Мини-конспект для подготовки к CompTIA Security+

Мини-конспект для подготовки к CompTIA Security+
Аутентификация
PAP (PasswordAuthenticationProtocol) – логин и пароль передаются для сравнения в открытом виде. Безопасность отсутствует.
CHAP (ChallengeHandshakeAuthenticationProtocol) – Запрос входа, вызов, ответ, самостоятельный расчет, сравнение, вердикт.  Пароль не передается в открытом виде.
Kerberos - порт 88. Разработан в MTI. Обязательно должен быть KDC (KeyDistributionCenter), который за запрос входа присылает ticket (билет). По-умолчанию использует симметричное шифрование. Очень популярный для SSO, как недостаток Singlepointoffailure (единственная точка отказа). Не боится replayатак.
MutualAuthentication– взаимная аутентификация. Используется перед передачей финансовой или медицинской информации.
Certifications(сертификаты) – Аутентификация по сертификатам. Сертификаты могут лежать локально на диске, на съемном носителе или выдаваться по запросу. Должен быть CA (Центр Сертификации), который выпускает сертификаты, а также регулярно выпускает CRL (CertificateRevocationList). On-line версиялистаOCSP (Online Certificate Status Protocol). Еслинужноприостановитьнавремяsuspension.
SecurityToken– Токен создается каждый раз при входе пользователя или процесса и уничтожается при выходе. Токен содержит информацию, о том, кто и куда должен получить доступ.
IAA– (Identification, Authentication, Authorization) - На примере mail.ru. Имя – идентификация, пароль – аутентификация, предоставление доступа к почтовому ящику – авторизация.
AAA (Authentication, Authorization, Accounting) –  см. выше + ведение протокола предоставления доступа – учетность.  И Радиус и Такакс являются AAA-технологиями.
RADIUS - порт UDP1812. Открытый стандарт аутентификации. Есть как коммерческие, так и не коммерческие реализации под любые ОС. Поддерживает LDAP. Шифруется только пароль.
TACACS+ - порт TCP49. Более совершенный протокол, разработанный Cisco. Более безопасный, т.к. шифруются все пакеты.
LDAP - порт 389, с инкапсуляцией в sslпорт 636.

Туннельные протоколы:
PPTP– порт 1723. Является как бы открытым, стал популярным благодаря поддержке Microsoft. Есть реализации под Linux.
L2F (Forwarding) – порт TCP 1701. Изначально разработан Ciscoдля dial-up, поддерживает аутентификацию, но не имеет шифрования.
L2TP– порт UDP 1701. Не смотря на название, работает на сеансовом уровне. Представляет гибрид PPTPи L2F. Открытый и кроссплатформенный. Шифрование, обычно, обеспечивается на сетевом уровне при помощи IPSec.

Вредоносный код:
Virus - с одной стороны общее название всех вирусов, с другой стороны также вредоносный код, но не подпадающие под  другие описания. Например, файловые вирусы.
Macro– код находится в макросах, например в приложениях MSOffice.
TrojanHorse - под видом полезной программы содержит вредоносный код.
Spyware– шпионы: перехват или сбор данных.
Adware– содержит, в основном, рекламные функции.
Worm– главная задача распространение по любым каналам.
LogicBomb- срабатывают при определенном условии.
Polymorphic - имеют алгоритм для изменения своего тела с сохранением вредоносных функций.
Stealth– полностью или частично скрывающийся в системе
Zombie– удаленно управляются, используются для DDOS-атак. Много зомби + управление = botnet.
Backdoor– имеет оставленный функционал для удаленного администрирования.
Retro/Antivirus -объектом нападения считаются антивирусные программы.
Armored– защищает себя от дебагеров, дисассемблеров, антивирусных программ,
Companion– Файловый вирус, например создающий себя с именем программы, но с расширением COM, что позволяет ему запускаться первым.
Multipartite– вирус, применяющий различные пути воздействия: файлы, загрузочный сектор, память и др.
Hoax - обман, мистификация.  Обычно не причиняющие какого-нибудь ущерба, хотя вводят пользователя  в недоразумение. Например «письма счастья».
Rootkit– инструментарий, позволяющий скрыть сам факт заражения, например почистить логи или скрыть процессы.  

