SDPのここがすごい！ゼロトラスト勉強会 ～前編～

Transcript

1. © APCommunications Co., Ltd. 2023 ※ 本資料は、配布者限り・複製・転載を禁じます 2023/11/09 嘉藤育宏

2. © APCommunications Co., Ltd. 2023 Page 2 自己紹介 所属：(株)エーピーコミュニケーションズ iTOC事業部

   BzD部 0-WAN 氏名：嘉藤育宏（カトウヤスヒロ） 略歴：HW保守（チェンジニア）数年、 運用監視/管理COTSの設計･構築数年、 インフラ設計･構築数年、 2022年6月エーピーコミュニケーションズ入社 目標：CCIE SP（Service Provider）挑戦中 資格：CCNP､DEVASC､ITILv3､Zscaler(ZIA/ZPA) 好き：アイス、ベルギービール、ジーパン 嫌い：パクチー

3. © APCommunications Co., Ltd. 2023 Page 3 Agenda 1. はじめに

   2. Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

4. © APCommunications Co., Ltd. 2023 Page 4 1. はじめに 2.

   Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

5. © APCommunications Co., Ltd. 2023 Page 5 はじめに 8a1にご参加いただきありがとうございます。 今回は2週に渡りセキュリティに関するVPNの課題に焦点を当てて、VPNと

   SDP(ZTNA)の比較、SDPの仕組みについてお話します。SDP(ZTNA)について学 びたい方、VPNとSDP(ZTNA)の違いを理解したい方、ゼロトラストに興味のあ る方に、是非聞いて頂ければと思います。

6. © APCommunications Co., Ltd. 2023 Page 6 事前アンケート結果 事前アンケートのご協力ありがとうございました。

7. © APCommunications Co., Ltd. 2023 Page 7 コンセプト 「Zero Trust

   Network Accessとは？」 が理解できる 興味 「ゼロトラストアーキテクチャ、SDPの仕 組み」が理解できる 体感 Level2 「脱VPNへの一歩：VPNとSDPの違い」 を理解・説明できる 体験 Level3 Level1 「Zero Trust Network Accessって何？」⇒「ゼロトラストア ーキテクチャ、SDPの仕組みが理解できた」となってもらうこと が目標 対象者 • ゼロトラストを勉強中の方 • ZTNA、SDPに興味のある方 本セッションの目標 = Level2到達

8. © APCommunications Co., Ltd. 2023 Page 8 ゼロトラスト勉強会の内容（概要） ＃１ ポートノッキング

   ＃２ Single Packet Authorization（SPA） ＃３ VPN v.s. SDP（従来のVPNとSDPを比較） ＃４ Software-Defined Perimeter（SDP） SDP 分からん SDP 完全に理解した SDP Dive into Software-Defined Perimeter  SPA Port Knocking VPN v.s. SDP

9. © APCommunications Co., Ltd. 2023 Page 9 1. はじめに 2.

   Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

10. © APCommunications Co., Ltd. 2023 Page 10 Internet 話の位置づけ ゼロトラストの主要な技術要素とZTNA（SDP）の位置づけを以下に示します。

    External Application Internal Application SASE※ FWaaS CASB SD-WAN SWG ZTNA（SDP） 端末 EDR NGAV MDM ログの監視と収集 SIEM SOC UEBA SOAR IdP IDaaS 本日は ココ！ ※ Secure Access Service Edge, SASE

11. © APCommunications Co., Ltd. 2023 Page 11 SASE/SSEとは セキュリティサービスとネットワークサービスを融合したものを、 Secure

    Access Service Edge, SASEといいます。 セキュリティサービス SWG ZTNA FWaaS 認証サービス など CASB ネットワークサービス MPLS/VPN インターネット NW最適化 QoS など SD-WAN SASE Secure Access Service Edge ＋ ＝ またSASEのセキュリティ面を担うものを、 Security Service Edge, SSEといいます。 出典：CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know」 SASE SSE ZTNA CASB SWG 3つのコアコ ンポーネント FWaaS DLP など 複数のオプシ ョンコンポー ネント

12. © APCommunications Co., Ltd. 2023 Page 12 Zero Trust Network

    Accessとは Zero Trust Network Access（ZTNA）は2種類あります。 PROXY-Based Service-Initiated ZTNA 以降、ZTNAと省略します。 SDP-Based Endpoint-Initiated ZTNA 以降、SDPと省略します。 Zero Trust Network Access（ZTNA） 他にも色々 今回は こっち

13. © APCommunications Co., Ltd. 2023 Page 13 1. はじめに 2.

    Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

14. © APCommunications Co., Ltd. 2023 Page 14 Software-Defined Perimeterの歴史 2003

    Port knocking 誕生 ※１ Cloud Security Alliance, CSA ※２ Defense Information System Agency, DISA ※３ Single Packet Authorization, SPA ※４ FireWall KNock OPerator, fwknop https://www.cipherdyne.org/fwknop/ ※５ Continuous Adaptive Risk and Trust Assessment, CARTA 2005 RFC4226 HOTP 2007 2010 Forrester社 Zero trust 提唱 2014 CSA SDP v1.0 仕様書 公開 2019 Gartner社 SASE※7 提唱 2020 2021 2022 NIST※8 SP800-207 ZTA※9標準ガイド 公開 2007年にSDPの概念が生まれ、2014年にCSA※1 がSDPの仕様書v1.0を公開し、 2022年にCSAがSDPの仕様書v2.0を公開しています。 DISA※2で SDPの概念が 考案 Gartner社 SSE※10 提唱 CSA SDP v2.0 仕様書 公開 2018 Forrester社 ZTX※6 提唱 2017 Gartner社 CARTA※5 提唱 SPA※3 / SDP：fwknop※4（OSS）開発 ※６ Zero Trust eXtended, ZTX ※７ Secure Access Service Edge, SASE ※８ National Institute of Standards and Technology, NIST ※９ Zero Trust Architecture, ZTA ※１０ Security Service Edge, SSE

15. © APCommunications Co., Ltd. 2023 Page 15 1. はじめに 2.

    Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

16. © APCommunications Co., Ltd. 2023 Page 16 SDPの中核 SDPの中核技術は何でしょうか。 SPAには前身となる技術があるため、先ずはそれを知ることで知識の浸透に

    役立つと思います。 Controller Client Server SPA ※ ※ Single Packet Authorization : SPA 詳しくは後述します。

17. © APCommunications Co., Ltd. 2023 Page 17 Port knocking概要 Port

    Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Allow access from Client 最初の状態ではポート22は 閉じられています。 ClientからPort knockingに 定義されたTCP SYNのシー ケンスが送信される。 ServerはTCP/22を開放しま す。 Deny-Allの状態を維持しつつ、決められたノックシー ケンスが送られてきた時のみアクセスを許可するとい うことが実現できます。

18. © APCommunications Co., Ltd. 2023 Page 18 Port knockingのメリット •パケットはデフォルト・ドロップ

    •ポートスキャンに対して有効 •DoS/DDoS攻撃を最小化 Service Server Deny access from any（Deny-all） Port knocking用のシーケンス にならないパケットは全てドロップ 基本的にポートは閉めているため、 開きポートはスキャンできない Ｆ Ｗ

19. © APCommunications Co., Ltd. 2023 Page 19 Port knockingのデメリット Port

    Knocking Client SSH Client SSH Client Ｆ Ｗ Server Deny access from Client これって、真似したらワ ンチャンサーバにアクセ スできるんじゃね？ 暗号化していないから丸見え リプレイ攻撃に弱い ノックシーケンスは、暗号化されずにそのままネットワーク上を流れます。 １ ノックシーケンスの破壊 第三者がノックシーケンスの一部を送ることで、シーケンスそのものを破壊可能です。 ２ IDS、ポートスキャンに弱い ノックシーケンスは、一連のパケットの流れになるので探索が可能です。 ３

20. © APCommunications Co., Ltd. 2023 Page 20 Port knockingの構築 ①

    install Server（Knock-server） knock-server-0.7-1.el7.nux.x86_64.rpm 【コマンド 】 rpm -ivh http://li.nux.ro/download/nux/dextop/el7Server/x86_64/knock-server-0.7-1.el7.nux.x86_64.rpm ② edit /etc/sysconfig/knockd ③ edit /etc/knockd.conf 事前に libpcap が必要 ※ ※What is libpcap used for? Libpcap enables administrators to capture and filter packets. Packet sniffing tools like tcpdump use the Libpcap format. For Windows users, there is the WinPcap format. WinPcap is another portable packet capture library designed for Windows devices. WindowsでいうところのWinPcap → パケットキャプチャに使うライブラリのこ とです。 ① install Client（Knocker） knock-0.7-1.el7.nux.x86_64.rpm 【コマンド 】 rpm -ivh http://li.nux.ro/download/nux/dextop/el7Server/x86_64/knock-0.7-1.el7.nux.x86_64.rpm 事前に libpcap が必要 ※ Server（Knock-server）とClient（Knocker）で若干構築手順が異なります。

