11-セキュリティ関連

Last-modified: Sat, 21 Aug 2021 09:29:49 JST (998d)
Top > 11-セキュリティ関連

セキュリティ関連のページです。

 

●Webアプリケーションのセキュリティ

 

 ・WAFでの対策

  おすすめ機器:Fortiweb(UIが使いやすい)

  https://www.fortinet.com/jp/products/web-application-firewall/fortiweb

 

 ・プログラマー向け

  IPAのセキュアプログラミング講座が分かりやすい

  https://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

 

 ・SQLインジェクション

  対策:エスケープ処理やバインド機構の利用、DB側のプロシージャ利用等

 

 ・クロスサイトスクリプティング

  上記と同じ

 

 ・クロスサイトリクエストフォージェリ

  ワンタイムトークンを使用

  

 ・セッションハイジャック

  対策:

  HTTPS通信で利用するCookieにはsecure属性

  ログイン成功後に、新しくセッションを開始

  セッションIDをURLパラメータに格納しない

 

 ・DNSキャッシュポイズニング Kaminsky attack

  対策:DNSSECやDNS機能の分離

  recursion  no を設定 allow trasferで制限 allow queryでの詳細設計

  ※Bind用 

  DNSは「NSD」の利用を推奨します。(root dnsサーバも徐々にNSDに移行中)

  ※chrootで動くことから、セキュリティ上も安心

 

〇シングルサインオン(SSO)

 

 ・OAuth2.0 プロトコル

  認可サーバー、リソースサーバで構築。トークンの設定

  Facebookやtwitterが採用しことから、デファクトになりつつある。

 

〇その他メモ

 

・SSL-VPN

 おすすめ製品:softether

 https://ja.softether.org/

 

 Fortigateを使用の場合は・・

 FortiGateのSSL-VPNでは、FortiClientソフトを使いトンネルモード接続でリモートアクセスを実現できる

 

・無線LAのセキュリティ

 認証にはIEEE 802.1Xを使用 サプリカント RADIUSサーバ

 おすすめ製品:RADIUS GUARD(SCSK)

 https://www.scsk.jp/product/common/radius/dealer.html