Simetric Gestionarea cheilor și ciclul de viață al Stabilirea și gestionarea cheilor criptografice
Algoritm Tip cifru certificatelor ATACURI DES Bloca Generarea cheii - o pereche de chei publice este creată DOS - Refuzul serviciului 3DES Bloca și deținută de CA Ștrumf - Pe baza răspunsului ecoului ICMP AES (Rijndael) Bloca Depunerea identității – Entitatea solicitantă transmite Fraggle - Smurf Like atac bazat pe pachete UDP Ping Blowfish Bloca AC identitatea sa Flood - Blochează Serviciul prin ping-uri repetate SYN IDEE Bloca Înregistrare – AC înregistrează cererea și verifică Flood - Cereri SYN repetate fără ACK Land – identitatea depunerii Exploatează stivele TCP/IP folosind SYN-uri falsificate RC2 Bloca Certificare- AC creează un certificat semnat de propriul Teardrop - Un atac folosind pachete UDP suprapuse, RC4 Pârâu certificat digital fragmentate, care nu pot fi reasamblate corect Bonk - Un RC5 Bloca atac al portului 53 folosind pachete UDP fragmentate cu Distribuție – AC publică certificatul generat RC6 Bloca informații false de reasamblare MULAJ Bloca Utilizare – Entitatea destinatară este autorizată să utilizeze certificatul numai pentru utilizarea prevăzută Boink - atac asemănător Bonk, dar pe mai multe porturi MARTE Bloca Backdoor Revocare și expirare - Certificatul va expira sau poate fi Șarpe Bloca NetBus, Orificiul din spate revocat mai devreme, dacă este necesar Două pești Bloca Falsificarea Reînnoire - Dacă este necesar, poate fi generată o nouă Kerberos Procesul de a face datele să pară că provin de la pereche de chei și certul reînnoit SSL Cifru* altcineva Recuperare – posibilă dacă o cheie de verificare este Omul din mijloc compromisă, dar titularul este încă valid și de încredere Asimetric - Non-repudiere Interceptarea traficului între 2 sisteme și utilizarea unui al Arhivă – certificatele și utilizatorii sunt stocați Rivest, Shamir și algoritmul de criptare Aldeman (RSA) treilea sistem pretinzând a fi unul dintre celelalte Schimb de chei Diffie-Hellman Atac de reluare Algoritmul de criptare El Gamal Autentificare postarea datelor capturate Criptografia curbei eliptice (ECC) Kerberos – sistem bazat pe bilete, cheie simetrică KDC Deturnare TCP/IP SSL – Strângere de mână* CHAP – schimb de valori hash Starea sesiunii este modificată într-un mod care PKI Certificate utilizate fără PKI pentru cheie asimetrică interceptează pachetele legitime și permite unei gazde Numele de utilizator și parola: cele mai frecvente terțe părți să introducă pachete acceptabile. Kerbros Autentificarea bazată pe token necesită deținerea Atacuri matematice Server de autentificare tokenului Autentificare biometrică (Ghicire cheie) Baza de date de securitate Ghicirea parolelor, forța brută, atacurile dicționarului, Server de privilegii ghicirea conectărilor și parolelor Certificate Cod rău intenționat X.509 - Cheia publică a utilizatorului, numele distinctiv Viruși – infectează sistemele și răspândesc copii ale lor Hash CA (Certificate Authority) și tipul de algoritm simetric înșiși Algoritm hash securizat utilizat pentru criptare. Calul troian– Deghizați codul rău intenționat în aplicații SHA, SHA-1 Algoritmul seriei Message Digest aparent utile MD2, MD4, MD5 SSL Bombe logice – Declanșați într-o anumită condiție Protocolul Secure Sockets Layer are două părți. În Worms – Forme auto-replicante ale altor tipuri de cod Puterea cheii simetrică vs asimetrică primul rând, protocolul SSL Handshake stabilește rău intenționat Puterea simetrică a tastei pe 64 de biți = canalul sigur. Apoi, SSL Application Data Protocol Control Java și Active X – Se execută automat atunci Rezistență asimetrică a tastelor pe 512 biți este utilizat pentru schimbul de date pe canal. 