Security+知识点
作者:互联网
Abac 基于属性的访问控制
Rbac 基于角色的访问控制
Dac 自主访问控制
Mac 强制访问控制
Paas 平台即服务
Saas 软件即服务
Laas 基础设施即服务
Baas 后端即服务
Mttr 平均修复时间
Mttf 平均故障间隔
Rto 恢复时间
Rpo 恢复点目标
MITM 中间人攻击
ISA 互连安全协议
NDA 保密协议
MOU 谅解备忘录
SLA 服务级别协议
FUZZER 模糊测试
SPIM 即时聊天软件发的垃圾信息
SPAM 垃圾邮件
RIGHT 系统权限,关机、重启、备份
Permissions指的是用户对文件读取、写入的权限
Privilege是指特权权限
SLE(单一预期损失)=AV(资产价值)*EF(暴露因子)
ALE(年度损失值)=ARO(年度发生概率)*SLE(单次损失)
GEO(地理标记)是利用zset来存储地理位置信息,可以用来计算地理位置之间的距离,也可以做统计
PII 个人可识别信息
PHI 个人健康信息
S/MIME 安全的多用途邮件扩展
OCSP 在线证书协议
CRL 证书吊销列表
FACL 访问控制列表
TPM 可信平台模块
PKI 公开密钥基础设施
PGP 讯息加密验证的应用程序
banner 端口抓取
Utm 统一威胁管理
BCP 业务连续性规划
DNSSEC 域名系统安全扩展
CASB 安全代理使您可以全面了解整个云堆栈以及IT团队所需的安全自动化工具。
AUP 可接受使用策略
CYOD 选择您自己的设备
COPE 公司所有/个人启用
COBO 公司所有/仅限企业
DLP 数据外泄防护
SCADA 数据采集与监控系统
SPOF 单点故障
spf 发件人策略框架
一、认证协议
PAP 是点对点认证协议
CHAP 是点对点认证协议,其周期性的通过3 次握手协议验证客户端身份,
Kerberos 是C/S 模式协议,同时使用TCP/UDP 协议,提供了服务器端与客户端的相互认证,依靠'tickets'允许节点在不安全网络上验证身份并工作。其默认使用端口88。Kerberos 密钥分发中心(KDC)通过来使用安全的加密密钥和tickets 来确认身份和授权接入网络。Kerberos 被微软选为Windows 2000 和随后Active Directory domains的默认认证协议。
NTLM,WindowsNT 挑战/响应验证机制,是Windows NT 早期版本的标准安全协议,已被Kerberos 取代。
RADIUS 用于远程接入网络,运行在应用层,使用UDP 协议。大多数控制访问网络的网关都有与RADIUS 服务器进行通信的RADIUS 客户机组件。RADIUS server 是保存用户账户和密码认证数据库。RADIUS 使用共享密钥(对称密钥)和经过MD5 HASH 的传输密钥。目前主要使用PAP/CAHP 加密认证。可以提供使用网络服务的用户提供远程集中身份验证、授权和计费管理。
Diameter 系替代RADIUS 的AAA 协议,使用TCP 协议,通过tcp 或sctp 提供可靠的传输,通过ipsec 和tls 来保
证传输的安全性。其为各种应用协议(包括扩展认证应用协议EAP)提供了一个基本框架,它定义了协议的传输机制、消息格式、消息处理、差错处理、计费与安全服务等。
TACACS+默认使用TCP 端口49,并且不兼容TACACS 和XTACACS。允许客户端接受用户名和密码,并发送一个查询给TACACS 认证服务器。由认证服务器决定是否接受或拒绝身份验证请求并发送响应,客户端依据此接受或拒绝验证请求。安全性比较:TACACS < XTACACS < TACACS+
X.500 是构成全球分布式的名录服务系统的协议。
LDAP,轻量级目录访问协议,是X.500 标准的一个简单子集,也被称为X.500-Lite,使用TCP 协议,用于无线客户
端和RADIUS server 之间,特性包括动态WEP 密钥(或TKIP)和相互认证。LDAP 服务器称为目录系统(DSA),
默认端口为TCP 和UDP 端口389,LDAPS(SSL)默认为端口636,全球目录端口默认为3268,LDAPS 为3269。LDAP可以用SSL/TLS 进行加密,即LDAPS。
