11-セキュリティ関連
freeze
セキュリティ関連のページです。
br
●Webアプリケーションのセキュリティ
br
・WAFでの対策
おすすめ機器:Fortiweb(UIが使いやすい)
https://www.fortinet.com/jp/products/web-application-firewall/fortiweb
br
・プログラマー向け
IPAのセキュアプログラミング講座が分かりやすい
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
br
・SQLインジェクション
対策:エスケープ処理やバインド機構の利用、DB側のプロシージャ利用等
br
・クロスサイトスクリプティング
上記と同じ
br
・クロスサイトリクエストフォージェリ
ワンタイムトークンを使用
・セッションハイジャック
対策:
HTTPS通信で利用するCookieにはsecure属性
ログイン成功後に、新しくセッションを開始
セッションIDをURLパラメータに格納しない
br
・DNSキャッシュポイズニング Kaminsky attack
対策:DNSSECやDNS機能の分離
recursion no を設定 allow trasferで制限 allow queryでの詳細設計
※Bind用
DNSは「NSD」の利用を推奨します。(root dnsサーバも徐々にNSDに移行中)
※chrootで動くことから、セキュリティ上も安心
br
〇シングルサインオン(SSO)
br
・OAuth2.0 プロトコル
認可サーバー、リソースサーバで構築。トークンの設定
Facebookやtwitterが採用しことから、デファクトになりつつある。
br
〇その他メモ
br
・SSL-VPN
おすすめ製品:softether
br
Fortigateを使用の場合は・・
FortiGateのSSL-VPNでは、FortiClientソフトを使いトンネルモード接続でリモートアクセスを実現できる
br
・無線LAのセキュリティ
認証にはIEEE 802.1Xを使用 サプリカント RADIUSサーバ
おすすめ製品:RADIUS GUARD(SCSK)
https://www.scsk.jp/product/common/radius/dealer.html