Network-security-overview

提供:Dev Guides
移動先:案内検索

ネットワークセキュリティ-概要

この現代では、組織はコンピューターネットワークに大きく依存して、効率的かつ生産的な方法で組織全体で情報を共有しています。 現在、組織のコンピューターネットワークは大規模でユビキタスになっています。 各スタッフが専用のワークステーションを持っていると仮定すると、大規模な会社では、ネットワーク上に数千のワークステーションと多くのサーバーがあります。

これらのワークステーションは集中管理されていない可能性があり、境界保護もありません。 さまざまなオペレーティングシステム、ハードウェア、ソフトウェア、およびプロトコルがあり、ユーザー間でサイバー認識のレベルが異なる場合があります。 ここで、会社のネットワーク上のこれらの数千のワークステーションがインターネットに直接接続されていると想像してください。 この種のセキュリティ保護されていないネットワークは、貴重な情報を保持し、脆弱性を表示する攻撃の標的になります。

この章では、ネットワークの主要な脆弱性とネットワークセキュリティの重要性について説明します。 以降の章では、同じことを達成する方法について説明します。

物理ネットワーク

ネットワークは、リソースを効率的に共有するために接続された2つ以上のコンピューティングデバイスとして定義されます。 さらに、2つ以上のネットワークを接続することは*インターネットワーキング*と呼ばれます。 したがって、インターネットは単なるインターネットワークであり、相互接続されたネットワークの集まりです。

内部ネットワークをセットアップするために、組織にはさまざまなオプションがあります。 有線ネットワークまたは無線ネットワークを使用して、すべてのワークステーションを接続できます。 現在、組織は主に有線ネットワークと無線ネットワークの両方を組み合わせて使用​​しています。

有線および無線ネットワーク

有線ネットワークでは、デバイスはケーブルを使用して互いに接続されます。 通常、有線ネットワークはイーサネットプロトコルに基づいており、デバイスはUnshielded Twisted Pair(UTP)ケーブルを使用して異なるスイッチに接続されます。 これらのスイッチは、インターネットにアクセスするためにネットワークルーターにさらに接続されています。

ワイヤレスネットワークでは、デバイスは無線伝送を介してアクセスポイントに接続されます。 アクセスポイントは、外部ネットワークアクセスのために、ケーブルを介してスイッチ/ルーターにさらに接続されます。

有線および無線ネットワーク

ワイヤレスネットワークは、提供されるモビリティにより人気を博しています。 モバイルデバイスはケーブルに接続する必要がなく、ワイヤレスネットワークの範囲内で自由にローミングできます。 これにより、効率的な情報共有が保証され、生産性が向上します。

脆弱性と攻撃

有線ネットワークと無線ネットワークの両方に存在する一般的な脆弱性は、ネットワークへの「不正アクセス」です。 攻撃者は、安全でないハブ/スイッチポートを介してデバイスをネットワークに接続できます。 この点で、無線ネットワークは物理的な接続なしで簡単にアクセスできるため、有線ネットワークよりも安全性が低いと見なされます。

アクセスした後、攻撃者はこの脆弱性を悪用して次のような攻撃を開始できます-

  • 貴重な情報を盗むためにパケットデータを盗聴します。
  • ネットワーク媒体を偽のパケットであふれさせることによる、ネットワーク上の正当なユーザーへのサービス拒否。
  • 正当なホストの物理的身元(MAC)をスプーフィングし、データを盗むか、「中間者」攻撃をさらに開始します。

ネットワークプロトコル

ネットワークプロトコルは、ネットワークに接続されたデバイス間の通信を管理する一連のルールです。 それらには、接続を確立するためのメカニズムと、送受信されるメッセージのデータパッケージのフォーマットルールが含まれます。

それぞれが特定の目的のために設計されたいくつかのコンピューターネットワークプロトコルが開発されました。 一般的で広く使用されているプロトコルは、高レベルおよび低レベルのプロトコルが関連付けられたTCP/IPです。

TCP/IPプロトコル

*Transmission Control Protocol* (TCP)および *Internet Protocol* (IP)は、主に一緒に使用される2つの異なるコンピューターネットワークプロトコルです。 それらは人気があり、広く採用されているため、ネットワークデバイスのすべてのオペレーティングシステムに組み込まれています。

IPはネットワーク層(レイヤー3)に対応し、TCPはOSIのトランスポート層(レイヤー4)に対応します。 TCP/IPは、TCPトランスポートを使用してIPネットワーク全体にデータを配信するネットワーク通信に適用されます。

TCP/IPプロトコルは、一般に、アプリケーション層のHTTP、FTP、SSH、データリンク/物理層のイーサネットなどの他のプロトコルとともに使用されます。

TCP/IPプロトコル

TCP/IPプロトコルスイートは、セキュリティの側面にほとんど関心のないインターネットワーキングソリューションとして1980年に作成されました。

限られた信頼できるネットワークでの通信用に開発されました。 ただし、このプロトコルは、一定期間にわたって、セキュリティで保護されていないインターネット通信の事実上の標準になりました。