21. © APCommunications Co., Ltd. 2023 Page 21 Port knocking構築 /etc/knockd.conf

    ! [options] UseSyslog logfile = /var/log/knockd.log [openSSH] sequence = 123:udp,179:tcp,162:udp seq_timeout = 15 tcpflags = syn start_command = /sbin/iptables -I INPUT -s 172.16.12.2 -p tcp --dport ssh -j ACCEPT cmd_timeout = 10 [closeSSH] sequence = 9:udp,9:udp,9:udp seq_timeout = 15 tcpflags = syn start_command = /sbin/iptables -D INPUT -s 172.16.12.2 -p tcp --dport ssh -j ACCEPT cmd_timeout = 10 /etc/sysconfig/knockd ! OPTIONS="-i ens34" Port Knocking Client SSH Client SSH Client Ｆ Ｗ Server Port Knocking Client SSH Client SSH Client Server Client Client Server Client 172.16.12.0/24 .2 .1 ens34 ServerのFWを開ける時 ServerのFWを閉める時 Ｆ Ｗ

22. © APCommunications Co., Ltd. 2023 Page 22 Port knockingデモ 百聞は一見に如かず！

    Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Allow access from Client 最初の状態ではポート22は閉じられています。 ClientからPort knockingに定義された TCP SYNのシーケンスが送信します。 ServerはTCP/22を開放します。 Clientはこの開放している間に TCP/22に対してアクセスします。 Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client Client Server Port Knocking Client SSH Client SSH Client Ｆ Ｗ Client Server Allow access from Client 最初の状態に戻ります。 ClientからPort knockingに定義された TCP SYNのシーケンスが送信します。 ServerのTCP/22が開放しっぱなしは セキュリティが甘すぎます。 ClientからノックしてFWを閉めます。 Ｆ Ｗ

23. © APCommunications Co., Ltd. 2023 Page 23 Port knockingデモ デモはこちらのアーカイブ動画をごらんください

    https://youtu.be/m4T-54hr1Vw?si=39m18RUoNP9g_qvM&t=1327

24. © APCommunications Co., Ltd. 2023 Page 24 1. はじめに 2.

    Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

25. © APCommunications Co., Ltd. 2023 Page 25 Single Packet Authorizationの概要

    SDP Client SSH Client SSH Port22 Ｆ Ｗ Client Server Deny access from Client SDP Client SSH Client SSH Port22 Ｆ Ｗ Client Server Deny access from Client SDP Client SSH Client SSH Port22 Ｆ Ｗ Client Server Allow access from Client SPA パケット 最初の状態ではポート22は 閉じられています。 ClientがSPAパケットを送信 します。 Serverは一定時間TCP/22を 開放します。 SDP Server SDP Server SDP Server Deny-Allの状態を維持しつつ、正規のSPAパケットが 送られてきた時のみアクセスを許可するということが 実現できます。 chapter “Trusting the Traffic” in Zero Trust Networks by Evan Gilman and Doug Barth (O’Reilly Media, Inc., 2017).

26. © APCommunications Co., Ltd. 2023 Page 26 SPAの原則 SPAを実装するにあたっては、以下の４つの共通の原則を備えること を要求しています。

    SPAの原則 暗号化と認証 １パケット 隠密 管理者権限非依存

27. © APCommunications Co., Ltd. 2023 Page 27 SPAパケットの構成 OSS（fwknop）のSPAパケットはUDP 1パケットです。

