データ参照:CISP公式
目次
- OSI 7 層モデル
- TCP/IP アーキテクチャ
- TCP/IP セキュリティ アーキテクチャ
1. OSI 7 層モデル
序章
オープン システム相互接続参照モデル (OSI) は、1977 年に国際標準化機構 (ISO) によってリリースされた標準参照モデルであり、コンピュータ システムとネットワーク間の通信の基本プロセスと方法を記述するために使用されます。1983 年に ISO 7498 国際規格になりました。
OSI モデルは、ネットワーク通信を 7 つの異なる層に分割し、それぞれが特定の機能を担当します。これらのレベルは、下から上に次のとおりです。
-
物理層: 物理メディアと電気信号伝送の仕様を定義し、物理接続とデータ伝送の基本操作を処理します。
-
データリンク層(データリンク層): 物理層によって送信されたデータをデータ フレームに分割し、エラー検出と訂正を実行し、データ フレームへのアクセスを制御します。
-
ネットワーク層(ネットワーク層): ネットワーク内のデータのアドレス指定とルーティング、および適切なパスの選択によるデータの送信を担当します。
-
トランスポート層: エンドツーエンドのデータ送信を提供し、データを確実に送信し、必要に応じてデータのセグメント化と再構成を実行します。
-
セッション層(セッション層): 通信当事者間のセッションを確立、管理、終了する機能を提供します。また、中断されたセッションを再開するためにチェックポイントを取得する責任もあります。
-
プレゼンテーション層: データのフォーマットとプレゼンテーションを担当し、異なるコンピュータ システム間のデータが正しく解釈および理解できるようにします。
-
アプリケーション層(アプリケーション層): ユーザーに最も近い層で、電子メール、ファイル転送プロトコルなど、さまざまなアプリケーション インターフェイスやサービスを提供します。
OSI モデルは、通信プロセスをさまざまなレベルに分解することで、さまざまなコンピュータ システムの相互運用性を可能にし、ネットワーク通信の標準化と開発を促進します。
OSI モデルは重要な参照モデルですが、実際には、多くのコンピューター ネットワーク通信プロトコルは OSI モデルの 7 層構造に厳密に従っておらず、特定の層を結合または重複していることに注意してください。
このモデルは、ネットワーク内のさまざまなコンピュータ システムが通信するための基本的なプロセスと方法を定義します。
基礎となるプロトコル
- 実際の情報伝送に重点を置き、物理層、データリンク層、ネットワーク層、トランスポート層などのネットワーク通信接続のリンクの作成を担当します。
高レベルのプロトコル
- ユーザーサービスと、セッション層、プレゼンテーション層、アプリケーション層を含むさまざまなアプリケーションリクエストを処理します。
レベル | 名前 | 関数 | 共通プロトコル |
---|---|---|---|
1 | 物理層 | ケーブル、光ファイバーなどの物理メディア上でのビット ストリームの伝送。 | イーサネット、Wi-Fi、USB |
2 | データリンク層 | ノード間のデータ送信、エラー検出、エラー修正を管理します。 | イーサネット、PPP、HDLC |
3 | ネットワーク層 | ネットワーク上のパケットのアドレス指定とルーティングを制御します。 | IP、ICMP、OSPF |
4 | トランスポート層 | エンドツーエンドの信頼性の高いデータ送信とエラー回復を提供します。 | TCP、UDP、SCTP |
5 | セッション層 | 通信セッションの確立、維持、終了を管理します。 | SIP、NFS、NetBIOS |
6 | プレゼンテーション層 | 異なるシステム間でのデータ交換の正確性を確保するためのデータのフォーマット、暗号化、圧縮。 | JPEG、ASCII、SSL |
7 | アプリケーション層 | 電子メール、ファイル転送、リモートログインなどのさまざまなネットワークサービス(インターフェース)を提供します。 | HTTP、FTP、DNS |
階層構造の利点
- 各層は互いに独立しています
- 標準化を促進する
- プロトコル開発のモジュール化
- 複雑さを軽減する
データのカプセル化と逆多重化(カプセル化解除)
2. TCP/IP アーキテクチャ
序章