6 pași în când este trimis prin e-mail Puterea cheii simetrice de 112 biți = procesul de strângere de mână. Inginerie socială Putere asimetrică a tastelor de 1792 biți Manipularea oamenilor – cel mai vulnerabil punct dintr-o Puterea cheii simetrice de 128 biți = ISAKMP rețea Putere asimetrică a tastelor de 2304 biți (Internet Security Association și Key Management Protocol) utilizate pentru a negocia și a furniza materiale Planul de continuitate a afacerii Acces de la distanță de cheie autentificate pentru asociațiile de securitate într- Risc și analiză 802.11, VPN, DUN (RAZĂ, TACACS, TACACS+, SSL, un mod protejat Analiza impactului asupra afacerii autentificare la nivel de pachet prin IPSec Layer3 Autentificarea colegilor Planificare strategică și atenuare Gestionarea amenințărilor instruire și conștientizare, întreținere și audit Crearea și gestionarea asociațiilor de securitate Documentație și etichetare de securitate Controlul accesului SOAS MAC, DAC și RBAC (regulă sau rol) Subiecte Obiecte Firewall-uri de bază pentru dispozitive Moduri de acces de securitate a rețelei Niveluri de securitate Filtrarea pachetelor (Layer3) Serviciu proxy Algoritmul Diffie-Hellman Nivelul circuitului (stratul 3) Un schimb secret de chei pe un mediu nesigur, fără Nivelul de aplicare (stratul 7) secrete anterioare. Inspecție de stat (stratul 7) Routere Detectarea intruziunilor Redirecționarea pachetelor între subrețele răspunsuri active RIP, IGRP, EIGRP, OSPF, BGP, EGP, IS-IS ■ Colectați informații suplimentare Switch ■ Schimbați mediul Segmentați rețelele de difuzare ■ Luați măsuri împotriva intrusului Model de control acces Bell La-Padula Baza Consolă și senzor Porturile .SQL Port Folosi acțiuni 21 FTP – de obicei în DMZ 22 SSH Adrese IP 23 Telnet Clasa A Clasa B Clasa C 25 SMTP 1-127 128-191 192-223 49 TACACS 10.0.0.0 172.16.0.0 – 172.31.0.0 192.168.0.0 53 DNS 255.0.0.0 255.255.0.0 255.255.255.0 67 & 68 DHCP 65,000 80 HTTP Obiecte 110 POP3 Utilizatorii 143 IMAP4 Virus 161 SNMP Mecanismul de activare a mecanismului de 389 & 636 LDAP replicare 443 HTTPS / SSL obiectiv UDP 1701 L2TP TCP 1723 PPTP Fără fir Model WAP – bazat pe modelul www – Client, Gateway si Server Original WEP - Confidențialitate echivalentă cu fir ■ Integritate - Asigurarea destinatarului că un mesaj nu a fost modificat în tranzit. ■ RAID acceptă disponibilitate ridicată asigură că toate datele sunt secvențiate și numerotate. ■ Criterii comune - Evaluarea de facto a securității IT (tehnologia informației) ■ PPTP funcționează numai prin IP. Criterii pentru comunitatea internațională ■ Schema de criptare asimetrică se bazează atât pe expeditor, cât și pe receptor ■ Tehnician la locul crimei - Etichete, pungi și dovezi de inventar pentru a utiliza ■ Extranet - permite unei companii să tranzacționeze în siguranță cu alte companii chei diferite pentru criptarea și decriptarea mesajelor. Criptarea și autentificarea pot ■ Controlul accesului la sistemele informatice și la rețelele asociate este necesar avea loc fără partajarea cheilor private. Criptarea cheilor simetrice pentru conservarea Confidențialitate, integritate și disponibilitate (CIA-ul lor) ■ Integritatea unui sistem criptografic este considerată compromisă dacă ■ pereche de chei duale - Utilizarea perechilor de chei distincte pentru a separa cheia este dezvăluită. serviciile de confidențialitate de ■ WTLS (Wireless Transport Layer Security) asigură confidențialitatea, integritatea servicii de integritate pentru a sprijini nerepudierea datelor și ■ Speranța de pierdere unică - SLE - este costul unei singure pierderi atunci când Autentificarea pentru gestionează dispozitivele într-un mediu de rețea fără fir. apare - ■ Criptarea fișierelor utilizând criptografia simetrică