28. © APCommunications Co., Ltd. 2023 Page 28 SPAパケットの構成 SPA Field

    Values: ================= Random Value: 1471177112137289 Username: root Timestamp: 1682842565 FKO Version: 2.0.2 Message Type: 1 (Access msg) Message String: 192.168.12.1,tcp/22 Nat Access: <NULL> Server Auth: <NULL> Client Timeout: 0 Digest Type: 3 (SHA256) HMAC Type: 3 (SHA256) Encryption Type: 1 (Rijndael) Encryption Mode: 2 (CBC) Encoded Data: 1471177112137289:cm9vdA:1682842565:2.0.2:1:MTkyLjE2OC4xMi4xLHRjcC8yMg SPA Data Digest: qgklgxzGr7QdRrqmlvwir11KAnDBk2tEyzRli6bqN9I HMAC: FdvJhWhHJI7CYuOZEguBIfMdyA1aLFfYcJ+fuUZDMsk Final SPA Data: +o639oNwQUJl92UrPr02q9Qdlu9/PWtYtzD3tB8Jo+Ey0Bftbf8r0qC6qYNg5d5z+4pquI+oaV1+hIFy9Ich/1qWHZvfGtrTOqBn2osg+Xo9CpdpmFLMllfIczh O/8QrLaDskF52YiAS0LFBH5Rinkid33Sl+wCF+DhWRHEtIXw67UlL7orFDSFdvJhWhHJI7CYuOZEguBIfMdyA1aLFfYcJ+fuUZDMsk Generating SPA packet: protocol: udp source port: <OS assigned> destination port: 62201 IP/host: 192.168.12.2 send_spa_packet: bytes sent: 225 SPAパケットの構成は以下のとおりです。暗号化されて1パケットに 様々な情報が含まれています。 ① どんな通信か？ ② 暗号化され、ユニークなパケット

29. © APCommunications Co., Ltd. 2023 Page 29 SPAの特徴 SPAの特徴は以下のとおりです。 特

    徴 Deny-All 対リプレイ攻撃 対DDoS攻撃 対スニッフィング 認証の強化 SPAパケットでないものは全てドロップ 過去に来たパケットが来た場合にリプレイ攻撃であると判断 シーケンスではないのでDDoS攻撃の可能性を低減 詳しくは※を参照ください。 1パケットであることから、スニッフィングすることが困難 クライアントのユーザ名など、ユーザに対応した追加の 認証等の処理が可能 ※ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/

30. © APCommunications Co., Ltd. 2023 Page 30 SPAの構築 SPAの構築手順（概要）は以下のとおりです。 ①

    tarball ダウンロード & 解凍 Server と Client 共通 【コマンド 】 wget http://www.cipherdyne.org/fwknop/download/fwknop-2.6.10.tar.gz ② configure 【コマンド 】 cd fwknop-2.6.10 ./configure --prefix=/usr --sysconfdir=/etc && make 【コマンド 】 tar xfz fwknop-2.6.10.tar.gz ③ make install 【コマンド 】 make install 事前に libpcap が必要 Client 側での作業 ① KEY 生成 【コマンド 】 fwknop -A tcp/22 -a 203.0.113.1 -D 203.0.113.254 --key-gen --use-hmac --save-rc-stanza Server 側での作業 ① edit ② edit /etc/fwknop/access.conf /etc/fwknop/fwknop.conf Server Client 203.0.113.0/24 .1 .254 以下に生成する $HOME/.fwknoprc

31. © APCommunications Co., Ltd. 2023 Page 31 SPAの構築 /etc/fwknop/access.conf !

    ～ 途中省略 ～ #### fwknopd access.conf stanzas ### SOURCE ANY KEY_BASE64 xO5mM5lEJUVKxMn6PcNUKTn1qdivpLA1AHsMALKdhlU= HMAC_KEY_BASE64 i0Asqvm0zGB867vcZT15RlL9TWrkbUs+4tNXAemTYF/D4MBWQX6dCWbCLSJ8ltj/VEPMBc/TNlGYwTlLCEVbVQ== ～ 以下省略 ～ SSH Client Ｆ Ｗ Server fwknop Client SSH Client Client Server Client 203.0.113.0/24 .1 .254 ens224 fwknop Server SPA パケット /etc/fwknop/fwknopd.conf #################################################### # # [+] fwknopd - Firewall Knock Operator Daemon [+] # # This is the configuration file for fwknopd, the Firewall Knock Operator # daemon. The primary authentication and authorization mechanism offered ～ 途中省略 ～ # Define the ethernet interface on which we will sniff packets. # Default if not set is eth0. The '-i <intf>' command line option overrides # the PCAP_INTF setting. # PCAP_INTF ens224; ～ 以下省略 ～ Server side Server side Clientにて生 成したKEYを コピペ

