セキュリティ対策 - SEGAWA`s Web Site

セキュリティ対策
ネットワークシステム
第13回
ネットワークを脅かすもの(脅威)



多種多様
 新たな脅威も
対策方法もいろいろ
すべてを取り上げることは不可能
 盗聴対策などの基礎としての暗号
 不正アクセス対策の基本であるアクセス制限
“ネットワーク”の話ではない
参照サイト




PKI 関連技術情報
http://www.ipa.go.jp/security/pki/index.html
リモートアクセス環境におけるセキュリティ
http://www.ipa.go.jp/security/awareness/administrator/
remote/index.html
“5分で絶対に分かるファイアウォール”
http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fi
vemin00.html
暗号の歴史
http://www.mitsubishielectric.co.jp/security/learn/inf
o/misty/
暗
号
“情報社会と情報倫理”
で取り上げた
注

意
第11回のスライド
インターネットで従来から使われていたプロトコ
ルでは
データはそのまま(平文で)転送される
ものがほとんどである

つまり,盗聴されると筒抜けになる

現在は,データを暗号化するものがある
用語の確認

元のメッセージを平文(ひらぶん)

暗号化したメッセージを暗号文

暗号文を平文に戻すことを復号
 復号化と言わないことはない
 第三者が(盗聴した)暗号文を平文に戻すこと
は解読
暗号の方式

共通鍵暗号

公開鍵暗号
共通鍵暗号
古典的な暗号
共 通 鍵 暗 号 (1)




例 シーザ暗号
3文字後にずらすことにより,暗号化
NETWORK → QHWZRUN
3文字前にずらすことにより,復号
共 通 鍵 暗 号 (2)



暗号化も復号も,3文字ずらす
この3を暗号の鍵と呼ぶ
 3でなくても,かまわない
暗号化と復号で同じ鍵を使う暗号を共通鍵暗号
同じ鍵
共通鍵暗号の問題点


相手ごとに鍵を用意する
 多数の鍵の管理
どうやって相手に鍵を渡すか
公開鍵暗号
1970年代以降
公 開 鍵 暗 号 (1)



暗号化の鍵(key1とする)と復号の鍵(key2とす
る)が異なる
key1で暗号化した暗号文は,
key2で復号できる(key1では復号できない)
この他の条件
 key2で復号できるものは,
key1でしか暗号化できない
 key1からkey2を簡単に割り出せない
重要なポイント
公開鍵暗
号 (2)
暗号化と復号で,
別の鍵を使う
key1では
復号不可
公 開 鍵 暗 号 (3)

A 暗号メッセージの受け手

B 暗号メッセージの送り手

A(受け手)が,
鍵のペアーkey1とkey2を用意し,
暗号化用の鍵 key1 をBに伝える
(復号用の鍵 key2 は手元に保管)
公 開 鍵 暗 号 (4)

B が A に暗号化メッセージを送信
 key1とkey2は,Aが用意する
 暗号化用鍵 key1 をBに渡す
公 開 鍵 暗 号 (5)



Aに暗号化メッセージを送りたい人は誰でも,key1
により暗号化すればよい
つまり,key1は秘密にする必要はない
ただし,key2はAだけの秘密にしなければならな
い
CでもDでも誰でも
公 開 鍵 暗 号 (6)




Aに暗号化メッセージを送りたい人は誰でも,key1
により暗号化すればよい
つまり,key1は秘密にする必要はない
ただし,key2はAだけの秘密にしなければならな
い
key1をAの公開鍵(暗号鍵)
key2をAの秘密鍵(復号鍵,個人鍵)
公 開 鍵 暗 号 (7)

つまり,
B は A の公開鍵を使って暗号化し,
A は A(自分)の秘密鍵を使って復号する
デ ィ ジ タ ル 署 名(1)

誰が用意した文書か?

