情報セキュリティ試験直前対策メモ２００６＝セキュリティプロトコル編＝

２００６年４月に情報処理技術者試験テクニカルエンジニア（情報セキュリティ）試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第６回目は、『セキュリティプロトコル』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

第１回　無線ＬＡＮ編
第２回　ＶＰＮ編
第３回　暗号化編
（≪補足≫　暗号・復号の基本フロー）
第４回　認証編
第５回　ＰＫＩ編
第６回　セキュリティプロトコル編
第７回　サーバセキュリティ編
第８回　脅威の実態編
第９回　アクセス監視編
最終回　規格編

情報セキュリティ・キーワード 2016

アプリケーション層

１：PGP (Pretty Good Privacy)

・ PGP では、かぎ管理とディジタル署名には公開かぎ暗号を使い、メッセージの暗号には共通かぎの暗号化を、またディジタル署名にはハッシュ関数を使い、公開かぎの発行と管理はユーザ自身で行い、公開かぎサーバなどにより公開かぎを公開する

・暗号化：IDEA-CBC

・否認防止（認証と改ざん防止）：MD5 と RSA

２：S/MIME (Security Multipurpose Internet Mail Extensions)

・ S/MIME は拡張性が高く、MIME の外部セットとして動作する

・暗号化：RSA

・ PKCS (Public Key Cryptography Standard)

３： SSH (Secure Shell)

トランスポート層

１：SSL / TLS

２：SOCKS

ネットワーク層

１：IPSec (IP Security Protocol)

２：IPinIP (IP in IP tunneling)

データリンク層

１：L2TP (Layer 2 Tunneling Protocol)

２：PPTP (Point to Point Tunneling Protocol)

３：MPLS (Multi-Protocol Label Switch)

４：MPOA (Multi-Protocol Over ATM)

補足１：ネットワーク層のセキュリティ

１：PPP (Point to Point Protocol)

・LCP (Link Control Protocol)フェーズ

　→接続の性能（最大パケット長、マルチリンク、コールバックなど）

　→認証プロトコル（PAP、CHAP など）

・NCP (Network Control Protocol)フェーズ

　→上位プロトコルごとの処理、パケット圧縮、暗号化

２：PPTP / L2TP

・ VPN 技術の中のトンネル化のプロトコルに使用される

・ PPTP

　→ GRE (Generic Routing Encapuslation)ヘッダを使用する

　→ TCP 1723 で待機

・ L2TP

　→ UDP 1701 を使用

３：WEP (Wired Equivalent Privacy)

　→ IEEE802.11 プロトコルにセキュリティ機能を提供するプロトコル

補足２：インターネット層のセキュリティ

１：ARP

・ ARP スプーフィング攻撃

　→ブロードキャストされる ARP 要求に対して、ニセの MAC アドレスを返す攻撃

２：IP

・ IP ヘッダのぜい弱性

　→送信元とさて先 IP アドレスの置き換え：サービス妨害攻撃（ DoS、DDos 攻撃）

　→フラグメント情報の偽造：Ethernet フレームの最大転送サイズ（ MTU / Maximum Transmission Unit）は、1,500 バイトのため、これを超える IP パケットは、分解／組立てして通信されることを、フラグメントという。IP パケットの最大長である、65,535バイトを超える IP パケットを分解して送信し、受信側で組立てさせて動作エラーを起こさせる攻撃。（ping of death 攻撃）

　→コネクションレスの悪用：IP はコネクションレスのため、盗聴したパケットの内容を変更して、後から攻撃先のホストに再度送信して侵入を試みる

　→盗聴：IP パケットは暗号化されないため、ヘッダやデータも盗聴して、内容を盗み出したり、置き換えたりする

３：ICMP (Internet Control Message Protocol)

・ traceroute (tracert) コマンド：攻撃対象への経路チェックに悪用される

・ Smurf 攻撃：ICMP を使い、攻撃先の IP アドレスを送信元アドレスに設定して、 Echo Request が送信されたように見せかけ、多くのホストから Echo Reply を返させて DDos 攻撃を行う

・ ping コマンド：ping コマンドのオプションを使って、連続送信パケット数（ -f ）、パケットサイズ（ -s ）を指定して、攻撃先の調査をし、負荷をかける

４：IPSec

・ AH ヘッダ：パケットの認証

・ ESP ヘッダ：パケットの認証と暗号化

・リプレイ攻撃を防御するため、AH ヘッダにも、ESP ヘッダにもパケットのシーケンス番号を持っている

・ SA (Security Association)：IPSec で使用するセキュリティパラメータを保持

・ IKE (Internet Key Exchange)：SA の自動生成と管理を行うプロトコル

　→事前共有かぎ（Pre Shared Key）、公開かぎ認証、ディジタル署名（公開かぎ証明書）認証を用意

・ ISAKMP (Internet Security Association and Key Management Protocol)：IKE に従ってパラメータ交換をするプロトコル

・ Oakley (Oakley Key Determination Protocol)：Diffie-hellman かぎ交換プロトコルに認証の機能を追加したもの