Securitate+ Foaie de înșelăciune

Simetric Gestionarea cheilor și ciclul de viață al Stabilirea și gestionarea cheilor criptografice

Algoritm Tip cifru certificatelor ATACURI
DES Bloca Generarea cheii - o pereche de chei publice este creată DOS - Refuzul serviciului
3DES Bloca și deținută de CA Ștrumf - Pe baza răspunsului ecoului ICMP
AES (Rijndael) Bloca Depunerea identității – Entitatea solicitantă transmite Fraggle - Smurf Like atac bazat pe pachete UDP Ping
Blowfish Bloca AC identitatea sa Flood - Blochează Serviciul prin ping-uri repetate SYN
IDEE Bloca Înregistrare – AC înregistrează cererea și verifică Flood - Cereri SYN repetate fără ACK Land –
identitatea depunerii Exploatează stivele TCP/IP folosind SYN-uri falsificate
RC2 Bloca
Certificare- AC creează un certificat semnat de propriul Teardrop - Un atac folosind pachete UDP suprapuse,
RC4 Pârâu
certificat digital fragmentate, care nu pot fi reasamblate corect Bonk - Un
RC5 Bloca atac al portului 53 folosind pachete UDP fragmentate cu
Distribuție – AC publică certificatul generat
RC6 Bloca informații false de reasamblare
MULAJ Bloca Utilizare – Entitatea destinatară este autorizată să
utilizeze certificatul numai pentru utilizarea prevăzută Boink - atac asemănător Bonk, dar pe mai multe porturi
MARTE Bloca Backdoor
Revocare și expirare - Certificatul va expira sau poate fi
Șarpe Bloca NetBus, Orificiul din spate
revocat mai devreme, dacă este necesar
Două pești Bloca Falsificarea
Reînnoire - Dacă este necesar, poate fi generată o nouă
Kerberos Procesul de a face datele să pară că provin de la
pereche de chei și certul reînnoit
SSL Cifru* altcineva
Recuperare – posibilă dacă o cheie de verificare este
Omul din mijloc
compromisă, dar titularul este încă valid și de încredere
Asimetric - Non-repudiere Interceptarea traficului între 2 sisteme și utilizarea unui al
Arhivă – certificatele și utilizatorii sunt stocați
Rivest, Shamir și algoritmul de criptare Aldeman (RSA) treilea sistem pretinzând a fi unul dintre celelalte
Schimb de chei Diffie-Hellman Atac de reluare
Algoritmul de criptare El Gamal Autentificare postarea datelor capturate
Criptografia curbei eliptice (ECC) Kerberos – sistem bazat pe bilete, cheie simetrică KDC Deturnare TCP/IP
SSL – Strângere de mână* CHAP – schimb de valori hash Starea sesiunii este modificată într-un mod care
PKI Certificate utilizate fără PKI pentru cheie asimetrică interceptează pachetele legitime și permite unei gazde
Numele de utilizator și parola: cele mai frecvente terțe părți să introducă pachete acceptabile.