32. © APCommunications Co., Ltd. 2023 Page 32 SPAのデモ 百聞は一見に如かず！ SDP

    Client SSH Client SSH Port22 Ｆ Ｗ Client Server Deny access from Client SDP Server SDP Client SSH Client SDP Server SSH Port22 Ｆ Ｗ Client Server SDP Client SSH Client SDP Server SSH Port22 Ｆ Ｗ Client Server Allow access from Client SPA Packet 最初の状態ではポート22は 閉じています。 ClientがSPAパケットを送 信します。 有効なSPAパケットを受信した Serverは一定時間TCP/22を開 放します。 Clientはこの開放している時間 内にTCP/22に対してアクセス します。 Port knockingと異なり制限時 間を経過するとポートが自動的 に閉められます。

33. © APCommunications Co., Ltd. 2023 Page 33 SPAのデモ デモはこちらのアーカイブ動画をごらんください https://youtu.be/m4T-54hr1Vw?si=6bzpiUOVrs_w6nfY&t=2363

34. © APCommunications Co., Ltd. 2023 Page 34 まとめ Zero Trust

    Network Accessは2種類ある Port-Knocking PROXY-Based のService-Initiated 型 ZTNAと、SDP-Based の Endpoint- Initiated 型 ZTNA の2種類があります。 Deny-Allの状態を維持しつつ、決められたパケットシーケンスによりファイアウォール を開閉する仕組みです。暗号化されていないのが最大のデメリットです。 1 ２ Single Packet Authorization Port-Knockingの利点を活かしつつ、Port-Knockingの課題に対処したものです。 SDPの最も重要な要素の１つである「接続前認証」を実現するために使われます。 ３

35. © APCommunications Co., Ltd. 2023 Page 35 1. はじめに 2.

    Zero Trust Network Access 3. Software-Defined Perimeterの歴史 4. Port knocking 5. Single Packet Authorization 6. おわりに

36. © APCommunications Co., Ltd. 2023 Page 36 次回予告 ＃１ ポートノッキング

    ＃２ Single Packet Authorization（SPA） ＃３ VPN v.s. SDP（従来のVPNとSDPを比較） ＃４ Software-Defined Perimeter（SDP） SDP 分からん SDP 完全に理解した SDP Dive into Software-Defined Perimeter  VPN v.s. SDP SPA Port Knocking

37. © APCommunications Co., Ltd. 2023 Page 37 次週もよろしくお願いします まだ申し込まれていない方、本日の話を聞いて続きが気になった方、 お気軽にご参加いただけますと嬉しいです。

    後編 https://8a1-apc.connpass.com/event/298598/ SDPをより深く学びます。 ・VPNとSDPを比較説明 ・ゼロトラスト・アーキテクチャ ・SDPの仕組み 11月16日（木）18:30～19:35

38. © APCommunications Co., Ltd. 2023 Page 38 ご清聴ありがとうございました

39. © APCommunications Co., Ltd. 2023 Page 39 appendix

40. © APCommunications Co., Ltd. 2023 Page 40 参考URL ▪SDP Specification

    v1.0 https://cloudsecurityalliance.org/artifacts/sdp-specification-v1-0/ ▪Software-Defined Perimeter (SDP) Specification v2.0 https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2/ ▪ SDP Architecture Guide v2 https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2/ ▪ Software-Defined Perimeter (SDP) and Zero Trust https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-and-zero-trust/ ▪ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/ ▪Zero Trust Architecture（NIST SP800-207） https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf ▪ソフトウェア定義の境界とは https://www.zscaler.jp/resources/security-terms-glossary/what-is-software-defined-perimeter ▪How to choose a Zero Trust architecture: SDP or Reverse-Proxy? https://cloudsecurityalliance.org/blog/2021/02/15/how-to-choose-a-zero-trust-architecture-sdp-or-reverse-proxy ▪SPA （Single Packet Authorization）解説 https://cloudsecurityalliance.jp/newblog/2019/08/27/448/ ▪Single Packet Authorization A Comprehensive Guide to Strong Service Concealment with fwknop https://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

41. © APCommunications Co., Ltd. 2023 Page 41 Q&A Q1:CARTAとはなんですか？ A1:

    Continuous Adaptive Risk and Trust Assessment ;CARTA ガートナー社が提唱したといわれる企業ネットワークのリスクとセキュリティ管理に対する戦略的アプ ローチです。７つの原則に基づいています。ゼロトラストはCARTAを実現するロードマップの一歩と 位置付けています。 https://stinet.pl/en/7-cartas-imperatives-continuous-adaptive-risk-and-trust-assessment-by-gartner/ 7 CARTA’S IMPERATIVES – CONTINUOUS ADAPTIVE RISK AND TRUST ASSESSMENT BY GARTNER