XML 系可扩展标记语言,是一种用于标记电子文件使其具有结构性的标记语言。
SAML 系安全断言标记语言,基于XML 的一个开放标准的框架协议,用于在不同的安全域(security domain)之间交换认证和授权数据。
X.509 系由国际电信联盟(ITU-T)制定的数字证书标准,是为单点登录(SSO-Single Sign-on)和授权管理基础
设施(PMI-Privilege Management Infrastructure)制定的PKI 标准。
OCSP:在线证书状态协议,用于获得X.509 证书的吊销状态。一个OCSP 响应器可以返回响应表示请求中指定的证书状态是'好','撤销',或'未知'的。
TLS 使用X.509 数字证书标准,为非对称密钥认证。
二、HSM/TPM
HSM,硬件安全模块,是一种基于硬件的加密解决方案,通常与公钥基础设施PKI 一同使用以加强安全。
TPM,可信平台模块,是一种基于硬件的加密解决方案,嵌入在系统的主板上,可以在BIOS 中启用或禁用。帮助生成哈希密钥、存储加密密钥、密码或证书。存储根密钥嵌入在TPM 中。
EFS,WINDOWS 下加密文件系统,使用证书加密。
L2TP,用于在两个系统间创建网络通信通道。
三、无线协议
802.11ac 支持WPA2-AES/WPA-TKIP/WEP/WPA。
WEP 使用RC4 加密算法,使用静态密钥(预共享密钥)进行加密,不提供端到端TLS 加密,加密强度比WPA 弱。
WPA 使用TKIP 算法(RC4 改版)及MIC 算法来计算效验和,使用更严格的认证(RADIUS),更长的密钥,提供端到端
TLS 加密。WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP
WPA2 使用AES 算法及CCMP 算法来计算效验和,提供端到端TLS 加密。WPA2 = IEEE 802.11i = IEEE 802.1X/EAP+ WEP(选择性项目)/TKIP/CCMP
WPA2-个人版,不使用RADIUS 服务器,其口令长度为20 个以上的随机字符。
WPA2-企业版(WPA-802.1X),企业级加密算法,需要一台具有802.1X 功能的RADIUS 服务器,支持3DES 分组加密、支持30 位ASCII 码密码。
EAP,使用可扩展的身份验证协议,是IEEE 802.1x 认证机制的核心,是一系列验证方式的集合,支持多种链路层认证方式。
EAP-MD5,提供最少的安全。单向认证,用户名明文,用于静态WEP 的EAP 中,易遭到字典攻击。
EAP-LEAP,轻量级可扩展身份认证协议,很容易部署,所有终端用户可使用相同的身份凭证:用户名和密码。使用动态生成的WEP 密钥对数据传输进行加密,并执行一种类型的伪双向认证。用户名明文。
EAP-PEAP,受保护的可扩展的身份验证协议,其创建一个加密的TLS 隧道,并在该TLS 隧道内验证请求方内层身份。由于PEAP 的高安全性,因此,PEAP 是企业WLAN 中最常用也是使用最广泛的的EAP 类型。其只需要服务端提供PKI证书。其三个版本如下:
1.EAP-PEAPv0(EAP-MSCHAPv2),微软最常用的一种PEAP 类型,使用EAP-MSCHAPv2 协议作为隧道内部的认证方法,其使用用户名和密码作为用户凭证。且客户端不需要证书,只有运行Network Policy Server (NPS)或PEAP-MSCHAPv2 的服务器需要证书。
2.EAP-TTLS,TTLS 隧道式传输层安全,以TLS 加密保护较弱的身份验证方式,利用TLS 安全隧道进行交换,几乎支持任何认证方法,只需要服务端提供PKI 证书。
3.EAP-TTLS 与EAP-PEAP 的区别相当小,最大的不同就是EAP-TTLS 支持更多的内层认证协议。EAP-TTLS 支持传统的认证方法PAP、CHAP、MS-CHAP 和MS-CHAPv2,也支持使用EAP 协议作为内层认证方法,支持使用客户端证书作为身份凭证,而EAP-PEAP 只支持EAP 协议作为内层认证方法。
EAP-TLS,TLS 传输层安全,除了与EAP-PEAP 和EAP-TTLS 一样需要服务器端证书外,还需要客户端证书。
EAP-AES,高级加密标准。