Kerbros Autentificarea bazată pe token necesită deținerea Atacuri matematice
Server de autentificare tokenului Autentificare biometrică (Ghicire cheie)
Baza de date de securitate Ghicirea parolelor, forța brută, atacurile dicționarului,
Server de privilegii ghicirea conectărilor și parolelor
Certificate Cod rău intenționat
X.509 - Cheia publică a utilizatorului, numele distinctiv Viruși – infectează sistemele și răspândesc copii ale lor
Hash
CA (Certificate Authority) și tipul de algoritm simetric înșiși
Algoritm hash securizat
utilizat pentru criptare. Calul troian– Deghizați codul rău intenționat în aplicații
SHA, SHA-1
Algoritmul seriei Message Digest aparent utile
MD2, MD4, MD5 SSL Bombe logice – Declanșați într-o anumită condiție
Protocolul Secure Sockets Layer are două părți. În Worms – Forme auto-replicante ale altor tipuri de cod
Puterea cheii simetrică vs asimetrică primul rând, protocolul SSL Handshake stabilește rău intenționat
Puterea simetrică a tastei pe 64 de biți = canalul sigur. Apoi, SSL Application Data Protocol Control Java și Active X – Se execută automat atunci
Rezistență asimetrică a tastelor pe 512 biți este utilizat pentru schimbul de date pe canal. 6 pași în când este trimis prin e-mail
Puterea cheii simetrice de 112 biți = procesul de strângere de mână. Inginerie socială
Putere asimetrică a tastelor de 1792 biți Manipularea oamenilor – cel mai vulnerabil punct dintr-o
Puterea cheii simetrice de 128 biți = ISAKMP rețea
Putere asimetrică a tastelor de 2304 biți (Internet Security Association și Key Management
Protocol) utilizate pentru a negocia și a furniza materiale Planul de continuitate a afacerii
Acces de la distanță de cheie autentificate pentru asociațiile de securitate într- Risc și analiză
802.11, VPN, DUN (RAZĂ, TACACS, TACACS+, SSL, un mod protejat Analiza impactului asupra afacerii
autentificare la nivel de pachet prin IPSec Layer3 Autentificarea colegilor Planificare strategică și atenuare
Gestionarea amenințărilor instruire și conștientizare, întreținere și audit
Crearea și gestionarea asociațiilor de securitate Documentație și etichetare de securitate
Controlul accesului SOAS
MAC, DAC și RBAC (regulă sau rol) Subiecte
Obiecte
Firewall-uri de bază pentru dispozitive Moduri de acces
de securitate a rețelei Niveluri de securitate
Filtrarea pachetelor (Layer3)
Serviciu proxy Algoritmul Diffie-Hellman
Nivelul circuitului (stratul 3) Un schimb secret de chei pe un mediu nesigur, fără
Nivelul de aplicare (stratul 7) secrete anterioare.
Inspecție de stat (stratul 7)
Routere Detectarea intruziunilor
Redirecționarea pachetelor între subrețele răspunsuri active
RIP, IGRP, EIGRP, OSPF, BGP, EGP, IS-IS ■ Colectați informații suplimentare
Switch ■ Schimbați mediul
Segmentați rețelele de difuzare
■ Luați măsuri împotriva intrusului
Model de control acces Bell La-Padula Baza Consolă și senzor
Porturile .SQL
Port Folosi acțiuni
21 FTP – de obicei în DMZ
22 SSH Adrese IP
23 Telnet Clasa A Clasa B Clasa C
25 SMTP 1-127 128-191 192-223
49 TACACS 10.0.0.0 172.16.0.0 – 172.31.0.0 192.168.0.0
53 DNS 255.0.0.0 255.255.0.0 255.255.255.0
67 & 68 DHCP 65,000
80 HTTP Obiecte
110 POP3 Utilizatorii
143 IMAP4 Virus
161 SNMP Mecanismul de activare a mecanismului de
389 & 636 LDAP replicare
443 HTTPS / SSL obiectiv
UDP 1701 L2TP
TCP 1723 PPTP Fără fir
Model WAP – bazat pe modelul www – Client,
Gateway si Server Original
WEP - Confidențialitate echivalentă cu fir
■ Integritate - Asigurarea destinatarului că un mesaj nu a fost modificat în tranzit.
asigură că toate datele sunt secvențiate și numerotate.
■ PPTP funcționează numai prin IP.
■ Schema de criptare asimetrică se bazează atât pe expeditor, cât și pe receptor
pentru a utiliza
chei diferite pentru criptarea și decriptarea mesajelor. Criptarea și autentificarea pot
avea loc fără partajarea cheilor private. Criptarea cheilor simetrice
■ Integritatea unui sistem criptografic este considerată compromisă dacă
cheia este dezvăluită.
■ WTLS (Wireless Transport Layer Security) asigură confidențialitatea, integritatea
datelor și
Autentificarea pentru gestionează dispozitivele într-un mediu de rețea fără fir.
■ Criptarea fișierelor utilizând criptografia simetrică satisface autentificarea
■ Principalul DEZAVANTAJ al criptografiei simetrice este distribuția cheilor.
■ SYN Flood - Un atac de rețea care utilizează în mod abuziv TCP (Transmission
Control Protocol)
Strângere de mână în trei direcții pentru a supraîncărca serverele și a refuza accesul
utilizatorilor legitimi.
