コンピュータ ネットワークが直面する 2 つのセキュリティ脅威
受動的攻撃: 特定のプロトコル データ PUD を傍受、観察、分析します。トラフィック分析とも呼ばれます。
積極的な攻撃: 改ざん: ネットワーク上で送信されるパケットを意図的に改ざんすること
悪意のあるプログラム: ウイルス、ワーム、トロイの木馬、ロジックボム、バックドア侵入カバー、不正ソフトウェア
サービス妨害 DoS: 指定されたサーバーに大量のパケットを送信し、サーバーが正常に動作しなくなるようにします。
コンピュータ ネットワーク セキュリティの目標:
機密性、エンドポイント認証、情報の完全性、運用上のセキュリティ(アクセス制御)
データ暗号化モデル
平文 X、暗号化アルゴリズム E、暗号文 Y
復号化アルゴリズム D、復号化キー K
2 種類の暗号システム
対称鍵暗号方式
暗号化キーは復号化キーと同じ暗号化システムを使用します
DEX (データ暗号化標準)、DES の機密性はキーの機密性に依存し、アルゴリズムは公開されています
公開鍵暗号化
異なる暗号化キーと復号化キーを使用する
主な理由は次のとおりです: キー配布の問題、デジタル署名の要求
RSA 暗号化。公開鍵暗号システムでは、暗号化鍵 (公開鍵) PK は公開されますが、復号化鍵 (秘密鍵) は秘密にしておく必要があり、暗号化アルゴリズム E と復号化アルゴリズム D は両方とも公開されます。
1. 鍵ペア生成器は受信者 B の鍵のペア、公開鍵 PKb と秘密鍵 SKb を生成します。送信者 A が使用する暗号化鍵は受信者 B の公開鍵です。B が使用する復号化キーは B の秘密キーです
2. 送信者 A は、B の公開鍵 PKb を使用して平文 X ~ E を暗号化し、暗号文 B を取得して送信します。
B は自分の秘密鍵を使用して、復号アルゴリズム D を通じて復号し、暗号文を復元します。
3. 既知の PKb は SKb を推定できない
4. 公開キーは暗号化できますが、復号化できません。
5. D 操作と E 操作の順序は結果に影響しません
デジタル署名
保証される機能
1. 受信者はメッセージ上の送信者の署名を検証できます。
2. 受信者は、受信したデータが送信者によって送信されたものとまったく同じであり、改ざんされていないことを確認します (メッセージの完全性)。
3. 送信者は後でメッセージ署名を拒否することはできません (否認防止)
識別
メッセージ認証
暗号ハッシュ関数
ハッシュ関数の入力長は非常に長くなる可能性があります
異なるハッシュ値は異なる入力に対応する必要があります
暗号化ハッシュ関数は一方向関数です
MD5 と SHA-1
MD5: 1.計算の残り (64 ビット) に従って、任意 の長さのメッセージをメッセージの末尾に追加します。
2. メッセージと残りの間の 1 ~ 512 ビットを埋めます。埋められる最初のビットは 1、次のビットは 0 です。
3. 追加および埋められたメッセージを 512 ビットのデータ ブロックに分割し、各 512 ビットのメッセージ データはさらに 4 ビットと 128 ビットのデータ ブロックに分割され、4 つの計算のために異なるハッシュ関数に送信されます。最終的な MD5 ダイジェスト コード (128 ビット) が計算されるまで、各ラウンドで 32 ビットの小さなデータ ブロックに対して複雑な演算が実行されます。
メッセージ認証コード:
エンティティの識別
鍵の配布
鍵の配布は、オフネットワーク配布(物理メディア)、オンネットワーク配布(ネットワークを介した自動配布)に分けられます。
ファイアウォール
ファイアウォールの内側のネットワークを「信頼できるネットワーク」、ファイアウォールの外側のネットワークを「信頼できないネットワーク」と呼びます。
パケットフィルタ:パケットフィルタリング機能を備えたルーターで、内部ネットワークに出入りするパケットをフィルタリングルールに従って転送または廃棄するために使用されます。(一般的にはポートに応じてブロックできます。例えば、ニュースネットワークがポート119を使用している場合、ポート119をブロックするとネットワークが使用できなくなります)
アプリケーションゲートウェイ(プロキシサーバー):アプリケーション層で中継の役割を果たし、ネットワークに出入りするデータはアプリケーションゲートウェイを通過し、アプリケーション層のデータに基づいたフィルタリングや高度なユーザー識別を実現できます。
侵入検知IDS:グループ化可能であることを検知した場合、管理者に警告またはブロックを行います。
一般に次のように分類されます。 シグネチャベースの侵入検知: 既知の攻撃シグネチャのデータベースを比較します (未知の攻撃には無効)
異常ベースの侵入検知:通常のネットワークトラフィックと比較して、差異があれば報告します(誤検知しやすい)