CISSPを勉強した際の自分用のメモです。参考程度にとどめてください<(*_ _)>
関連記事はこちら⬇︎
受験記録
ドメイン1
ドメイン2
ドメイン3
ドメイン5
ドメイン6
ドメイン7
ドメイン8
- ケーブルの種類
- 代表的なLANケーブル(ツイストペアケーブル)の規格
- ネットワーク構成
- 通信制御の方法
- IPアドレス
- 802.1X認証
- 無線LAN関連
- Bluetooth
- 通信階層のルール
- 色々なプロトコル
- ルーティングプロトコル
- ブロードキャストドメインとコリジョンドメイン
- ポートスキャン
- Well-Known-Port
- VPN関連
- VM関連
- メールセキュリティ関連
- 電話関連
- ブロードバンド技術
ケーブルの種類
- UTPを使用するとクロストーク(混線)の可能性を低減できるが、ワイヤタッピング(盗聴)の可能性は低減できない
代表的なLANケーブル(ツイストペアケーブル)の規格
-
1000BaseTは、最長100mまで使用可能
-
100m以上の場合は延長するか、光ケーブル(SMFやMMF)が使われる
- 電磁干渉を受けないようにするためには、光ケーブルを使う
FDDI(Fiber Distributed Data Interface)
光ファイバーを利用したLAN規格。送信制御にはトークンリングパッシング方式を利用している
ネットワーク構成
- バス型、スター型、リング型、メッシュ型がある。それぞれの特徴は以下の通り
- フルメッシュ接続に必要なネットワーク数の数はn(n-1)/2で求められる
通信制御の方法
IPアドレス
ネットワーク部とホスト部で構成される。一般的にはIPv4を指す。クラスA、クラスB、クラスC、クラスD(マルチキャスト用)、クラスE(実験用)の5つのアドレスクラスに分類される。
ループバックアドレス
自分自身を指す特別なIPアドレス。127.0.0.0が使われることが多い
サブネット化
クラス別のネットワークを分割すること。ネットワークのサイズが大きいと無駄なトラフィックが発生する。そのため、ネットワーク部を拡張しサブネット化を行う
サブネットマスク
IPアドレスのネットワーク部とホスト部の区切りを表す32ビットの値のこと。サブネットマスクの表現方法には、
の2種類がある
PAT(Port Address Translation)
1つのグローバルアドレスで複数のホストが同時にインターネット接続が可能になる仕組み。(CISCOの呼称。技術名称はNAPT)
RFC1918
IAMA(Internet Assigned Numbers Authority)が定めた、プライベートアドレスとして使用可能な範囲のルールのこと
MPLS(MultiprotocolLabelSwitching)
伝送の高速化を目的に、IPアドレスの代わりに、パスラベルを使い中継先を決定する技術
802.1X認証
- LAN内のユーザ認証方式を定めた規格(有線・無線は問わない)
無線LAN関連
- FHSS(Frequency Hopping Spread Spectrum)、DSSS(Direct Sequence Spread Spectrum)では、より広い(複数の)周波数帯域に通信を拡散するスペクトラム拡散の技術が使われている
-
セキュリティにもいくつかの規格がある。2018年に登場したWPA3が最も強固だが、WPA2が広く利用されている。
Bluetooth
- 強力な暗号化機能はないので、機密性の低い作業にのみ使用すべき
- ブルースナーフィング攻撃-Bluetooth経由で対象デバイスのデータにアクセスする攻撃
- ブルージャッキング攻撃-Bluetoothデバイスに対して、一方的に迷惑メッセージを送る攻撃
通信階層のルール
色々なプロトコル
マルチレイヤプロトコル
OSI モデルの複数の層にわたって動作するプロトコルのこと(=TCP/IP)。暗号化が様々な層で可能、上位層では幅広いプロトコルを使用できる、といった利点があるが、隠れチャネルが存在しうる、隠蔽されたトラフィックがフィルタをバイパスできる、ネットワークセグメントに設定した論理的な境界を一定の条件下でバイパスできる、といった欠点もある。
SSL/TLS
対象鍵(共通鍵)の技術を利用してインターネット上でデータを暗号化して送受信する仕組み。