■ Atunci când un utilizator semnează digital un document, se utilizează un algoritm
asimetric pentru criptare;
Rezultate hash
■ Cel mai mic privilegiu - trebuie să cunoașteți baza de securitate.
■ Aplicarea filtrării ingress la routere este cea mai bună metodă pentru a preveni
spoofing-ul ip
Atacuri.
■ MD5 (Message Digest 5) - Un algoritm comun utilizat pentru a verifica integritatea
datelor
de la un utilizator la distanță printr-o creare a unui hash pe 128 de biți dintr-o intrare
de date
■ Viermii se auto-replică, troienii nu.
■ Codurile de autentificare a mesajelor sunt utilizate pentru a oferi integritate.
■ Fals pozitiv - Detectarea incorectă a accesului autorizat ca intruziune sau atac.
■ Citarea ICMP - Ce tehnică de amprentare se bazează pe faptul că operarea
sistemele diferă în ceea ce privește cantitatea de informații care este citată atunci
când se întâlnesc erori ICMP (Internet Control Message Protocol)
■ SSL - protocol utilizat în mod obișnuit pentru criptarea traficului între un browser web
și web
server. Disponibil în criptare pe 40 și 128 biți.
■ IPSec - un popular protocol VPN (Virtual Private Network) care funcționează la OSI
(Open
Systems Interconnect) model Layer 3.
■ Semnăturile digitale oferă autentificare și non-repudiere - nu confidențialitate.
■ DAC (Discretionary Access Control) se bazează numai pe identitatea utilizatorului
sau
proces. Fiecare obiect are un proprietar, care are control deplin asupra obiectului
Controalele de acces create și administrate de proprietarul datelor
■ MAC- Controale de acces bazate pe etichete de securitate asociate fiecărui element
de date și
fiecare utilizator. Utilizați niveluri de securitate pentru a clasifica utilizatorii și datele
■ DEN nu este inferior SNMP
■ Kerberos - Servicii de sincronizare a timpului pentru clienti si servere..
■ Un antet MIME (Multipurpose Internet Mail Extensions) malformat poate provoca un
serverul de e-mail să se blocheze.
■ Detecție pasivă - analizarea fișierelor jurnal după începerea unui atac.
■ Cea mai bună apărare împotriva atacurilor Man in the Middle este criptarea
puternică, Auth
■ Sistemele identificate în cadrul unui proces formal de analiză a riscurilor ar trebui
incluse într-un dezastru
Planul de recuperare.
■
drept
Politica de certificare - Un document PKI (Public Key Infrastructure) care servește
vehicul pe care să se bazeze standarde comune de interoperabilitate și criterii
comune de asigurare la nivelul întregului sector.
■ Buffer overflow - trimite mai mult trafic către un nod decât se anticipase.
■ Metodele de backup diferențiale copiază numai fișierele modificate de la ultima
copie de rezervă completă
■ IM este o rețea peer-to-peer care nu oferă majorității organizațiilor practic niciun
control asupra
el. Cei mai vulnerabili la adulmecare
■ Mediu descentralizat de gestionare a privilegiilor, conturi de utilizator și parole
sunt stocate pe fiecare server individual .
■ Un atac de respingere FTP este utilizat în general pentru a stabili o conexiune între
FTP
Server și alt computer
■ IDS bazat pe rețea - un sistem pentru o rețea internă care va examina toate
pachetele
pentru semnături cunoscute de atac.
■ Ping de atac de moarte O metodă de atac de rețea care utilizează ICMP (Internet
Control
Protocol de mesaje) și MTU-uri formatate incorect (Maximum Transmission Unit)
pentru a bloca un computer țintă
■ Lângă SSO, problema de autentificare a mai multor nume de utilizator și parole
este
adresat, răsfoiți mai multe directoare
■ PKI (Public Key Infrastructure) - cea mai bună soluție tehnică pentru reducerea
amenințării
Un om în mijlocul atacului
■ Controalele de securitate pot deveni vulnerabilități într-un sistem, cu excepția cazului
în care sunt
testate în mod adecvat.
■ Algoritmul standard de criptare bazat pe Rijndael este cunoscut sub numele de
AES.