TCP/IPプロトコルスーツの一般的なセキュリティ脆弱性のいくつかは次のとおりです-

  • HTTPは、WebサーバーからWebページを構成するファイルの転送に使用されるTCP/IPスイートのアプリケーション層プロトコルです。 これらの転送はプレーンテキストで行われ、侵入者はサーバーとクライアント間で交換されるデータパケットを簡単に読み取ることができます。
  • 別のHTTP脆弱性は、セッションの初期化中のクライアントとWebサーバー間の弱い認証です。 この脆弱性は、攻撃者が正当なユーザーのHTTPセッションを盗むセッションハイジャック攻撃につながる可能性があります。
  • TCPプロトコルの脆弱性は、接続確立のためのスリーウェイハンドシェイクです。 攻撃者は、この脆弱性を悪用するためにサービス拒否攻撃「SYNフラッディング」を開始できます。 彼は、ハンドシェイクを完了しないことで、多くのハーフオープンセッションを確立します。 これにより、サーバーが過負荷になり、最終的にクラッシュします。
  • IP層は多くの脆弱性の影響を受けやすくなっています。 IPプロトコルヘッダーの変更により、攻撃者はIPスプーフィング攻撃を開始できます。

上記とは別に、TCP/IPプロトコルファミリには、その実装と同様に多くの他のセキュリティ脆弱性が存在します。

ちなみに、TCP/IPベースのネットワーク通信では、1つの層がハッキングされると、他の層はハッキングを認識せず、通信全体が危険にさらされます。 したがって、各層でセキュリティ制御を採用して、誰でも安心なセキュリティを確保する必要があります。

DNSプロトコル

ドメインネームシステム(DNS)は、ホストドメイン名をIPアドレスに解決するために使用されます。 ネットワークユーザーは、主にインターネットの閲覧中にWebブラウザにURLを入力してDNS機能に依存します。

DNSの攻撃において、攻撃者の目的は、正当なDNSレコードを修正して、不正なIPアドレスに解決することです。 そのIPのすべてのトラフィックを間違ったコンピューターに転送できます。 攻撃者は、DNSプロトコルの脆弱性を悪用するか、攻撃を具体化するためにDNSサーバーを侵害します。

  • DNSキャッシュポイズニング*は、DNSプロトコルで見つかった脆弱性を悪用する攻撃です。 攻撃者は、リゾルバーによって権限のあるサーバーに送信された再帰的なDNSクエリへの応答を偽造することにより、キャッシュを汚染する可能性があります。 DNSリゾルバーのキャッシュがポイズニングされると、ホストは悪意のあるWebサイトに誘導され、このサイトへの通信によって資格情報が侵害される可能性があります。

DNSプロトコル

ICMPプロトコル

インターネット制御管理プロトコル(ICMP)は、TCP/IPネットワークの基本的なネットワーク管理プロトコルです。 エラーを送信し、ネットワークデバイスのステータスに関するメッセージを制御するために使用されます。

ICMPはIPネットワーク実装の不可欠な部分であるため、非常にネットワークのセットアップに存在します。 ICMPには独自の脆弱性があり、ネットワークに攻撃を仕掛けるために悪用される可能性があります。

ICMPの脆弱性が原因でネットワークで発生する可能性のある一般的な攻撃は-

  • ICMPを使用すると、攻撃者はネットワーク偵察を実行して、ネットワークトポロジとネットワークへのパスを決定できます。 ICMPスイープには、ターゲットのネットワーク全体で生きているすべてのホストIPアドレスの検出が含まれます。
  • トレースルートは、クライアントからリモートホストへのパスをリアルタイムで記述することにより、ターゲットネットワークをマッピングするために使用される一般的なICMPユーティリティです。
  • 攻撃者は、ICMPの脆弱性を使用してサービス拒否攻撃を開始できます。 この攻撃では、65,535バイトを超えるIPMP pingパケットがターゲットデバイスに送信されます。 ターゲットコンピュータはこのパケットを適切に処理できず、オペレーティングシステムがクラッシュする可能性があります。

ARP、DHCP、SMTPなどの他のプロトコル また、攻撃者がネットワークセキュリティを侵害するために悪用できる脆弱性もあります。 これらの脆弱性のいくつかについては、後の章で説明します。

プロトコルの設計および実装中のセキュリティの側面に対する最小の懸念は、ネットワークセキュリティに対する脅威の主な原因になりました。

ネットワークセキュリティの目標

前のセクションで説明したように、ネットワークには多数の脆弱性が存在します。 したがって、送信中、データは攻撃に対して非常に脆弱です。 攻撃者は、通信チャネルを標的にしてデータを取得し、同じものを読み取るか、誤ったメッセージを再挿入して、悪意のある目的を達成できます。

ネットワークセキュリティは、通信チェーンの各端にあるコンピューターのセキュリティだけに関心があるわけではありません。ただし、ネットワーク全体のセキュリティを確保することを目的としています。