42. © APCommunications Co., Ltd. 2023 Page 42 Q&A Q２:ZTXとはなんですか？ A２:

    Zero Trust eXtended Ecosystem Framework;ZTX Chase Cunningham博士（Dr.チェイス・カニンガム）によって開発および推進されたエンタープライ ズ IT セキュリティのフレームワークです。 https://www.forrester.com/blogs/what-ztx-means-for-vendors-and-users/ What ZTX means for vendors and users

43. © APCommunications Co., Ltd. 2023 Page 43 Q&A Q３：SPAはいつ作られたプロトコルですか？ A３：2002年にベータ版が作られました。今回のデモは2018年の最終版を使いました。

    1977 DES設計※1 ※１ Data Encryption Standard：DES（鍵長:56bit / ブロック長:64bit） ※２ Triple DES（鍵長:56,112,168bit / ブロック長:64bit） ※３ Advanced Encryption Standard：AES（鍵長:128,192,256bit / ブロック長:128bit） 1997 NISTが AESの候補を 公募する 1998 3DES設計※２ Rijndael設計 2000 NISTが Rijndael採用決定 AES※３ 誕生 2002 fwknop ※４ ベータ版誕生!? 2003 Port knocking 誕生!? 2005 RFC4226 HOTP 2010 OSS fwknop v2.0.0 C Version 2018 OSS fwknop v2.6.10 最終版 OSS fwknop v0.9.0 Perl Version Forrester Research社 Zero trust 提唱 2020 NIST SP800-207 ZTA標準ガイド 公開 ※４ fwknop 誕生秘話 https://www.usenix.org/system/files/login/articles/1063-fwknop.pdf

44. © APCommunications Co., Ltd. 2023 Page 44 Q&A Q４：SPAを実装している製品若しくはソリューション適用事例はありますか？ A４：『Appgate

    SDP』という製品があります。 http://appgate-sdp.jp/ 番号 名称 役割 １ Appgate SDP Agent 端末にインストールするAgentです。 ２ Appgate SDP Controller ユーザ認証＋デバイス認証を経た上で、Agentに適切なアクセス権を付与します。 ３ Appgate SDP Gateway Controllerから認証の許可が下りるとSPA（Single Packet Authorization）により、アクセスポート がOpenします。 ４ Appgate SDP Log Server 全てのアクセスログを保管し、可視化可能です。 ※引用元URL https://www.techmatrix.co.jp/product/appgate/overview.html

45. © APCommunications Co., Ltd. 2023 Page 45 Q&A Q５：SPAはRFCで規定されていますか？ A５：いいえ。ただし、ベースとしているRFCはあります。

    RFC4226 / December 2005 HOTP: An HMAC-Based One-Time Password Algorithm https://datatracker.ietf.org/doc/html/rfc4226 HOTP（HMAC-based One-Time Password） HOTPとは、ワンタイムパスワード（OTP）の生成手法の標準の一つで、秘密鍵とログイン試行回数からハッシュ値を求め、 これを6桁程度の数字に変換してパスワードとする方式。

46. © APCommunications Co., Ltd. 2023 Page 46 Q&A Q６：Rijndael（ラインダール）＝ AESではありませんか？

    A６：いいえ。イコールではありません。 Rijndael 168bit 224bit AES 128bit 192bit 256bit ブロック長※２ 168bit 192bit 224bit 256bit 128bit 鍵長※１ 実装の単純化や実用 性などを考慮して、 AESでは3種類の鍵長 と1種類のブロック長 のみを採用した。 （端折った！！） ※１（鍵長） 暗号強度を表す。bit数が大きいほど暗号強度が強い。 しかし、処理速度が遅くなる。 ※２（ブロック長） 暗号化する単位データ長。

47. © APCommunications Co., Ltd. 2023 Page 47 Q&A Q７：SPAはpre-shared key

    による共通鍵暗号方式以外にも対応しているのでしょうか？ A７：はい。サーバ、クライアント双方で GnuPG（GNU Privacy Guard）を用いる公開鍵暗 号方式にも対応しています。 ※引用元URL https://www.mizucoffee.com/archives/228 Pretty Good Privacy