■ Detectarea utilizării necorespunzătoare - Conducerea dorește să urmărească
personalul care vizitează neautorizat
site-uri web.
■ Gazduire inclusa intr-un SLA (Service Level Agreement) pentru a asigura
disponibilitatea
Resurse bazate pe server, mai degrabă decât niveluri garantate de performanță a
serverului
■ SSL utilizează o cheie asimetrică și funcționează la nivelul sesiunii
■ RAID acceptă disponibilitate ridicată
■ Criterii comune - Evaluarea de facto a securității IT (tehnologia informației)
Criterii pentru comunitatea internațională
■ Tehnician la locul crimei - Etichete, pungi și dovezi de inventar
■ Extranet - permite unei companii să tranzacționeze în siguranță cu alte companii
■ Controlul accesului la sistemele informatice și la rețelele asociate este necesar
pentru conservarea Confidențialitate, integritate și disponibilitate (CIA-ul lor)
■ pereche de chei duale - Utilizarea perechilor de chei distincte pentru a separa
serviciile de confidențialitate de
servicii de integritate pentru a sprijini nerepudierea
■ Speranța de pierdere unică - SLE - este costul unei singure pierderi atunci când
apare -
compilarea estimărilor cu privire la câți bani ar putea pierde compania dacă un risc
ar apărea o dată în viitor.
■ Non-repudierea este folosită în general pentru a împiedica expeditorul sau
receptorul să
negarea faptului că comunicarea dintre ei a avut loc
■ Confidențialitate - Protecția datelor împotriva accesului sau divulgării neautorizate
■ Firewall pentru a permite angajaților din companie să DL FTP - setați portul de ieșire
23
Permis
■ SYN Attack – exploatează strângerea mâinii
■ Jurnal de audit - O colecție de informații care include autentificare, acces la fișiere,
alte diverse
activități și încălcări legitime și neautorizate reale sau tentative
■ VLAN - conceput inițial pentru a reduce traficul de difuzare, dar este, de asemenea,
benefic în
reducerea probabilității ca informațiile să fie compromise de snoifferi
■ Detecție activă Sistemele IDS pot întrerupe conexiunile suspecte sau se pot închide
serverul sau serviciul
■ CRL și OCSP - două metode comune atunci când se utilizează o infrastructură de
chei publice pentru
Menținerea accesului la serverele dintr-o rețea
■ IPSec Furnizează antetul de autentificare (AH) pentru integritatea și încapsularea
datelor
Sarcina utilă de securitate (ESP) pentru confidențialitatea datelor.
■ Scanare TCP SYN - folosit pentru a vedea ce porturi sunt într-o stare de ascultare și
apoi efectuează o
Strângere de mână în două sensuri
■ NAT (Network Address Translation) poate fi realizat cu NAT static și ascunde
(Traducerea adresei de rețea) și PAT (Traducerea adresei portului)
■ Due Care - Politici și proceduri menite să reducă probabilitatea de deteriorare sau
Prejudiciu
■ Analiza impactului asupra afacerii - obținerea unui acord formal privind
tolerabilitatea maximă
Nefuncţionare
■ Documentarea nivelurilor de schimbare și a informațiilor de revizuire este cea mai
utilă pentru dezastru
recuperare
■ Worm este capabil să se distribuie fără a utiliza un fișier gazdă
■ Serverele unice sunt frecvent țintele atacurilor, deoarece conțin
acreditări pentru multe sisteme și utilizatori
■ Autentificarea multi-factor poate fi necesară atunci când o cheie stocată și
memorată
parola nu este suficient de puternică și sunt necesare niveluri suplimentare de
securitate
■ VPN Drawback - un firewall NU poate inspecta traficul criptat
■ Man Trap - controlul accesului fizic protejează cel mai adecvat împotriva
Cǎlǎrind
■ Directoarele LDAP sunt aranjate ca arbori
■ Integritatea datelor este cea mai bună realizate folosind un rezumat Message
■ lungimea minimă a unui parola să fie pentru a descuraja crack-urile parolei
dicționarului 8
■ CRL certifică faptul că au fost dezactivate înainte de expirarea programată.