FCoE(FibreChanneloverEthernet)
イーサネット上でファイバーチャネルを実現するためのプロトコル
PPP(Point-to-Point Protocol)
電話回線を利用して、2拠点間でデータ通信を行うための通信プロトコル。認証のためにPAP(認証情報を暗号化せずサーバに送る)、CHAP(チャレンジ・レスポンス方式でパスワードが経路上に流れないようにする)を使う
フレームリレー
- 前身であるX.25からエラー訂正機能を取り除くことで高速化を実現したWANサービス※現在の企業ネットワークでは利用されていない
- DTE(Data Terminal Equipment)である拠点ルータと、フレームリレー網にあるDCE (Data Circuit-terminating Equipment)であるフレームリレースイッチの間で、データをやりとりする
- プロバイダから保証されている最低限のデータの速度のことを認定情報速度=CIR(Committed Information Rate)という
- 複数のPVC(Permanent Virtual Circuit、相手先固定仮想回線)をサポートする
非IPプロトコル
NetBEUI、IPX/SPX、AppleTalkは現在では主に利用されていないため(TCP/IPが主流)ファイアウォールでのフィルタリングができない
iSCSI
IPネットワーク経由でファイルサービスを構築するためのプロトコル。ファイバーチャネルよりも低価格でSAN(Storage Area Network、ストレージ専用のネットワーク)を実現できる。
スパニングツリープロトコル
LAN内でループを回避するためのプロトコル
ルーティングプロトコル
ブロードキャストドメインとコリジョンドメイン
ポートスキャン
Well-Known-Port
TCP/IPによる通信で利用されるTCPやUDPのポート番号で、あらかじめ予約されている
VPN関連
-
PPTP、L2F、L2TP、IPSecはVPNで最も一般的に使用されるプロトコル。PPTPとL2Fが統合し、L2TPになった。L2TPはこの4つの中で唯一、非IPプロトコルをサポートできる
-
IPSecの通信モードには、トランスポートモード(エンドツーエンドの通信に使用される。IPヘッダは暗号化されず、データ部分のみが暗号化される)とトンネルモード(VPN端末間同士の通信に使用される。IPパケット全体が暗号化され、新しいIPが付与される)がある
- IPSecのAHは(Authentication Header) 認証ヘッダを指し、IPパケットの完全性の保証と認証を保つためのしくみである。ESPはEncapsulating Security Payload)暗号ペイロードヘッダを指し、IPパケットのデータを暗号化し、改ざん、盗聴、偽造を防止する
VM関連
- VMエスケープエクスプロイト(仮想マシンからそのマシンのホストにアクセスする攻撃)の対策としては、物理的なハードウェアの分割が有効
- 仮想マシン間のカット・アンド・ペーストの許可は隠れチャネルに繋がる可能性がある
メールセキュリティ関連
PGP
S/MIME
DKIM
電話関連
音声電話
- 音声通信は直接銅線で搬送されるため従来型の構内交換機(PBX:Private Branch Exchange)システムは暗号機能がなく、盗聴に対して脆弱
- ダイレクト・イン・サービス・アクセス(DSA:外出先から社内に電話をかけて遠隔で操作する機能のこと)でアクセスコードが漏洩すると、攻撃者が通話や制御ができてしまう
VoIP
- VoIP電話をデスクトップPCと同じスイッチに配置すると、VLANホッピング(VLANのトランクポート機能を悪用し、本来アクセスできないポートにアクセスすること)が起きる可能性がある。VLANホッピングの対策としては物理的にスイッチを分けるのが有効
- SPIT(Spam over Internet Telephony)攻撃は、IP電話を使った迷惑電話のこと
DECT(Digital Enhanced Cordless Telecommunications)
- 2011年に策定された新しいデジタルコードレス電話機の標準規格
- 暗号化は機能としては提供されているもののすでにクラッキングされている