Виды атак:
DumpsterDiving– поиск информации в корзинах для мусора и т.д.
Eavesdropping– подслушивание.
Snooping– поиск информации в файлах, как электронных, так и бумажных, в том числе и корзинах для мусора.
Interception– в пассивном режиме перенаправление копии трафика (sniffing) для исследования, в активном режиме встраивание между отправителем и получателем (MitM).
Deny of Service: TCP SYN, TCP ACK, Ping of death, Buffer overflow.
Backdoor  - цель, получить управление удаленной машиной: BackOrifice, Netbus.
Spoofingподмена маскарад. MAC spoofing, ARP spoofing, IP spoofing, DNS spoofing.
Domainnamekitting– оплата за домен в течение 5 дней. Можно использовать аккаунт и не платить за него.
ManintheMiddle– человек по середине. Старое название – TCP/IPhijacking.
Replay– сниффинг, а затем повтор.
Password – Brute-force attack, Dictionary attack. Дальнейшее развитие rainbowtables– списки уже вычисленных хэшей.
Smurf– пинг на широковещательный адрес с указанием IPжертвы в поле источника. В результате отвечают все хосту сети на адрес жертвы.

Восстановление работоспособности
MirroredSite– всегда полная готовность (on-line), включая персонал.
HotSite– всё готово к продолжению работы: железо, ПО, данные.
WarmSite– всё есть, кроме данных: железо и ПО.
ColdSite– есть помещения, есть сеть. Можно развернуть ИТ-инфраструктуру и так далее.

Жизненный цикл ключей шифрования:
Generation– создание.
Storageanddistribution– хранение и распространение.
Escrow– передаче закрытого ключа «третьей» стороне!
Expiration– истечение срока действия.
Revocation– компрометация.
Suspension– временное приостановление.
Recoveryandarchival– восстановление и архивирование.
Renewal– создание новых ключей.
Destruction– уничтожение.
Usage– использование. 

Алгоритмы хеширования:
SHA, SHA-1– 160 bit.
MD4, MD5– 128 bit. MDбыстрее, чем SHA, но больше коллизий.
Сюда жеГОСТ 34.11-94– 256 bit. При обработке использует алгоритм ГОСТ 28147-89.
LM(LANManager) - изобретение Microsoft: поднимаем в верхний регистр, добиваем или укорачиваем до 14, делим на 2 части, шифруем DES, соединяем. Безопасность отсутствует.
NTLM 1 и 2 – дальнейшее развитие LM. Интереса также не представляют.
CRC– только контрольная сумма.

Симметричные алгоритмы:
AES– ключ 128, 192, 256 bit- американский стандарт.
DES, 3DES -  эффективный ключ 56 bit.
Сюда же ГОСТ 28147-89– ключ 256 bit - российский стандарт.
Достоинства – скорость, низкие требования к ресурсам.
Недостатки – сложность с распространением ключей и чем больше абонентов, тем больше сложность в обеспечении конфиденциальности ключей.

Асимметричные алгоритмы:
RSA– используется как для шифрования, так и для цифровой подписи. Типичная длина ключа 1024. И именно начиная с этой длинны алгоритм является стойким.
ECC– используются эллиптические кривые. Алгоритм нересурсоёмкий, поэтому часто используется в мобильных устройствах.
DH (Диффи Хеллман) - процесс выработки общего ключа шифрования, если стороны имеют свои ключи. Чувствителен к атаке (MitM).
Сюда же ГОСТ 34.10-2001– ЭЦП на эллиптических кривых.
ElGamal– ЭЦП на дискретных логарифмах.
Достоинства – легко организовать ЭЦП, возможность целостности и неотказуемости.
Недостатки – требуются большие ресурсы, теоретическая надежность до сих пор не доказана.

Биометрия:
Физиологические: отпечатки руки пальцев, распознавание лица, сетчатка глаза, запах.  В перспективе ДНК.
Поведенческие: походка, голос, манера письма.
FRR (FalseRejectionRate)– ложный отказ в доступе. Ошибка 1-го типа.
FAR (FalseAcceptationRate)– ложное предоставление доступа. Ошибка 2-го типа.
 Если увеличивать FRR, будет уменьшаться FARи наоборот. EERили CER– это когда FRR=FAR.
Алгоритм названий следующий: анализ действия, ошибка? ДА – False, НЕТ – True
Кого-то пропустили? ДА- False Acceptation или True Positive. НЕТ– False Rejection или True Negative.

Прочее:
Зоны безопасности: Internet, Intranet, Extranet (для клиентов или партнеров, которым нужен доступ к внутренним ресурсам), DMZ.
Протоколы динамической маршрутизации: RIP, BGP, OSPF, IGRP. EIGRP.
HVAC (Heating, Ventilation, & Air Conditioning) – климат-контроль.  

Alt text
Комментарии для сайта Cackle

Евгений Шауро

Блог специалиста по информационной безопасности