Open2

【応用情報学習メモ】テクノロジ系 > セキュリティ(セキュリティ実装技術)

pistapista

DKIM(DomainKeys Identified Mail)

  • 送信する電子メールのヘッダーと本文から生成されたデジタル署名を送信側メールサーバで付加し、受信側メールサーバが、送信側ドメインのDNSサーバに登録されている公開鍵を使用してデジタル署名の検証を行うことで、正当なメールサーバから送られてきたメールであることを確認する仕組み

DNSSEC(DNS Security Extensions)

  • DNSにおける応答の正当性を保証するための拡張仕様
  • DNSSECでは名前解決の応答パケットにデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能

セキュアOS

  • 軍事機密や国家機密などを守るために作られたトラステッドOSをルーツとし、価格や使い勝手などの面を一般的な使用に適した形で開発されたOS
  • トラステッドOSで要求されていた「最小特権」と「強制アクセス制御」という機能が取り入れられていて、高いセキュリティが実現されている

最小特権
特権を付与する際に、全部の操作に対して特権を与えるのではなく、特権を細かく分割し、実行する必要のある操作に限定して特権を与える仕組み。管理者アカウントによる不必要な操作や権限の乱用を防ぎ、管理者アカウントが乗っ取られたときの被害を小さくする

強制アクセス制御(MAC:Mandatory Access Control)
ファイルやディレクトリの設定でアクセス制御を行うのではなく、システム全体のアクセス制御を記述したセキュリティポリシーが設定され、管理者アカウントを含むすべてのアカウントやプロセスがそれに強制的に従う仕組み。ファイル所有者や管理者アカウントによりファイル等のアクセス権が変更されるのを防ぐ

サブミッションポート

  • SMTPを拡張したプロトコル
  • 利用者のメールソフト(メーラー)からメールサーバに対して、メールの送信を依頼するときに使用する送信専用のポート番号
  • 通常のメール送信に使われるSMTP(25/TCP)と異なり、SMTP-AUTHによる送信者認証が用意されているため、メールサーバは認証を受けた利用者からのメールのみを送信することが可能

認証VLAN

  • VLANの方式の1つで、ネットワークの接続前にMACアドレス認証、IDとパスワード認証、IEEE 802.1xなどでユーザーを特定し、ユーザーごとに所属すべきVLANに振り分けることで端末のグルーピングを行う

IPsec(IP Security)

  • IP(Internet Protocol)を拡張してセキュリティを高めたプロトコルで、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層レベル(TCP/IPモデルではIP層)で提供する
  • IPsecはプロトコル群の総称であり、認証、暗号化、鍵交換などの複数のプロトコルを含む
  • 認証を担うプロトコルがAH(Authentication Header)
  • 認証と暗号化を担うプロトコルがESP(Encapsulated Security Payload)

クリックジャッキング

  • 攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザーを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃
  • "X-Frame-Options"は、フレーム要素(<frame>または<iframe>)を使用したコンテンツ表示を許可するかどうか指示するためのHTTPヘッダ
  • 値として"DENY(拒否)"または"SAMEORIGIN"を指定することがクリックジャッキング攻撃への対策となる

IMAPS(IMAP over SSL/TLS)

  • メール受信プロトコルであるIMAP(Internet Message Access Protocol)にTLSを組み合わせ、TLSによって暗号化された通信コネクション上でメール受信を行うプロトコル

WPA2-PSK(WPA2 Pre-Shared Key)

  • 無線LANの暗号化方式の規格であるWPA2のうち個人宅やスモールオフィスなどの比較的小規模なネットワークで使用されることを想定したパーソナルモード
  • このモードではアクセスポイントと端末間で事前に8文字から63文字から成るパスフレーズ(PSK:Pre-Shared Key)を共有しておき、そのパスフレーズとSSIDによって端末の認証を行う

サンドボックス(Sandbox)

  • 外部から受け取ったプログラムを保護された領域で動作させることによってシステムが不正に操作されるのを防ぎ、セキュリティを向上させる仕組み
pistapista

スパムメール対策に対するサブミッションポート(587)の導入

メールの送受信の際行われること

1. SMTPによる電子メールの送信

  • メールクライアントからメールサーバにメールを送信する際はSMTPを使用
  • TCP
  • ポート番号:25

1-2. SMTPによる中継サーバーへの電子メールの転送

  • 送信先のメールクライアントが使用するメールサーバへメールを転送する

2. POPによる電子メールの受信

SMTPの問題点

  • POP3では認証が行われる
    • メール受信の際にメールサーバにユーザ名とパスワード情報を送信する
  • SMTPは認証が行われない
  • メールクライアントが最初に送るメールサーバであれば利用者を特定できるためSMTP認証必須としても管理が可能
  • しかし中継サーバーで認証情報を管理するのはとても大変
  • 認証しないため(身元が特定されないため)、スパマーがセキュリティの甘いメールサーバなどを使ってスパム行為に利用されてしまう...

OP25B(Outbound Port 25 Blocking)によるメール遮断

  • 自身が契約しているISPのメールサーバーから送信されない場合、つまり他のメールサーバからSMTPが送信される場合のメールを遮断するもの

サブミッションポート(587)・SMTP-AUTH(SMTP認証)による送信者認証

  • OP25Bは効果があるものの、例えば外出先のホテルからメールを送信する場合、ホテルが契約するISPのメールサーバから自身が契約しているISPのメールサーバへの送信も遮断されてしまう...
  • そこで宛先ポート番号が587である場合はSMTP認証を行うことで、ユーザー認証する様にした