ネットワークセキュリティには、ネットワークとデータの使いやすさ、信頼性、整合性、および安全性の保護が伴います。 効果的なネットワークセキュリティは、ネットワークへの侵入やネットワークからの拡散によるさまざまな脅威を打ち負かします。

ネットワークセキュリティの主な目標は、機密性、整合性、および可用性です。 ネットワークセキュリティのこれらの3つの柱は、多くの場合* CIA三角形*として表されます。

  • 機密性-機密性の機能は、権限のない人から貴重なビジネスデータを保護することです。 ネットワークセキュリティの機密性の部分により、データは意図した権限のある人だけが利用できるようになります。
  • 整合性-この目標は、データの正確性と一貫性を維持および保証することを意味します。 整合性の機能は、データが信頼でき、権限のない人によって変更されないようにすることです。
  • 可用性-Network Securityの可用性の機能は、正当なユーザーが必要とするときはいつでも、データ、ネットワークリソース/サービスが継続的に利用可能であることを確認することです。

ネットワークセキュリティの達成

ネットワークセキュリティの確保は非常に簡単に見えるかもしれません。 達成すべき目標は簡単なようです。 しかし、実際には、これらの目標を達成するために使用されるメカニズムは非常に複雑であり、それらを理解するには適切な推論が必要です。 

*International Telecommunication Union* (ITU)は、セキュリティアーキテクチャX.800に関する勧告で、ネットワークセキュリティを実現する方法の標準化をもたらす特定のメカニズムを定義しています。 これらのメカニズムのいくつかは-
  • 暗号化-このメカニズムは、権限のない人のためにデータを読み取り不可能な形式に変換することにより、データ機密性サービスを提供します。 このメカニズムは、秘密鍵を使用した暗号化/復号化アルゴリズムを使用します。
  • デジタル署名-このメカニズムは、電子データの通常の署名と電子的に同等です。 データの信頼性を提供します。
  • アクセス制御-このメカニズムは、アクセス制御サービスを提供するために使用されます。 これらのメカニズムは、エンティティの識別と認証を使用して、エンティティのアクセス権を決定および強制する場合があります。

ネットワークセキュリティを実現するためのさまざまなセキュリティメカニズムを開発および特定したら、それらを適用する場所を決定することが不可欠です。物理的に(どの場所に)論理的に(TCP/IPなどのアーキテクチャのどのレイヤーに)。

ネットワーク層でのセキュリティメカニズム

OSIネットワーク層モデルの特定の層で開発できるように、いくつかのセキュリティメカニズムが開発されています。

  • アプリケーション層でのセキュリティ-この層で使用されるセキュリティ対策はアプリケーション固有です。 さまざまな種類のアプリケーションには、個別のセキュリティ対策が必要です。 アプリケーション層のセキュリティを確保するには、アプリケーションを変更する必要があります。 +暗号的に適切なアプリケーションプロトコルの設計は非常に難しく、適切に実装することはさらに難しいと考えられています。 したがって、ネットワーク通信を保護するためのアプリケーション層セキュリティメカニズムは、しばらく使用されている標準ベースのソリューションのみであることが推奨されます。 +アプリケーションレイヤーセキュリティプロトコルの例は、電子メールメッセージの暗号化に一般的に使用されるSecure Multipurpose Internet Mail Extensions(S/MIME)です。 DNSSECは、DNSクエリメッセージの安全な交換に使用されるこの層の別のプロトコルです。
  • トランスポート層でのセキュリティ-この層でのセキュリティ対策を使用して、2つのホスト間の単一の通信セッションでデータを保護できます。 トランスポート層セキュリティプロトコルの最も一般的な用途は、HTTPおよびFTPセッショントラフィックの保護です。 Transport Layer Security(TLS)およびSecure Socket Layer(SSL)は、この目的に使用される最も一般的なプロトコルです。
  • ネットワーク層-この層でのセキュリティ対策は、すべてのアプリケーションに適用できます。したがって、これらはアプリケーション固有ではありません。 2つのホストまたはネットワーク間のすべてのネットワーク通信は、アプリケーションを変更せずにこのレイヤーで保護できます。 一部の環境では、インターネットプロトコルセキュリティ(IPsec)などのネットワークレイヤーセキュリティプロトコルは、個々のアプリケーションにコントロールを追加することが難しいため、トランスポートまたはアプリケーションレイヤーコントロールよりも優れたソリューションを提供します。 ただし、この層のセキュリティプロトコルは、一部のアプリケーションに必要な通信の柔軟性が低くなります。

ちなみに、上位層で動作するように設計されたセキュリティメカニズムは、下位層が上位層が認識しない機能を実行するため、下位層のデータを保護できません。 したがって、ネットワークセキュリティを強化するには、複数のセキュリティメカニズムを展開する必要がある場合があります。

チュートリアルの次の章では、ネットワークセキュリティを実現するためにOSIネットワークアーキテクチャのさまざまな層で採用されているセキュリティメカニズムについて説明します。

https://www.finddevguides.com/index.php?title=Network-security-overview&oldid=15933」から取得
Powered by MediaWiki