RADIUS
リモートアクセスの脆弱性を緩和するために、ローカルネットワーク内にあるアクセスポイントとなるサーバーと認証サーバー(RADIUSサーバー)を分離した認証システム
Authentication, Authorization, Accounting
DARIUS(半径)の弱点を克服するための次世代のプロトコルが DIAMETER(直径)
他にもKerberosといった認証モデルがある
XMLディジタル署名
Webサービスのセキュリティ(2):XMLデジタル署名とXML暗号 - @IT
ファイアウォールにおけるダイナミックパケットフィルタリング
一般的なファイアウォールは静的な解析によるもの(IPアドレス、ポートなど)
ダイナミックパケットフィルタリングのひとつとしてステートフルインスペクションがある。つまり、リクエストに対するレスポンスの内容といった、ステートフルな内容まで解析する。
リスクベース認証
前回と異なるPCからログインされた、といった場合に追加の認証を行うこと。
CRL
CRLとは有効期限内に何らかの理由で失効したディジタル証明証のリスト (Cirtificate Revocation List) なので、有効期限内のディジタル証明書が登録されることがある。
サイドチャネル攻撃
リクエストに対するレスポンスの時間など、振る舞いを外部から物理的に観察して内部の動作を推測すること。
ダークネット
インターネット状に存在してかつ未使用のIP空間。通常このようなIPに通信が行われても何も起きないが、このような未使用のIPが宛先に指定されている通信が一定量存在する。このような通信はランダムIPアクセスによる攻撃などの可能性が高いため、観察することで攻撃者の活動を観察する。
rootkit
OSなどの奥深くに潜りこみ、キーロガーなどの不正なソフトをインストールしたうえで、その不正ソフトの存在を隠蔽する。
DNSSEC
DNSキャッシュポイズニングなどを防ぐために、DNSとのやり取りを暗号化してDNSキャッシュが汚染されていないことを検証する。
PPP, EAP-TLS
リモート接続などで使われる PPP (Point to Point Protocol: 2点間の通信で使われるプロトコル)の認証技術にはさまざまある。
- PAP: ユーザーIDとパスワードを平文で送信して認証する
- CHAP: チャレンジハンドシェイク方式を利用した、PAPの通信を暗号化したバージョン(チャレンジレスポンス方式)
- EAP: PAPを拡張し、MD5、TLS、ワンタイムパスワードなど複数の方式の中から適切なものを選択して通信を保護する
IPSec
VPNを実現するプロトコルとして、IPSecとPPTPがある。VPNは盗聴を防ぐために暗号化をする必要があったり、認証を行う必要がある。
PPTP: データリンク層で暗号化や認証を行う。IPSecとPPTPはレイアーが違うだけで通信プロセスは基本的に同じ。
IPSsecはネットワーク層で暗号化や人相などを行う。PIv4ではオプショナル、IPv6では標準プロトコルとして採用されている。ネットワーク層で行うのでアプリケーション層では何も考える必要がない。
SA(セキュリティアソシエーション): モードやプロトコル、認証方式や暗号化方式、鍵、SPI(セキュリティパラメータインデックス)を記述したパラメータのセットとそれをもとにしたコネクション。これがないとIPSec通信を始められない。
IPSecにはIKEフェーズとIPSecフェーズがある。IKEフェーズはSAを作る。それが終わるとIPSecフェーズが始まり通信が行える。IKEフェーズのポートは500番である。
IKEによって確率されるコネクションをSAという。SAは以下の3つのコネクションからなりたつ
- ISAKMP SA: 制御用。上り下り兼用。
- IPsec SA: データ通信よう。上りと下りで1つづつ計2つ
SMTP-AUTH
SMTPはメールクライアントからメールサーバにメールを送信するプロトコルだが、それをパスワード認証にしたものがSMTP-AUTH