Microsoft SECURE SYSTEM TRAINING TOUR 2005

Security Skill

IT Pro#1,IT Pro#2 Updateコース。
昨年のBrush Up版的な感じだが、おさらい+Windows Server 2003 SP1関連など。
印象的だったのは、IP Sec、無線LAN関係、HDD(特にNote PC)関連、ISA Server、Windows Server 2003 SP1、。

IP Sec

IP Sec=暗号化ではない。

  • IP Secはパラメータが多いため、メーカーによりdefault値が異なる。(Default値として採用しているパラメータが異なる、という感じ?)そのため、異メーカー間での接続性に難がある。→だから他メーカーとの接続性を保証しないのねー
  • IP SecとNAT,NAPT環境ではトラブることも。
    IPsecは変えないで通信したい、NAT・NAPTは変換して通信したい。条件的に相容れない。→解決策はNAT Traversal。
  • Kerberosとは要注意。
    認証あたりで堂々巡りになる可能性あり。

無線LAN関係

802.1xを使いましょう(RADIUS必要だけど)。802.1xでも、安いものは実装が若干違うので要注意、きちんとした実装のものは、7〜8万くらい。というお話。

  • 802.1xは認証だけで、通信の暗号化はWPA(TKIP or AES)
    安いものはWPAではなく、WPA-PSK*1がある。
  • SSID+WEP+WEP key→古い。WEPは解析可能。
  • Mac Address→古い。(成りすまし可能)
  • 強度
    1. PEAP-EAP-TLS
    2. PEAP-EAP-MSCHAPv2
    3. EAP-TLS

Mobile Computing

HDD(特にNotePC)は暗号化しましょう、というお話。

  • (Windowsの)Logon PW→突破可
  • BIOS PW→古いマシンの場合はM/Bの電池抜いて放電させるとか、突破可。
  • FDからMS-DOSを起動して、さらにNTFS-DOSを起動すると、ADministrator権限で奪取可。
  • HDDを外して別マシンに取り付けるとか・・。
  • 暗号化してあると、解析等に時間を潰されるので、面倒なので・・・。但し、通常使用中に何らかのトラブルに陥ると、その時点でサルベージも出来なくなる可能性があるので、Backupはマメに。

*1:WPA Pre Shared Key