пятница, 11 февраля 2011 г.

Мини-конспект для подготовки к CompTIA Security+

Аутентификация
PAP (Password Authentication Protocol) – логин и пароль передаются для сравнения в открытом виде. Безопасность отсутствует.
CHAP (Challenge Handshake Authentication Protocol) – Запрос входа, вызов, ответ, самостоятельный расчет, сравнение, вердикт.  Пароль не передается в открытом виде.
Kerberos - порт 88. Разработан в MTI. Обязательно должен быть KDC (Key Distribution Center), который за запрос входа присылает ticket (билет). По-умолчанию использует симметричное шифрование. Очень популярный для SSO, как недостаток Single point of failure (единственная точка отказа). Не боится replay атак.
Mutual Authentication – взаимная аутентификация. Используется перед передачей финансовой или медицинской информации.
Certifications (сертификаты) – Аутентификация по сертификатам. Сертификаты могут лежать локально на диске, на съемном носителе или выдаваться по запросу. Должен быть CA (Центр Сертификации), который выпускает сертификаты, а также регулярно выпускает CRL (Certificate Revocation List). On-line версия листаOCSP (Online Certificate Status Protocol). Если нужно приостановить на времяsuspension.
Security Token – Токен создается каждый раз при входе пользователя или процесса и уничтожается при выходе. Токен содержит информацию, о том, кто и куда должен получить доступ.
IAA – (Identification, Authentication, Authorization) - На примере mail.ru. Имя – идентификация, пароль – аутентификация, предоставление доступа к почтовому ящику – авторизация.
AAA (Authentication, Authorization, Accounting) –  см. выше + ведение протокола предоставления доступа – учетность.  И Радиус и Такакс являются AAA-технологиями.
RADIUS - порт UDP 1812. Открытый стандарт аутентификации. Есть как коммерческие, так и не коммерческие реализации под любые ОС. Поддерживает LDAP. Шифруется только пароль.
TACACS+ - порт TCP 49. Более совершенный протокол, разработанный Cisco. Более безопасный, т.к. шифруются все пакеты.
LDAP - порт 389, с инкапсуляцией в ssl порт 636.

Туннельные протоколы:
PPTP – порт 1723. Является как бы открытым, стал популярным благодаря поддержке Microsoft. Есть реализации под Linux.
L2F (Forwarding) – порт TCP 1701. Изначально разработан Cisco для dial-up, поддерживает аутентификацию, но не имеет шифрования.
L2TP – порт UDP 1701. Не смотря на название, работает на сеансовом уровне. Представляет гибрид PPTP и L2F. Открытый и кроссплатформенный. Шифрование, обычно, обеспечивается на сетевом уровне при помощи IPSec.

Вредоносный код:
Virus - с одной стороны общее название всех вирусов, с другой стороны также вредоносный код, но не подпадающие под  другие описания. Например, файловые вирусы.
Macro – код находится в макросах, например в приложениях MS Office.
Trojan Horse - под видом полезной программы содержит вредоносный код.
Spyware – шпионы: перехват или сбор данных.
Adware – содержит, в основном, рекламные функции.
Worm – главная задача распространение по любым каналам.
Logic Bomb - срабатывают при определенном условии.
Polymorphic - имеют алгоритм для изменения своего тела с сохранением вредоносных функций.
Stealth – полностью или частично скрывающийся в системе
Zombie – удаленно управляются, используются для DDOS-атак. Много зомби + управление = botnet.
Backdoor – имеет оставленный функционал для удаленного администрирования.
Retro/Antivirus -объектом нападения считаются антивирусные программы.
Armored – защищает себя от дебагеров, дисассемблеров, антивирусных программ,
Companion – Файловый вирус, например создающий себя с именем программы, но с расширением COM, что позволяет ему запускаться первым.
Multipartite – вирус, применяющий различные пути воздействия: файлы, загрузочный сектор, память и др.
Hoax - обман, мистификация.  Обычно не причиняющие какого-нибудь ущерба, хотя вводят пользователя  в недоразумение. Например «письма счастья».
Rootkit – инструментарий, позволяющий скрыть сам факт заражения, например почистить логи или скрыть процессы.  