■ Logare - pentru a păstra o evidență a utilizării sistemului
■ Controalele de securitate pot deveni vulnerabilități într-un sistem, cu excepția
cazului în care sunt
testate în mod adecvat
■ RBAC Deciziile de control al accesului se bazează pe responsabilitățile pe care le
are un utilizator individual
sau procesul are într-o organizație
■ Începutul directorului LDAP se numește rădăcină
■ HAS criptare - 128 biți.
■ SSLv3.0 (Secure Sockets Layer versiunea 3.0) a adăugat capacitatea de a forța
partea clientului
Autentificare prin certificate digitale
■ virus - mecanism de replicare, mecanism de activare și obiectiv
■ Parole hashed supuse atacurilor man in the middle
■ *Protocolul Secure Sockets Layer (SSL) utilizează atât asimetric cât și simetric
schimb de chei. Utilizați taste asimetrice pentru strângerea de mână SSL. În timpul
strângerii de mână, cheia principală, criptată cu receptorul public, trece de la client la
server. Clientul și serverul își creează propriile chei de sesiune folosind cheia
principală. Cheile de sesiune criptează și decriptează datele pentru restul sesiunii.
Schimbul simetric de chei are loc în timpul schimbului specificației cifrului sau al
nivelului de criptare.
■ Soluție tehnică PKI pentru reducerea amenințării unui om în mijlocul atacului
■ Interogare CRL (Certificate Revocation List) care primește un răspuns aproape în
timp real
nu garantează returnarea datelor noi.
■ firewall multi-homed Dacă firewall-ul este compromis, numai sistemele din DMZ
(Scopul principal al certificatelor digitale este de a lega o cheie publică de entitatea
care deține cheia privată corespunzătoare
■ Unul dintre factorii care influențează durata de viață a unui certificat de cheie publică
și a acestuia
cheile asociate sunt lungimea hash-ului asimetric.
■ Pentru ca un utilizator să obțină un certificat de la o autoritate de certificare
(autoritate de certificare) de încredere,
utilizatorul trebuie să prezinte dovada identității și o cheie publică
■ Care este DEZAVANTAJUL principal al unui releu terț Spammerii pot utiliza
 releu.
■ Cu cât este mai mare spațiul cheie și complexitatea unei parole, cu atât mai mult
poate fi un atac
Luați pentru a sparge forța brută a parolei
■ Modelul de programare WAP (Wireless Application Protocol) se bazează pe
următoarele trei elemente: client, gateway, server original
■ Ce este o bună practică în implementarea unui Ca (Autoritatea de certificare creează
un CPS
(Declarația de practică a certificatului).
■ Care este protocolul implicit al stratului de transport și numărul portului respectiv SSL
(Secure
Sockets Layer) utilizează protocolul stratului de transport TCP (Transmission Control
Protocol) și portul 443
■ Ce are criptarea pe 160 de biți? SHA-1
■ Care dintre următoarele este de obicei inclusă într-un certificat CRL care a fost
dezactivate înainte de expirarea programată
■ DDoS (Distributed Denial of Service) este cel mai frecvent realizat de mai multe
servere sau routere care monopolizează și copleșesc lățimea de bandă a unui
anumit server sau router.
■ IMAP4 necesită port_____să fie deschis 143
■ În timpul procesului de semnătură digitală, hashing-ul oferă un mijloc de a verifica ce
Cerințe de securitate integritatea datelor
■ Criptarea fișierelor utilizând criptografia simetrică satisface cerințele de securitate
Autentificare
■ Ce protocol de autentificare ar putea fi utilizat pentru criptarea parolelor CHAP
(Protocol de autentificare Challenge Handshake)
■ Când utilizatorul A se adresează autorității de certificare (autoritatea de certificare)
solicitând un certificat pentru
permite începerea comunicării cu utilizatorul B, utilizatorul A trebuie să furnizeze
autorității de certificare (autoritatea de certificare) numai cheia publică a utilizatorului
A
■ Zona demilitarizată) sunt expuse
■ Un algoritm comun utilizat pentru a verifica integritatea datelor de la un utilizator la
distanță prin intermediul unui
crearea unui hash pe 128 de biți dintr-o intrare de date este MD5 (Message Digest 5)