令和4年秋期

ネットワークでキュリティ

ICMP

• IPプロトコルの「エラー通知」や「制御メッセージ」を転送するためのプロトコル
• TCP/IPが実装されたコンピュータ間で、通信状態を確認するために使用
• ネットワーク層で動作
• pingやtracerouteはICMPを利用したもの
• 宛先ネットワークに関して大きく以下2種のメッセージを返す
  • 問い合わせ（Query）: あるノードから特定のノードに対する通信状態を確認
  • エラー通知（Error）: ノード間の通信で経路途中でパケットが破棄された場合にその原因を通知
    https://www.infraexpert.com/study/tcpip4.html

Ping(ICMPエコー要求パケット)

• IPネットワークにおいてIPアドレスをもつ特定の機器に向けてパケットを送信し、正しく届くかを確認するための機能
• パケットが届けば相手から正当な応答(Echo Reply)が返ってきて、その宛先IPアドレスを持つ機器がネットワークに存在することがわかり、応答が返ってこなければ機器が存在しないことがわかる
  https://www.infraexpert.com/study/tcpip5.html

ネットワークに対する攻撃ステップ

1. 調査

• pingスイープの実施
  • 標的のネットワークにおいてどのIPアドレスが有効（実際にノードが使用している）なのかを調査
• ポートスキャン
  • pingスイープによって判明した有効なIPアドレスに対して、有効なサービスポートを特定する
  • 攻撃者が調査をできないように、サーバ本体のIPを隠したり、サーバ上で不要なサービスポートを全て無効にする対策が必要

2. アクセス

• 権限のない侵入者がIDとパスワードを不正に取得して、サーバへのアクセス権を獲得すること
• 辞書攻撃や総当たり攻撃
  • パスワードには意味のない文字列が推奨
  • パスワードの入力回数に制限を儲ける
• これらの手法でIDとパスワード情報が得られたら、サーバに不正アクセスし、サーバに目立たないよう
  　バックドアを設ける

3. 攻撃

• サービス不能攻撃のこと
  • 具体的にはサーバ上のディスクスペース、帯域、バッファ、CPU、メモリへ高い負荷をかけて、リソースを使い果して正規ユーザに対するサービスを妨害する行為のこと
    • DoS攻撃(SYNフラッド攻撃、ICMPフラッド攻撃、smurf攻撃)、DDoS攻撃
      https://www.infraexpert.com/study/security2.html

メールセキュリティ色々

https://www.infraexpert.com/study/security30.html

令和6年春期問

SIEM(シーム：Security Information and Event Management)

• セキュリティ情報およびイベント管理
• 各種アプリケーション、ネットワーク、サーバー、セキュリティ機器などのログデータを収集・分析することで、サイバー攻撃やマルウェア感染などのセキュリティインシデントを高いレベルで検知するためのシステム
• 主要機能
  • ①統合ログ管理サーバと同等の機能・ログの検索、②異常検知、③アラート通知／レポート出力機能

ネットワークの監視、サイバー攻撃やマルウェア感染などのインシデント検知を目的とした仕組みのこと

https://www.ntt.com/bizon/glossary/e-s/siem.html

EDR(Endpoint Detection & Response)

• PCなどのエンドポイントにインストールして使うセキュリティ対策を行うソフトウェア
• PCの状況や挙動ログを監視し、不審な挙動があれば管理者に通知するという仕組み
• 既知のマルウェア対策に加え、挙動監視によって未知のマルウェアの検知、調査、封じ込めなどの機能を有している
• EDRはマルウェア感染後の対応を支援することを目的としており、侵入防止の機能はない
• EDRではマルウェア感染を検知した場合には、マルウェア感染した端末を一時的にネットワークから切り離す

https://www.ntt.com/business/lp/edr.html