情報セキュリティ技術 - (7) 安全保護・緊急時対応技術

1. ファイアウォールの基本的な種類と原則

1.1 ファイアウォール技術

ファイアウォール技術は、ネットワーク セキュリティ デバイス、または複数のハードウェア デバイスと対応するソフトウェアで構成されるシステムであり、信頼できないネットワークと保護された内部ネットワークの間に配置され、外部ネットワークからの攻撃から内部ネットワークを保護し、規制を強化することを目的としています。制御ポリシー

1.2 ファイアウォールの特徴

• 内部ネットワークから外部ネットワークへ、および外部ネットワークから内部ネットワークへのすべての通信は、これを通過します。
• 内部アクセス制御ポリシーを満たす通信のみが許可されます。
• システム自体は高いコンピューティングおよび通信処理能力を備えています

1.3 ファイアウォールの機能

1.3.1 安全でないサービスと通信のフィルタリング

• 外部 ping を無効にする
• 社内ネットワーク上で不正に提供される情報サービスの禁止
• 情報漏洩を防ぐ

1.3.2 権限のないユーザーによる内部ネットワークへのアクセスの禁止

• 特殊なアドレスからの通信を許可しない
• 外部接続を認証する

1.3.3 イントラネットへのアクセスの制御

• リンクされたネットワーク内の www、FTP、およびメール サーバーへの外部アクセスのみが許可され、他のホストへのアクセスは許可されません。
• 関連するアクセス イベントを記録する

1.4 ファイアウォールの基本内容

1.4.1 パケットフィルタリングファイアウォール

1. 
   各プロトコルでの通信はプロトコルの種類を確認することで制御され、特定の送信元アドレスからの通信や特定の宛先アドレスへの通信は P アドレスによって制御されることが定義されています。相互に対応している場合、パケット フィルタリング ファイアウォールはポートをチェックして、外部サービスへのアクセスと内部サービスのオープンを制御できます。パケット フィルタリング ファイアウォールのオペレータは、これらのルールを策定し、ファイアウォール システムに構成する責任があります。
   
2. 長所と短所
   

1.4.2 プロキシゲートウェイ

1. 定義
- 一般に、外部ネットワークからの接続要求は信頼できないと考えられています。プロキシ ゲートウェイは、接続プロキシ プログラムを実行するゲートウェイ デバイスまたはシステムです。設定の目的は、内部ネットワークを保護することです。これにより、内部ネットワークを保護するかどうかが決定されます。特定のセキュリティ ポリシーに従って外部リクエストを送信します。内部ネットワークへのネットワークのアクセス リクエストは、対応する内部サーバーに送信されます。送信できる場合、エージェントは外部ユーザーに代わって内部サーバーに接続し、また、内部サーバーに代わって外部ユーザー。
2. ループ エージェント層
ループ層エージェントは回線レベル エージェントとも呼ばれ、トランスポート層上に構築されます。

3. アプリケーション プロキシ層
アプリケーション層プロキシは、さまざまなアプリケーションまたはサービス向けに特別に設計されています。

1.4.3 パケット検査ファイアウォール

パケットフィルタリングファイアウォールでは、検査対象がIPパケットのヘッダーだけでなく、TCPヘッダーやTCPパケットのデータも検査できるため、より柔軟なセキュリティポリシーを一定のレベルで実現できます。計算コスト。

1.4.4 ハイブリッド ファイアウォール

次のようなさまざまなファイアウォール テクノロジーを統合します。

• IP パケット フィルタリング ファイアウォールは、基礎となる制御通信に使用できます。
• パケット検査ファイアウォールを使用すると、強制可能なセキュリティ ポリシーを強化できます。
• ループ層プロキシは、接続を確立する際のセキュリティを確保するために使用されます。
• アプリケーション層プロキシは、アプリケーションのセキュリティを確保するために使用されます。

2. 侵入検知技術

2.1 定義

侵入検知は、システムの機密性、整合性、または可用性を侵害する、または侵害しようとする動作を検出するために使用されるセキュリティ テクノロジの一種です。このタイプのテクノロジーは、保護されたネットワークまたはシステムに検出装置を導入することによって、保護されたネットワークまたはシステムの状態とアクティビティを監視し、収集されたデータに基づいて、対応する検出方法を使用して、不正または悪意のあるシステムおよびネットワークの動作を検出し、提供します。サポートとは侵入を防ぐことを意味します。

2.2 3 つの方法

• ネットワークとシステムのデータを収集し、ネットワークとシステムの動作を記述する特徴を抽出します
• データと特性に基づいてネットワークとシステムの動作の性質を効率的かつ正確に判断します。
• ネットワークおよびシステム侵入への対応を提供します

2.3 侵入検知（IDS）システムの構造

2.4 侵入検知 (IDS) の種類

• ホストベースの IDS:
  検出されたホストまたは別のホスト上で実行され、ホストの監査データとシステム ログに基づいて不審な兆候を検出します。
• ネットワークベースの IDS:
  単一または複数のホストのネットワーク トラフィック、監査データ、ログに基づいて侵入を検出します。

2.5 分析と検出の方法

2.5.1 不正使用の検出

さまざまなタイプの侵入の動作パターンを確立し、それらを識別またはコーディングし、データ ソースからのデータを分析および検出して既知の悪用パターンがあるかどうかを確認するための悪用パターン ライブラリを確立します。欠点: 既知の攻撃のみを検出できます
。

2.5.2 異常検出

システムの動作やユーザーの動作が通常の使用方法の説明（NUP）からどの程度逸脱しているかを判断し、しきい値を超えたり範囲を変更したりする動作に対応します。

2.5.3 その他のテスト

• 生物学的免疫システム
• 適応型検出システム

2.6 侵入への対応

2.6.1 受動的な応答

受動的な対応: 攻撃を検知した後に警報を発し、管理者やユーザーに情報を提供し、管理者やユーザーが対策を決定します。

2.6.2 アクティブな応答

アクティブな対応: 設定されたポリシーに従って攻撃プロセスをブロックするか、攻撃プロセスまたは攻撃の再発に影響を与えたり、制限したりします。

3. 「ハニーポット」技術の原理

3.1 定義

ハニーポット技術とは、攻撃者や攻撃者に関する情報を収集する技術の一種で、攻撃者をハニーポットに侵入させることで、関連情報を収集・分析するシステムです。

3.2 分類

• 応用研究
• 相互作用が低い 相互作用が高い
• リアルバーチャル

3.3 ステップ

偽装と導入>>情報管理>>データ収集と分析

4. 緊急対応の一般的な手順

4.1 緊急時対応技術

ネットワーク設備や情報システム設備はさまざまな要因により被害を受ける可能性があり、被害の前後にそれぞれ対応する予防措置や対応策を総称して「緊急時対応」と呼びます。

• 早期対応: システムが攻撃される前の事前転用
• 中期対応：システムが攻撃を受けた場合の処理​​方法としては、ハニーポット技術やシステム動作停止等が挙げられます。
• 後の対応: システムが攻撃された後、システムを復元します

4.2 緊急時対応体制の構築

5. 短答式の質問

1. ファイアウォールとは何ですか? 機能は何ですか?
2. ファイアウォールの基本的なタイプは何ですか?
3. 侵入検知技術とは何ですか?
4. ハニーポットテクノロジーとは何ですか?
5. 緊急時対応技術とは何ですか?