satisface autentificarea compilarea estimărilor cu privire la câți bani ar putea pierde compania dacă un risc ■ Principalul DEZAVANTAJ al criptografiei simetrice este distribuția cheilor. ar apărea o dată în viitor. ■ SYN Flood - Un atac de rețea care utilizează în mod abuziv TCP (Transmission ■ Non-repudierea este folosită în general pentru a împiedica expeditorul sau Control Protocol) receptorul să Strângere de mână în trei direcții pentru a supraîncărca serverele și a refuza accesul negarea faptului că comunicarea dintre ei a avut loc utilizatorilor legitimi. ■ Confidențialitate - Protecția datelor împotriva accesului sau divulgării neautorizate ■ Atunci când un utilizator semnează digital un document, se utilizează un algoritm ■ Firewall pentru a permite angajaților din companie să DL FTP - setați portul de ieșire asimetric pentru criptare; 23 Rezultate hash Permis ■ Cel mai mic privilegiu - trebuie să cunoașteți baza de securitate. ■ SYN Attack – exploatează strângerea mâinii ■ Aplicarea filtrării ingress la routere este cea mai bună metodă pentru a preveni ■ Jurnal de audit - O colecție de informații care include autentificare, acces la fișiere, spoofing-ul ip alte diverse Atacuri. activități și încălcări legitime și neautorizate reale sau tentative ■ MD5 (Message Digest 5) - Un algoritm comun utilizat pentru a verifica integritatea ■ VLAN - conceput inițial pentru a reduce traficul de difuzare, dar este, de asemenea, datelor benefic în de la un utilizator la distanță printr-o creare a unui hash pe 128 de biți dintr-o intrare reducerea probabilității ca informațiile să fie compromise de snoifferi de date ■ Detecție activă Sistemele IDS pot întrerupe conexiunile suspecte sau se pot închide ■ Viermii se auto-replică, troienii nu. serverul sau serviciul ■ Codurile de autentificare a mesajelor sunt utilizate pentru a oferi integritate. ■ CRL și OCSP - două metode comune atunci când se utilizează o infrastructură de ■ Fals pozitiv - Detectarea incorectă a accesului autorizat ca intruziune sau atac. chei publice pentru ■ Citarea ICMP - Ce tehnică de amprentare se bazează pe faptul că operarea Menținerea accesului la serverele dintr-o rețea sistemele diferă în ceea ce privește cantitatea de informații care este citată atunci ■ IPSec Furnizează antetul de autentificare (AH) pentru integritatea și încapsularea datelor când se întâlnesc erori ICMP (Internet Control Message Protocol) Sarcina utilă de securitate (ESP) pentru confidențialitatea datelor. ■ SSL - protocol utilizat în mod obișnuit pentru criptarea traficului între un browser web ■ Scanare TCP SYN - folosit pentru a vedea ce porturi sunt într-o stare de ascultare și și web apoi efectuează o server. Disponibil în criptare pe 40 și 128 biți. Strângere de mână în două sensuri ■ IPSec - un popular protocol VPN (Virtual Private Network) care funcționează la OSI ■ NAT (Network Address Translation) poate fi realizat cu NAT static și ascunde (Open Systems Interconnect) model Layer 3. (Traducerea adresei de rețea) și PAT (Traducerea adresei portului) ■ Semnăturile digitale oferă autentificare și non-repudiere - nu confidențialitate. ■ Due Care - Politici și proceduri menite să reducă probabilitatea de deteriorare sau ■ DAC (Discretionary Access Control) se bazează numai pe identitatea utilizatorului Prejudiciu sau ■ Analiza impactului asupra afacerii - obținerea unui acord formal privind proces. Fiecare obiect are un proprietar, care are control deplin asupra obiectului tolerabilitatea maximă Controalele de acces create și administrate de proprietarul datelor Nefuncţionare ■ MAC- Controale de acces bazate pe etichete de securitate asociate fiecărui element ■ Documentarea nivelurilor de schimbare și a informațiilor de