TCP/IP は現在インターネットで最も基本的なプロトコルであり、インターネットの基本プロトコルでもあります。TCP/IP は、米国国防総省の ARPA ネットワーク プロジェクト (軍事通信ネットワーク) に由来し、長年の開発を経て、その非機密部分が今日のインターネットに発展しました。一般に、TCP/IP とは、TCP (Transmission Control Protocol) と IP (Internet Protocol) を中核として構成されるプロトコル ファミリを指し、異なるレベルで動作する複数のプロトコルを組み合わせたもので、TCP/IP を介してさまざまな情報処理装置が通信します。相互にデータを転送できます。
TCP/IP アーキテクチャは、リンク層、ネットワーク層、トランスポート層、アプリケーション層の 4 つの層で構成されており、各層が異なる機能を担当します。
-
リンク層 (ネットワーク インターフェイス層): 物理的な送信のためにデータをビット ストリームに変換する役割を果たします。物理ネットワークへのアクセス方法を定義し、物理メディアに関連するトランスポートの詳細を処理します。一般的なプロトコルには、イーサネット、Wi-Fi などが含まれます。
-
ネットワーク層: ネットワーク内のデータ パケットのアドレス指定とルーティングを担当します。最も重要なプロトコルは IP (インターネット プロトコル) です。これは、デバイスを識別して位置を特定するためのインターネット上の一意のアドレスのシステムを定義します。
-
トランスポート層: エンドツーエンドの信頼性の高いデータ送信とエラー回復を提供します。最も一般的に使用されるトランスポート プロトコルは TCP (伝送制御プロトコル) で、信頼性の高いデータ伝送とフロー制御を提供します。また、コネクションレス型のデータ送信を実現する UDP (User Datagram Protocol) もあり、リアルタイム アプリケーションや信頼性を必要としないアプリケーションに適しています。
-
アプリケーション層: アプリケーションがネットワークにアクセスできるようにするためのさまざまなネットワーク サービスとプロトコルを提供します。電子メール、ファイル転送、Web ブラウジングなどの機能のための HTTP (Hypertext Transfer Protocol)、FTP (File Transfer Protocol)、SMTP (Simple Mail Transfer Protocol) などのプロトコルが含まれます。
TCP/IPプロトコルファミリーの階層構造
リンク層のセキュリティリスク
- リンク層は、ネットワーク インターフェイス層またはデータ リンク層とも呼ばれ、TCP/IP の最下位層であり、ネットワーク層から IP データグラムを受信し、指定されたネットワークにデータグラムを送信したり、物理的なデータグラムを受信したりする役割を担います。ネットワークからのデータグラムをフレーム化してネットワーク層のデータグラムを抽出し、ネットワーク層に渡します。その主なプロトコルは ARP と RARP です。
秘密の質問
- 損傷: 自然災害、動物による被害、経年劣化による粉塵、温度と湿度、誤用
- 干渉: 高出力電気製品 / 送電線 / 電磁放射
- 電磁漏洩:伝送線路の電磁漏洩
- スプーフィング: ARP スプーフィング- : ARP (Address Resolution Protocol) スプーフィングは、攻撃者が ARP 応答を偽造してターゲット デバイスを欺き、データ フローのハイジャックや情報漏洩を引き起こすネットワーク攻撃手法です。
- スニッフィング: 一般的なレイヤー 2 プロトコルはクリア テキストで通信します
- サービス拒否: mac フラッディング、arp フラッディングなど。
ネットワーク層のセキュリティリスク
- インターネット ネットワーク層 としても知られるネットワーク層 は、ネットワーク内でのデータ パケットの正しい配信を実現するために使用されます。IP (インターネット プロトコル) は、ネットワーク層のコア プロトコルであり、上位層のプロトコルとアプリケーションの基礎です。
- IP は、ホスト間のデータ送信サービスを提供します。現在、IP の第 4 バージョン (IPv4) は、コネクションレスで信頼性の低いサービスを提供するために広く使用されています。通信データ パケットの完全性と機密性の保護機能を提供できずアドレス、認証メカニズム
秘密の質問
スプーフィング攻撃
- IP アドレス スプーフィング攻撃: 攻撃者は、他人の IP アドレスを偽造またはなりすまして、不正アクセスを取得したり、追跡やマスカレードなどの悪意のある活動を実行したりする可能性があります。