Виды атак:
Dumpster Diving – поиск информации в корзинах для мусора и т.д.
Eavesdropping – подслушивание.
Snooping – поиск информации в файлах, как электронных, так и бумажных, в том числе и корзинах для мусора.
Interception – в пассивном режиме перенаправление копии трафика (sniffing) для исследования, в активном режиме встраивание между отправителем и получателем (MitM).
Deny of Service: TCP SYN, TCP ACK, Ping of death, Buffer overflow.
Backdoor  - цель, получить управление удаленной машиной: BackOrifice, Netbus.
Spoofingподмена \ маскарад. MAC spoofing, ARP spoofing, IP spoofing, DNS spoofing.
Domain name kitting – оплата за домен в течение 5 дней. Можно использовать аккаунт и не платить за него.
Man in the Middle – человек по середине. Старое название – TCP/IP hijacking.
Replay – сниффинг, а затем повтор.
Password – Brute-force attack, Dictionary attack. Дальнейшее развитие rainbow tables – списки уже вычисленных хэшей.
Smurf – пинг на широковещательный адрес с указанием IP жертвы в поле источника. В результате отвечают все хосту сети на адрес жертвы.

Восстановление работоспособности
Mirrored Site – всегда полная готовность (on-line), включая персонал.
Hot Site – всё готово к продолжению работы: железо, ПО, данные.
Warm Site – всё есть, кроме данных: железо и ПО.
Cold Site – есть помещения, есть сеть. Можно развернуть ИТ-инфраструктуру и так далее.

Жизненный цикл ключей шифрования:
Generation – создание.
Storage and distribution – хранение и распространение.
Escrow – передаче закрытого ключа «третьей» стороне!
Expiration – истечение срока действия.
Revocation – компрометация.
Suspension – временное приостановление.
Recovery and archival – восстановление и архивирование.
Renewal – создание новых ключей.
Destruction – уничтожение.
Usage – использование. 

Алгоритмы хеширования:
SHA, SHA-1 – 160 bit.
MD4, MD5 – 128 bit. MD быстрее, чем SHA, но больше коллизий.
Сюда же ГОСТ 34.11-94 – 256 bit. При обработке использует алгоритм ГОСТ 28147-89.
LM (LAN Manager) - изобретение Microsoft: поднимаем в верхний регистр, добиваем или укорачиваем до 14, делим на 2 части, шифруем DES, соединяем. Безопасность отсутствует.
NTLM 1 и 2 – дальнейшее развитие LM. Интереса также не представляют.
CRC – только контрольная сумма.

Симметричные алгоритмы:
AES – ключ 128, 192, 256 bit - американский стандарт.
DES, 3DES -  эффективный ключ 56 bit.
Сюда же ГОСТ 28147-89 – ключ 256 bit - российский стандарт.
Достоинства – скорость, низкие требования к ресурсам.
Недостатки – сложность с распространением ключей и чем больше абонентов, тем больше сложность в обеспечении конфиденциальности ключей.

Асимметричные алгоритмы:
RSA – используется как для шифрования, так и для цифровой подписи. Типичная длина ключа 1024. И именно начиная с этой длинны алгоритм является стойким.
ECC – используются эллиптические кривые. Алгоритм нересурсоёмкий, поэтому часто используется в мобильных устройствах.
DH (Диффи Хеллман) - процесс выработки общего ключа шифрования, если стороны имеют свои ключи. Чувствителен к атаке (MitM).
Сюда же ГОСТ 34.10-2001 – ЭЦП на эллиптических кривых.
El Gamal – ЭЦП на дискретных логарифмах.
Достоинства – легко организовать ЭЦП, возможность целостности и неотказуемости.
Недостатки – требуются большие ресурсы, теоретическая надежность до сих пор не доказана.

Биометрия:
Физиологические: отпечатки руки пальцев, распознавание лица, сетчатка глаза, запах.  В перспективе ДНК.
Поведенческие: походка, голос, манера письма.
FRR (False Rejection Rate) – ложный отказ в доступе. Ошибка 1-го типа.
FAR (False Acceptation Rate) – ложное предоставление доступа. Ошибка 2-го типа.
 Если увеличивать FRR, будет уменьшаться FAR и наоборот. EER или CER – это когда FRR=FAR.
Алгоритм названий следующий: анализ действия, ошибка? ДА – False, НЕТ – True
Кого-то пропустили? ДА - False Acceptation или True Positive. НЕТ – False Rejection или True Negative.

Прочее:
Зоны безопасности: Internet, Intranet, Extranet (для клиентов или партнеров, которым нужен доступ к внутренним ресурсам), DMZ.
Протоколы динамической маршрутизации: RIP, BGP, OSPF, IGRP. EIGRP.
HVAC (Heating, Ventilation, & Air Conditioning) – климат-контроль.  

2 комментария:

  1. спасибки за информацию:):):):):):):)

    ОтветитьУдалить
    Ответы
    1. Интересно, в чем же всё-таки недостаток Single point of failure для ticket (билета)?

      Удалить