revizuire este cea mai de date și utilă pentru dezastru fiecare utilizator. Utilizați niveluri de securitate pentru a clasifica utilizatorii și datele recuperare ■ DEN nu este inferior SNMP ■ Worm este capabil să se distribuie fără a utiliza un fișier gazdă ■ Kerberos - Servicii de sincronizare a timpului pentru clienti si servere.. ■ Serverele unice sunt frecvent țintele atacurilor, deoarece conțin ■ Un antet MIME (Multipurpose Internet Mail Extensions) malformat poate provoca un acreditări pentru multe sisteme și utilizatori serverul de e-mail să se blocheze. ■ Autentificarea multi-factor poate fi necesară atunci când o cheie stocată și memorată ■ Detecție pasivă - analizarea fișierelor jurnal după începerea unui atac. parola nu este suficient de puternică și sunt necesare niveluri suplimentare de ■ Cea mai bună apărare împotriva atacurilor Man in the Middle este criptarea securitate puternică, Auth ■ Sistemele identificate în cadrul unui proces formal de analiză a riscurilor ar trebui ■ VPN Drawback - un firewall NU poate inspecta traficul criptat incluse într-un dezastru ■ Man Trap - controlul accesului fizic protejează cel mai adecvat împotriva Planul de recuperare. Cǎlǎrind ■ drept Politica de certificare - Un document PKI (Public Key Infrastructure) care servește ■ Directoarele LDAP sunt aranjate ca arbori vehicul pe care să se bazeze standarde comune de interoperabilitate și criterii ■ Integritatea datelor este cea mai bună realizate folosind un rezumat Message comune de asigurare la nivelul întregului sector. ■ lungimea minimă a unui parola să fie pentru a descuraja crack-urile parolei dicționarului 8 ■ Buffer overflow - trimite mai mult trafic către un nod decât se anticipase. ■ CRL certifică faptul că au fost dezactivate înainte de expirarea programată. ■ Metodele de backup diferențiale copiază numai fișierele modificate de la ultima ■ Logare - pentru a păstra o evidență a utilizării sistemului copie de rezervă completă ■ IM este o rețea peer-to-peer care nu oferă majorității organizațiilor practic niciun ■ Controalele de securitate pot deveni vulnerabilități într-un sistem, cu excepția control asupra cazului în care sunt el. Cei mai vulnerabili la adulmecare testate în mod adecvat ■ Mediu descentralizat de gestionare a privilegiilor, conturi de utilizator și parole ■ RBAC Deciziile de control al accesului se bazează pe responsabilitățile pe care le are un utilizator individual sunt stocate pe fiecare server individual . sau procesul are într-o organizație ■ Un atac de respingere FTP este utilizat în general pentru a stabili o conexiune între ■ Începutul directorului LDAP se numește rădăcină FTP Server și alt computer ■ HAS criptare - 128 biți. ■ IDS bazat pe rețea - un sistem pentru o rețea internă care va examina toate ■ SSLv3.0 (Secure Sockets Layer versiunea 3.0) a adăugat capacitatea de a forța partea clientului pachetele Autentificare prin certificate digitale pentru semnături cunoscute de atac. ■ Ping de atac de moarte O metodă de atac de rețea care utilizează ICMP (Internet ■ virus - mecanism de replicare, mecanism de activare și obiectiv Control ■ Parole hashed supuse atacurilor man in the middle Protocol de mesaje) și MTU-uri formatate incorect (Maximum Transmission Unit) ■ *Protocolul Secure Sockets Layer (SSL) utilizează atât asimetric cât și simetric pentru a bloca un computer țintă schimb de chei. Utilizați taste asimetrice pentru strângerea de mână SSL. În timpul ■ Lângă SSO, problema de autentificare a mai multor nume de utilizator și parole strângerii de mână, cheia principală, criptată cu receptorul public, trece de la client la este server. Clientul și serverul își creează propriile chei de sesiune folosind cheia adresat, răsfoiți