- ソース ルーティングのスプーフィングなど: 攻撃者はソース IP アドレスとルーティング情報を偽造して、データ パケットがネットワーク内のセキュリティ対策をバイパスし、本当の身元と場所をさらに隠します。
サービス拒否攻撃
- フラグメンテーション攻撃: 攻撃者は、IP パケットのフラグメンテーション メカニズムを使用して、ファイアウォールや IDS/IPS などのネットワーク セキュリティ デバイスの検出やフィルタリングを回避して、不正なペイロードや特別なフラグメントを含むパケットを送信する可能性があります。
- Ping of Death : Ping of Death とも呼ばれ、ネットワーク攻撃の手法の 1 つです。これは、デバイスが処理できる通常の範囲を超える大きな ICMP エコー要求パケットをターゲット デバイスに送信します。これにより、デバイスがそのような大きなデータ パケットを正常に処理できなくなり、デバイスがクラッシュしたり、通常のネットワーク サービスを提供できなくなったりする可能性があります。これはサービス拒否攻撃と呼ばれます。簡単に言うと、Ping of Death は、特に大きなデータ パケットをデバイスに送信するようなもので、デバイスはそのような大きなパケットを処理できず、その結果、デバイスが適切に動作しなくなったり、通常のネットワーク サービスを提供し続けたりする可能性があります。
トランスポート層のセキュリティリスク
- トランスポート層は主に、2 つのホスト上のアプリケーションにエンドツーエンドの通信サービスを提供します。トランスポート層には、TCP (伝送制御プロトコル) と UDP (ユーザー データグラム プロトコル) の 2 つのプロトコルがあります。
- TCP は、 3 ウェイ ハンドシェイクを通じて信頼性の高い接続指向のデータ通信サービスを提供します
- UDP プロトコルは、構造が単純で占有リソースが少なく、処理効率が高いため、接続なしで信頼性の低いセキュリティ サービスを提供できます。
秘密の質問
TCP
- SYN フラッドサービス拒否攻撃
- セッションハイジャック攻撃
UDP
- トラフィックタイプのサービス拒否攻撃 (UDP フラッドなど)
コネクション型で信頼性の高いバイト ストリーム サービスを提供します
信頼性サービスの提供
- データパケット分割、送受信確認、タイムアウト再送、データ検証、データパケット振り分け制御フロー
- ……
TCP スリーウェイ ハンドシェイク
- 最初のハンドシェイク (SYN-SENT): クライアントは、SYN フラグが 1 に設定された SYN パケットをサーバーに送信し、クライアントは初期シーケンス番号 (ISN) を選択します。
- 2 番目のハンドシェイク (SYN-RECEIVED): クライアントから送信された SYN パケットを受信した後、サーバーは ACK パケットと自身の SYN パケットで応答します。ACK パケットはクライアントの SYN パケットの受信を確認し、クライアントのシリアル番号を確認します。一方、サーバーは独自の初期シリアル番号を選択します。
- 3 回目のハンドシェイク (ESTABLISHED): サーバーの ACK パケットと SYN パケットを受信した後、クライアントはサーバーの SYN パケットの受信を確認し、サーバーのシリアル番号を確認するために ACK パケットを送信します。ACK パケットがサーバーに到着すると、サーバーとクライアント間の接続が正式に確立されます。
TCPは4回手を振りました
- 第 1 波 (FIN-WAIT-1): 接続側は、データの送信が完了したことを示す FIN パケットを送信します。
- 第 2 波 (CLOSE-WAIT): FIN パケットを受信した後、相手は FIN パケットの受信を確認するために ACK パケットを送信しますが、まだ送信すべきデータが残っています。
- 第 3 波 (FIN-WAIT-2): 相手がデータの送信を完了すると、相手もデータの送信が完了したことを示す FIN パケットを送信します。
- 第 4 波(TIME-WAIT):接続側は FIN パケット受信後、FIN パケットの受信を確認する ACK パケットを送信し、TIME-WAIT 状態に入り、一定時間待機後に接続を切断します。
接続を確立するには 3 ウェイ ハンドシェイクが必要ですが、接続を閉じるには 4 回手を振る必要があるのはなぜですか?
