情報セキュリティ試験直前対策メモ2006=セキュリティプロトコル編=

2006年4月に情報処理技術者試験テクニカルエンジニア(情報セキュリティ)試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第6回目は、『セキュリティプロトコル』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

アプリケーション層

1:PGP (Pretty Good Privacy)

・ PGP では、かぎ管理とディジタル署名には公開かぎ暗号を使い、メッセージの暗号には共通かぎの暗号化を、またディジタル署名にはハッシュ関数を使い、公開かぎの発行と管理はユーザ自身で行い、公開かぎサーバなどにより公開かぎを公開する

・暗号化:IDEA-CBC

・否認防止(認証と改ざん防止):MD5 と RSA

2:S/MIME (Security Multipurpose Internet Mail Extensions)

・ S/MIME は拡張性が高く、MIME の外部セットとして動作する

・ 暗号化:RSA

・ PKCS (Public Key Cryptography Standard)

3: SSH (Secure Shell)

トランスポート層

1:SSL / TLS

2:SOCKS

ネットワーク層

1:IPSec (IP Security Protocol)

2:IPinIP (IP in IP tunneling)

データリンク層

1:L2TP (Layer 2 Tunneling Protocol)

2:PPTP (Point to Point Tunneling Protocol)

3:MPLS (Multi-Protocol Label Switch)

4:MPOA (Multi-Protocol Over ATM)

補足1:ネットワーク層のセキュリティ

1:PPP (Point to Point Protocol)

・LCP (Link Control Protocol)フェーズ

 →接続の性能(最大パケット長、マルチリンク、コールバックなど)

 →認証プロトコル(PAP、CHAP など)

・NCP (Network Control Protocol)フェーズ

 →上位プロトコルごとの処理、パケット圧縮、暗号化

2:PPTP / L2TP

・ VPN 技術の中のトンネル化のプロトコルに使用される

・ PPTP

 → GRE (Generic Routing Encapuslation)ヘッダを使用する

 → TCP 1723 で待機

・ L2TP

 → UDP 1701 を使用

3:WEP (Wired Equivalent Privacy)

 → IEEE802.11 プロトコルにセキュリティ機能を提供するプロトコル

補足2:インターネット層のセキュリティ

1:ARP

・ ARP スプーフィング攻撃

 →ブロードキャストされる ARP 要求に対して、ニセの MAC アドレスを返す攻撃

2:IP

・ IP ヘッダのぜい弱性

 →送信元とさて先 IP アドレスの置き換え:サービス妨害攻撃( DoS、DDos 攻撃)

 →フラグメント情報の偽造:Ethernet フレームの最大転送サイズ( MTU / Maximum Transmission Unit)は、1,500 バイトのため、これを超える IP パケットは、分解/組立てして通信されることを、フラグメントという。IP パケットの最大長である、65,535バイトを超える IP パケットを分解して送信し、受信側で組立てさせて動作エラーを起こさせる攻撃。(ping of death 攻撃)

 →コネクションレスの悪用:IP はコネクションレスのため、盗聴したパケットの内容を変更して、後から攻撃先のホストに再度送信して侵入を試みる

 →盗聴:IP パケットは暗号化されないため、ヘッダやデータも盗聴して、内容を盗み出したり、置き換えたりする

3:ICMP (Internet Control Message Protocol)

・ traceroute (tracert) コマンド:攻撃対象への経路チェックに悪用される

・ Smurf 攻撃:ICMP を使い、攻撃先の IP アドレスを送信元アドレスに設定して、 Echo Request が送信されたように見せかけ、多くのホストから Echo Reply を返させて DDos 攻撃を行う

・ ping コマンド:ping コマンドのオプションを使って、連続送信パケット数( -f )、パケットサイズ( -s )を指定して、攻撃先の調査をし、負荷をかける

4:IPSec

・ AH ヘッダ:パケットの認証

・ ESP ヘッダ:パケットの認証と暗号化

・リプレイ攻撃を防御するため、AH ヘッダにも、ESP ヘッダにもパケットのシーケンス番号を持っている

・ SA (Security Association):IPSec で使用するセキュリティパラメータを保持

・ IKE (Internet Key Exchange):SA の自動生成と管理を行うプロトコル

 →事前共有かぎ(Pre Shared Key)、公開かぎ認証、ディジタル署名(公開かぎ証明書)認証を用意

・ ISAKMP (Internet Security Association and Key Management Protocol):IKE に従ってパラメータ交換をするプロトコル

・ Oakley (Oakley Key Determination Protocol):Diffie-hellman かぎ交換プロトコルに認証の機能を追加したもの