脆弱性の情報収集を行うプレ攻撃

    • nslookup/dig, whoisでIPアドレス空間特定
    • ping sweeps
    • port scanning

Buffer Overflow Attacks

  • 任意のコードが実行されたりしてこわいやつ

Malware

Trojan Horse Virus Worm
他のソフトウェアにこっそり同梱される yes no no
寄生する no yes no
増殖する no yes yes

Human Vulnerabilities

  • social engineering

  • phishing

    • 政府などの大物狙いはwhalingとも

  • pharming

    • 偽装サイトに誘導する点ではphishingと同じだが、やり口が異なる
    • よりdrasticなやり方
    • DNSキャッシュポイズニングや/etc/hostsの改変など

  • watering hole attack

    • 水飲み場
    • よく訪問されるサイトにマルウェアを仕込む

Password Vulnerabilities

Password Alternatives

  • パスワードはSYK (Something You Know)
  • 多要素認証 — SYH (Something You Have) や SYA (Something You Are)と組み合わせる

  • SYHの例

    • 短時間しか使えないトークン
    • 証明書
    • 期限がある
    • revokeできる

  • SYAの例

    • 指紋
    • 虹彩

Controlling and Monitoring User Access

  • AAA

    • Authentication
    • 誰?
    • Authorization
    • 誰かはわかった。何を許可する?
    • Accounting
    • 何をした?
  • 小規模ならばネットワーク機器自体に認証機能がある

  • スケールするにはAAAサーバーを立てる

    • TACACS+
    • Cisco独自
    • TCP 49
    • RADIUS
    • 標準
    • UDP 1812,1813
  • AAAクライアントロールのSwitchはNAD(Network Access Device)またはNAS(Network Access Server)とよばれる

Developing a Security Program to Educate Users

  • 盛り込むべき要素

    • user awareness
    • user training
    • 定期的に実施すべき
    • したがって企業のセキュリティポリシー自体定期的に見直すべき
    • physical access control
    • アクセスバッジはスケーラブルで、記録が残るので監査でも役立つ

英語

  • pester

    • 困らせる

  • eavesdrop

    • 盗聴する

  • unwitting accomplice

    • 無自覚の共犯者
    • リフレクターとして加害者になってしまう側を指している

  • reconnaissance

    • 偵察

  • disguised

    • 偽装された

  • watering hole

    • 水飲み場