接続が確立されると、サーバーは LISTEN 状態になり、接続確立要求の SYN メッセージを受信した後、ACK と SYN を 1 つのメッセージに含めてクライアントに送信します。
接続が閉じられたとき、サーバーが相手の FIN メッセージを受信したとき、それは相手がデータを送信しなくなったがまだデータを受信できることを意味するだけであり、すべてのデータを相手に送信していない可能性があるため、サーバーはすぐに閉じるか、送信することができます。相手に何らかのデータを送信した後、相手に FIN メッセージを送信して、接続を今すぐ閉じることに同意することを表明します。したがって、自分の ACK と FIN は通常、別々に送信され、結果的に 1 つ多くなります。時間。
UDP プロトコルは、トランザクション指向のシンプルで信頼性の低い情報送信サービスを提供します
特徴
- 接続レス、信頼性が低い
- プロトコルはシンプルで、占有リソースが少なく、効率が高い
- ・・・・
TCP プロトコルと UDP プロトコルの比較:
- TCP は、SSL や TLS など、データ送信の信頼性について厳しい要件があるデータを送信するように設計されており、TCP は 3 ウェイ ハンドシェイクを使用するため、攻撃者は 2 つのハンドシェイクを使用して SYN フラッド攻撃を実行できます。
- UDP は、リアルタイム要件が高いデータを送信するように設計されていますが、データ送信の信頼性については厳密な要件はありません。ネットワークビデオ、音声など。UDP プロトコルは効率が高いため、攻撃者は UDP プロトコルを使用して、サービス妨害攻撃 (UDP FIood) 用の大量のデータを生成する可能性があります。
アプリケーション層のセキュリティリスク
- アプリケーション層は、OSI モデルの上位 3 層 (アプリケーション層、プレゼンテーション層、セッション層) に対応する TCP/IP システムの最上位層であり、さまざまなエンド システムで実行されているアプリケーション プロセスにメッセージ配信サービスを提供します。
- 典型的なアプリケーション層プロトコルには、Web ブラウジング用の HTTP (ハイパーテキスト転送プロトコル)、電子メールの送受信用の SMTP (シンプル メール転送プロトコル) と POP3 (ポスト オフィス プロトコル)、ファイル転送用の FTP (ファイル転送プロトコル) が含まれます。さまざまなアプリケーション層プロトコルの実装はまったく異なり、それぞれの特性に応じて独自のセキュリティ問題があります。
秘密の質問
- ID 認証はシンプルですが、パスワードクラッキングや ID 偽造などの脅威に直面しています。
- 平文を使用してデータを送信すると、データ漏洩やデータ偽造などの一連の問題に直面し、攻撃者はスニッフィングやその他の方法で送信中の機密情報を取得する可能性があります。
- データの完全性保護が欠如しており、データ破壊や改ざんなどの問題に直面しているため、攻撃者はユーザーが送信したデータを変更することで詐欺を実行する可能性があります。
インターネットの発展に伴い、TCP/IP プロトコル ファミリのセキュリティ問題はますます顕著になり、関連組織や専門家も継続的にプロトコルの改良と開発を行い、さまざまなレベルでの通信を保護するために、さまざまなレベルに対応するセキュリティ通信プロトコルを設計してきました。したがって、セキュリティ通信プロトコルのさまざまな層で構成される TCP/IP プロトコル ファミリのセキュリティ アーキテクチャを形成します。
ネットワークインターフェース層
- 主に接続のセキュリティ保証を提供し、専用の通信リンクを確立することでホストまたはホストとルーター間のセキュリティ保護を提供します。この層のセキュリティ通信プロトコルには主に PPTP、L2TP などが含まれます。
インターネット層
- IP のセキュリティ問題を解決するために、主なセキュリティ通信プロトコルは IPSeC プロトコルです。
トランスポート層
