コンピュータネットワーク (7) ネットワークセキュリティ

コンピュータ ネットワークが直面する 2 つのセキュリティ脅威

        受動的攻撃: 特定のプロトコル データ PUD を傍受、観察、分析します。トラフィック分析とも呼ばれます。

        積極的な攻撃: 改ざん: ネットワーク上で送信されるパケットを意図的に改ざんすること

                                悪意のあるプログラム: ウイルス、ワーム、トロイの木馬、ロジックボム、バックドア侵入カバー、不正ソフトウェア

                                サービス妨害 DoS: 指定されたサーバーに大量のパケットを送信し、サーバーが正常に動作しなくなるようにします。

コンピュータ ネットワーク セキュリティの目標:

        機密性、エンドポイント認証、情報の完全性、運用上のセキュリティ（アクセス制御）

データ暗号化モデル

         平文 X、暗号化アルゴリズム E、暗号文 Y

                

        復号化アルゴリズム D、復号化キー K

                

2 種類の暗号システム

        対称鍵暗号方式

                暗号化キーは復号化キーと同じ暗号化システムを使用します

                DEX (データ暗号化標準)、DES の機密性はキーの機密性に依存し、アルゴリズムは公開されています

        公開鍵暗号化

                異なる暗号化キーと復号化キーを使用する

                主な理由は次のとおりです: キー配布の問題、デジタル署名の要求

                RSA 暗号化。公開鍵暗号システムでは、暗号化鍵 (公開鍵) PK は公開されますが、復号化鍵 (秘密鍵) は秘密にしておく必要があり、暗号化アルゴリズム E と復号化アルゴリズム D は両方とも公開されます。

                1. 鍵ペア生成器は受信者 B の鍵のペア、公開鍵 PKb と秘密鍵 SKb を生成します。送信者 A が使用する暗号化鍵は受信者 B の公開鍵です。B が使用する復号化キーは B の秘密キーです

                2. 送信者 A は、B の公開鍵 PKb を使用して平文 X ～ E を暗号化し、暗号文 B を取得して送信します。

                        B は自分の秘密鍵を使用して、復号アルゴリズム D を通じて復号し、暗号文を復元します。

                3. 既知の PKb は SKb を推定できない

                4. 公開キーは暗号化できますが、復号化できません。

                5. D 操作と E 操作の順序は結果に影響しません

 デジタル署名

        保証される機能

                1. 受信者はメッセージ上の送信者の署名を検証できます。

                2. 受信者は、受信したデータが送信者によって送信されたものとまったく同じであり、改ざんされていないことを確認します (メッセージの完全性)。

                3. 送信者は後でメッセージ署名を拒否することはできません (否認防止)

識別

        メッセージ認証

                暗号ハッシュ関数

                        ハッシュ関数の入力長は非常に長くなる可能性があります

                        異なるハッシュ値は異なる入力に対応する必要があります

                         暗号化ハッシュ関数は一方向関数です

                

         MD5 と SHA-1

MD5: 1.計算の残り (64 ビット) に従って、任意                の長さのメッセージをメッセージの末尾に追加します。

                                   2. メッセージと残りの間の 1 ～ 512 ビットを埋めます。埋められる最初のビットは 1、次のビットは 0 です。

                                   3. 追加および埋められたメッセージを 512 ビットのデータ ブロックに分割し、各 512 ビットのメッセージ データはさらに 4 ビットと 128 ビットのデータ ブロックに分割され、4 つの計算のために異なるハッシュ関数に送信されます。最終的な MD5 ダイジェスト コード (128 ビット) が計算されるまで、各ラウンドで 32 ビットの小さなデータ ブロックに対して複雑な演算が実行されます。

                メッセージ認証コード:

         エンティティの識別

鍵の配布

        鍵の配布は、オフネットワーク配布（物理メディア）、オンネットワーク配布（ネットワークを介した自動配布）に分けられます。

 ファイアウォール

         ファイアウォールの内側のネットワークを「信頼できるネットワーク」、ファイアウォールの外側のネットワークを「信頼できないネットワーク」と呼びます。

        パケットフィルタ：パケットフィルタリング機能を備えたルーターで、内部ネットワークに出入りするパケットをフィルタリングルールに従って転送または廃棄するために使用されます。（一般的にはポートに応じてブロックできます。例えば、ニュースネットワークがポート119を使用している場合、ポート119をブロックするとネットワークが使用できなくなります）

        アプリケーションゲートウェイ（プロキシサーバー）：アプリケーション層で中継の役割を果たし、ネットワークに出入りするデータはアプリケーションゲートウェイを通過し、アプリケーション層のデータに基づいたフィルタリングや高度なユーザー識別を実現できます。

        侵入検知IDS：グループ化可能であることを検知した場合、管理者に警告またはブロックを行います。

        一般に次のように分類されます。 シグネチャベースの侵入検知: 既知の攻撃シグネチャのデータベースを比較します (未知の攻撃には無効)

                                  異常ベースの侵入検知：通常のネットワークトラフィックと比較して、差異があれば報告します（誤検知しやすい）