サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ブックレビュー
www.chuu-information.com
スポンサードリンク セッションハイジャックとは、成り済ましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。セッションハイジャックにより行われる行為として以下のようなことが考えられます。 ・正規サーバになりすましてクライアントの機密情報を盗む。 ・正規クライアントになりすまして、サーバに侵入する。 以下にセッションハイジャックの種類と攻撃手法について紹介します。 ・TCPセッションハイジャック TCPではコネクション確立時に互いにシーケンス番号を交換し、コネクション確立後は発信者がデータを送る際にシーケンスを加算して通信を行うことで信頼性を高めている。この仕組みを利用して矛盾なくシーケンス番号を操作して成り済まし通信を行う行為をTCPセッションハイジャックである。 ・WEBセッションハイジャック HTTPは、一つ一つセッション単位で完結するため、
スポンサードリンク シングルサインオンとは、認証を必要とする複数のシステムが存在する場合に、最初の1回認証に成功すれば、それ以降はシステムが変わっても利用が許可されているシステムであれば認証プロセスを踏むことなくアクセスが可能になる認証方式をいいます。 ●シングルサインオン導入メリット 社内ネットワークなどでユーザ認証が必要なシステムでは、複数の認証が必要なシステムが共存していることがほとんどです。この場合、システムが変わると、その度に認証プロセスを踏むことになります。こうなるとユーザの負担も増えるうえに管理者の負担まで増えることになります。 シングルサインオンを用いることで、認証情報を一括で管理することで管理者の負担も軽減され、ユーザも一回の認証で社内のすべてのシステムへアクセス出来るため利便性が向上します。 以下にシングルサインオンを実現する仕組みを解説します。 ・エージェント方式 各
スポンサードリンク セッションハイジャックは、3つのカテゴリに分けられ、一つが2つのホスト間の通信を横取りするMain-In-The-Middleと呼ばれる攻撃、二つ目が2つのホスト間の通信にコマンドなどを挿入するブラインドハイジャック、三つ目が新しいセッションを作成するか以前のセッションを盗用するものです。 上記のいずれの攻撃を受けても、セッションをハイジャックされてしまうとシステムに大きな影響を与えてしまいます。安全かつ強固なシステムを構築するためにもしっかりとした対策が必要になります。 セッションハイジャック対策について以下に示します。 ・予防 Ⅰ.OSおよびアプリケーションに最新のパッチを適用する。 Ⅱ.SSL/TLS、Ipsec,SSHなどでパケットの暗号化を行う。 Ⅲ.WebサーバのURL Rewriting機能を無効にする。(セッションフィクセイション対策) →URL Rew
スポンサードリンク Webサーバが、Webブラウザを通じて訪問者のコンピュータに一時的にデータを書き込んで保存させるしくみをいいます。Cookieにはユーザに関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができます。Cookieはユーザの識別に使われ、認証システムや、WWWによるサービスをユーザごとにカスタマイズするパーソナライズシステムの要素技術として利用されています。 近年、クロスサイトスクリプティングやクロスサイトフォージェリでクッキー情報を盗むことでセッションIDを不正に操作し攻撃を仕掛ける悪意のあるユーザが多く見られるようになって来ました。その対策としてクッキーのセキュアモードでの使用が推奨されています。 →クロスサイトスクリプティングの詳細を見る →クロスサイトフォージェリの詳細を見る 以下にセキュアなセッション管理を行うための手法を紹介します
スポンサードリンク 本項では、FWのアクセス制御リスト(ACL)の考え方について解説します。 ファイアウォールに設定されたACLは、上から順番に照合され条件に合致した時点でアクションが実行され以降の条件は照合されないため優先順位が高いほど上に記述する必要があります。 以下にパケットフィルタ型ファイアウォールに設定するACLの例を示します。 ※本来は数十項目が設定されるが本項ではACLのイメージができればよいため6項目となっております。 下図のインターネットをUntrust、内部セグメントをTrustとしてACLを定めています。 上のACLでは、インターネットからのアクセスはHTTPとSMTPのみに制限し、内部からインターネットへのアクセスはすべて許可されています。 以下にネットワーク構成イメージを示します。
「SEのための情報セキュリティ対策」は、平成18年度に創設されたテクニカルエンジニア情報セキュリティ試験の内容に基づいた、SEとして必要な情報セキュリティアーキテクチャの知識について解説しているサイトです。また平成21年に創設される情報セキュリティプロフェッショナル試験対策についても掲載しております。 昨今情報セキュリティに対する世間の関心が徐々に高まりつつあるのは、情報漏えいなどが企業に致命的な打撃を与えかねないからです。それに伴って情報セキュリティ技術に対するニーズも高まるのは必然と考えることが出来、テクニカルエンジニア情報セキュリティ試験の創設も必然といえるでしょう。 このサイトでは、機密性・完全性・可用性の情報セキュリティの3大要素を前提として、情報セキュリティシステムの設計・開発管理・運用管理・セキュリティ法規を紹介しています。
スポンサードリンク 以下にセッションが確立されるまでの手順について示す。 セッション確立までの処理は、SSL/TLSのプロトコル構造で紹介したHandshakeプロトコルが行う。 ※クライアント認証は行わないものとする。 ① ClientHello クライアント(ブラウザなど)が利用可能な暗号化/圧縮アルゴリズムの一覧をサーバに送信する。 ② ServerHello クライアントから送られてきた一覧から暗号化/圧縮アルゴリズムを決定しクライアントに通知する。 ③ Certificate サーバのディジタル証明書をルートCAまでの証明書リストを含めてクライアントに送信する。 →ディジタル証明書の詳細を見る ④ ServerKeyExchange ③でディジタル証明書を送信しない場合、一時的にRSA鍵かDiffie-Hellman鍵を生成してクライアントに送信する。 ⑤ ServerHello
このページを最初にブックマークしてみませんか?
『www.chuu-information.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く