- トランスポート層セキュリティは主にエンドツーエンドで実装され、プロセス間の安全な通信を提供します。その主要な安全な通信プロトコルには SSL と TLS が含まれます。
アプリケーション層
- 電子メール セキュリティ プロトコル S/MIME、安全なハイパーテキスト転送プロトコル S-HTTP など、セキュリティ ニーズと特定のアプリケーションの特性に従って設計されたセキュリティ プロトコル。
3. TCP/IP セキュリティ アーキテクチャ
IPSec
IPSec (Internet Protocol Security) は、IETF (Internet Engineering Task Force) によって策定されたオープン ネットワーク セキュリティ プロトコルのセットです。これは単一のプロトコルではなく、IP ネットワークにセキュリティを提供する一連のプロトコルとサービスです。
IPSec は、IP 層のセキュリティ問題を解決するために使用され、IPv4 ネットワークと IPv6 ネットワークの両方をサポートします。IPSec プロトコルは IP 層で動作し、次のような複数のセキュリティ サービスを提供します。
- アクセス制御
- コネクションレス型の整合性
- データソース認証
- 機密保護
- 限定的なデータ ストリームの機密性保護
- リプレイ攻撃に対する防御
IPSec プロトコルは、認証ヘッダー (AH) を通じて IP データグラムのコネクションレス型整合性とデータ ソース認証を提供し、リプレイ攻撃に対する保護を提供します。安全な接続が確立されると、AH は IP ヘッダーと上位層プロトコル データに対して十分な認証を提供しようとします。
また、IPSec プロトコルは、カプセル化セキュリティ ペイロード プロトコル (カプセル化セキュリティ ペイロード、ESP) を通じて保護されるデータを暗号化し、これらのデータの機密性と整合性保護機能を提供します。ESP プロトコルと AH プロトコルは単独で使用することも、同時に使用することもでき、組み合わせてより強力なセキュリティ パフォーマンスを提供することもできます。
SSL
- SSL (Secure Sockets Layer) は、Web 通信を保護するために 1990 年に Netscape によって開発されたプロトコルです。その主な使命は、プライバシー、メッセージの整合性、および ID 認証を提供することです。
- SSL は、対称暗号化アルゴリズムのキーをセッション キーとして使用して、セッション データを暗号化します。セッション キーの交換には、非対称暗号アルゴリズムの公開キー システムが使用され、通信当事者間のデータ送信の機密性と信頼性が保証されます。したがって、SSL はクライアント アプリケーションとサーバー アプリケーション間の通信にセキュリティを提供します。
- SSL が広く使用されている理由は、SSL がデータを暗号化し、認証およびメッセージ整合性保護メカニズムを提供し、TCP ベースのアプリケーション層プロトコルをサポートしてセキュリティ保護を提供できるためです。さらに、SSL の導入は比較的簡単です。
TLS
TLS (Transport Layer Security Protocol) は、SSL v3.0 をベースに強化、変更された安全な通信プロトコルであり、SSL の後継バージョンと考えることができます。SSL プロトコルとの違いは非常に小さく、一部の点のみです。詳細は違いがあります。TLS は、ネゴシエーションと認証を通じて安全なセッション チャネルを作成し、アプリケーション層プロトコル データは、TLS プロトコルを通じて送信されるときに保護されます。TLS プロトコルの利点は、高レベルのアプリケーション層プロトコル (HTTP、FTP、Telnet など) と完全な互換性があり、アプリケーション層プロトコルを TLS プロトコル上で透過的に実行できることです。 Web アクセスに使用される https プロトコルは、主に HTTPプロトコルとTLS1.2 協定を使用します。