ディジタル文書での署名(サイン)
デ ィ ジ タ ル 署 名(2)

公開鍵暗号の応用
 RSAという公開鍵暗号では,
秘密鍵で暗号化した暗号文は,対応する公開
鍵で復号できる
 通常は,公開鍵で暗号化,秘密鍵で復号
 ここではRSAを用いるものとする
A(だけ)が保管している
デ ィ ジ タ ル 署 名(3)



Aからメッセージが届いた
Aの秘密鍵で暗号化したもの
であることは分かる
 Aからのメッセージであることを,どうやって確
認するか?!
それは,Aの公開鍵で復号できた(内容が分かる
メッセージになった)
メッセージの送り主はA
 Aの署名があるようなもの
 公開鍵で復号できるので,秘密保持は不可
Bさんは,
間違いなくAさんからのメッセージであることが分かる
さらに,メッセージが改ざんされていないことも分かる
デ ィ ジ タ ル 署 名(4)
正しくは,
これが
署名

http://www.ipa.go.jp/security/pki/024.html
公開鍵暗号

公開鍵暗号では
 暗号化による秘密保持

ディジタル署名による相手やメッセージが改ざ
んされていないことの確認
 RSA以外の公開鍵暗号でも可能
公開鍵暗号の問題点


公開鍵を入手方法
 認証局の証明書(詳細略)
処理時間がかかる
アクセス制限
例えば




あるネットワークにwebサーバがない
そのネットワークに,ポート80でアクセスされるこ
とはない
ポート80でアクセスされたら,それは不正アクセ
スの疑い
ポート80宛のパケットは破棄
不正アクセスと思われるもの
インターネットの現実
ファイアウォール(1)


fire wall 防火壁
外部との境界に置き,外部からの不正アクセス
を防ぐ
不正アクセス
ファイアウォール(2)

外から内への制限だけでなく,内から外への制
限を課す場合もある
 なぜ?
ファイアウォール(3)


通過させるパケットの指定と通過させないパケッ
トの指定
ここでは,
 すべてのパケットの通過させない
 例外的に通過させるパケットを指定
 通過させたパケット(通信)の応答のパケット
は通過させる(特に指定しなくても)
ファイアウォール(4)
通過させるパケットの
 送信元のIPアドレス
 送信元のポート番号
 送信先のIPアドレス
 送信先のポート番号
を指定する
 ただし,“*”はすべてを意味する
 例 IPアドレスが“*”の場合は,インター
ネット全体を意味する

ファイアウォールの例(1)


ホスト1はポート番号23で,ホスト3の任意のポー
ト番号からのアクセスを受け付ける
ホスト2は,ホスト3からのアクセスを受けつけな
い
通過させるパケットの指定
“192.168.20.1”の任意のポートから
“192.168.10.1”のポート番号23への
パケットは通過OK
ファイアウォールの例(2)

ファイアウォールの設定
 (すべてのパケットの通過を禁止)
 “192.168.20.1”,“*”,“192.168.10.1”,“23”
ポート番
号23
ファイアウォールの例(3)


インターネットから,公開webサーバへのアクセス
は可
インターネットから,内部用webサーバへのアク
セスは不可
送信元のIPアドレスが任意 → インターネット全部
送信元のポート番号が任意 → 制限なし
ファイアウォールの例(4)


(すべてのパケットの通過禁止)
“*”,“*”,“192.168.10.5”,“80”
ファイアウォールの例(5)

実際のネットワークは,もっと複雑
インターネットから・への
アクセス可能
(DMZ)
組織内ネット
ワーク
インターネットから
のアクセス不可
ファイアウォール(5)

以上,簡単なファイアウォールの例
 パケットフィルタリング
 ルータの設定で可能
 パケットの内容までみて判断するようなものも
ある
 専用のハードウェア,ソフトウェア
ま と め
暗 号(1)

暗号をつかったアプリケーション

暗号の応用

と言ったことも重要
暗 号(2)


共通鍵暗号
 問題点
公開鍵暗号
 公開鍵と秘密鍵
 暗号化・ディジタル署名
 問題点
ファイアウォール

パケットフィルタリング