mai multe directoare principală. Cheile de sesiune criptează și decriptează datele pentru restul sesiunii. ■ PKI (Public Key Infrastructure) - cea mai bună soluție tehnică pentru reducerea Schimbul simetric de chei are loc în timpul schimbului specificației cifrului sau al amenințării nivelului de criptare. Un om în mijlocul atacului ■ Controalele de securitate pot deveni vulnerabilități într-un sistem, cu excepția cazului ■ Soluție tehnică PKI pentru reducerea amenințării unui om în mijlocul atacului în care sunt ■ Interogare CRL (Certificate Revocation List) care primește un răspuns aproape în timp real testate în mod adecvat. nu garantează returnarea datelor noi. ■ Algoritmul standard de criptare bazat pe Rijndael este cunoscut sub numele de ■ firewall multi-homed Dacă firewall-ul este compromis, numai sistemele din DMZ AES. ■ Detectarea utilizării necorespunzătoare - Conducerea dorește să urmărească (Scopul principal al certificatelor digitale este de a lega o cheie publică de entitatea personalul care vizitează neautorizat care deține cheia privată corespunzătoare site-uri web. ■ Unul dintre factorii care influențează durata de viață a unui certificat de cheie publică ■ Gazduire inclusa intr-un SLA (Service Level Agreement) pentru a asigura și a acestuia disponibilitatea cheile asociate sunt lungimea hash-ului asimetric. Resurse bazate pe server, mai degrabă decât niveluri garantate de performanță a ■ Pentru ca un utilizator să obțină un certificat de la o autoritate de certificare serverului (autoritate de certificare) de încredere, ■ SSL utilizează o cheie asimetrică și funcționează la nivelul sesiunii utilizatorul trebuie să prezinte dovada identității și o cheie publică ■ Care este DEZAVANTAJUL principal al unui releu terț Spammerii pot utiliza releu. ■ Cu cât este mai mare spațiul cheie și complexitatea unei parole, cu atât mai mult poate fi un atac Luați pentru a sparge forța brută a parolei ■ Modelul de programare WAP (Wireless Application Protocol) se bazează pe următoarele trei elemente: client, gateway, server original ■ Ce este o bună practică în implementarea unui Ca (Autoritatea de certificare creează un CPS (Declarația de practică a certificatului). ■ Care este protocolul implicit al stratului de transport și numărul portului respectiv SSL (Secure Sockets Layer) utilizează protocolul stratului de transport TCP (Transmission Control Protocol) și portul 443 ■ Ce are criptarea pe 160 de biți? SHA-1 ■ Care dintre următoarele este de obicei inclusă într-un certificat CRL care a fost dezactivate înainte de expirarea programată ■ DDoS (Distributed Denial of Service) este cel mai frecvent realizat de mai multe servere sau routere care monopolizează și copleșesc lățimea de bandă a unui anumit server sau router. ■ IMAP4 necesită port_____să fie deschis 143 ■ În timpul procesului de semnătură digitală, hashing-ul oferă un mijloc de a verifica ce Cerințe de securitate integritatea datelor ■ Criptarea fișierelor utilizând criptografia simetrică satisface cerințele de securitate Autentificare ■ Ce protocol de autentificare ar putea fi utilizat pentru criptarea parolelor CHAP (Protocol de autentificare Challenge Handshake) ■ Când utilizatorul A se adresează autorității de certificare (autoritatea de certificare) solicitând un certificat pentru permite începerea comunicării cu utilizatorul B, utilizatorul A trebuie să furnizeze autorității de certificare (autoritatea de certificare) numai cheia publică a utilizatorului A ■ Zona demilitarizată) sunt expuse ■ Un algoritm comun utilizat pentru a verifica integritatea datelor de la un utilizator la distanță prin intermediul unui crearea unui hash pe 128 de biți dintr-o intrare de date este MD5 (Message Digest 5)