EAP-TKIP,临时密钥完整性协议,是负责处理无线安全问题的加密协议,使用RC4 算法加密,密钥长度128bits。并且使用动态密钥,传送的每一个数据包都具有独有的48 位序列号,这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。
EAP-CCMP,计数器模式密码块链消息完整码协议,是负责处理无线安全问题的加密协议,使用AES 分组加密,密钥长度128bits。
EAP-PSK,预共享密钥,使用RC4 加密算法,系一个用于相互认证和使用预共享密钥(PSK)进行会话密钥推导的EAP方法,不需要任何公钥密码。预共享密钥容易被暴力破解攻击。
EAPOL,基于局域网的扩展认证协议(EAP OVER LAN),是基于802.1X 网络访问认证技术发展而来的,用于在客户端和认证系统之间传送EAP 协议报文,以允许EAP 协议报文在LAN 上传送。
WPA2 with WPS:WPS 是一项非专有的规范,是Wi-Fi 认证产品的可选认证项目,并没有新增安全性能,也不能确保对用户输入的用户名/密码等用户凭证进行加密。
WEP 攻击,利用加密体制缺陷,通过收集足够的数据包,使用分析密码算法还原出密码。
WAP 攻击,收集合法客户端和AP 间的握手数据包进行破解。
四、加密算法
Blowfish,是64bits 分组及可变密钥长度(from 32 bits to 448 bits)的对称密钥分组密码算法,密钥最小,速度最快(超越DES)。
Twofish,替换DES 算法的高级加密标准(AES)算法的候选算法, 使用分组加密机制, 128bits 数据分组,128/192/256 bits 可变长度密钥。
ECC,椭圆加密算法,密钥长度较短且不定,随加密强度的提高,密钥长度变化不大。ECC 160bits 密钥加密强度和
RSA 1024bits 密钥加密强度相近。
ECDHE:Elliptic curve Diffie–Hellman,匿名密钥协商协议,允许双方各有一个椭圆曲线公钥-私钥对,以在不安全的信道上建立一个共享的秘密。同时提供了CRC 完整性检查和RCA 加密。
Diffie–Hellman,密钥交换协议,只能用于密钥的交换,而不能进行消息的加密和解密。
DES,是64bits 分组及56bits 密钥的对称密钥加密算法;虽然已被3DES 和AES 取代,但是目前依然在使用中。
3DES,是64bits 分组及168bits 密钥的对称密钥加密算法;其没有ECC 安全,但是计算速度更快。
AES,高级加密标准,也称Rijndael 加密算法(区别如下),用来替代DES,AES 分组长度为128bits,密钥长度可以是128,192 或256bits。比RC4 加密强度更高,加密速度更快。已成为对称密钥加密中最流行的算法之一。
Rijndael 加密算法可以支持更大范围的区块和密钥长度,使用的密钥和分组长度可以是32 位的整数倍,以128bits为下限,256bits 为上限。
RSA:公钥加密算法,能同时用于加密和数字签名。RSA 密钥一般推荐使用1024bits,递增为1024 的整数倍。
RC4:流加密算法,密钥大小范围为40 至2048bits,默认为256 字节,算法速度可达到DES 加密的10 倍左右。常用于WEP/WPA 加密。
SSL 使用对称密钥建立会话并保持会话。
TLS 使用对称密钥建立会话,但使用非对称密钥来保持会话。
TLS/SSL,均使用RC4 作为加密算法。其中,TLS 1.0/SSL 1.0 都存在已知漏洞,并已被后来的版本所取代。所以任何运行这些密码的是统都应该禁用它们。运行在SSL 协议之上的应用层协议有:FTPS 等;利用SSH 的应用层协议有:SCP/SFTP 等。
HTTPS:安全套接字层超文本传输协议,即在HTTP 下加入SSL/TLS 层以强化安全。
S/MIME 是用于电子邮件和其他电子消息通信的应用程序。其为电子消息应用程序提供以下加密安全服务:身份验证、消息完整性、不可抵赖性(使用数字签名)、隐私和数据安全(使用加密)。
PGP(Pretty Good Privacy),是一个基于RSA 公钥加密体是的邮件加密软件。提供保密性和完整性。
VPN 使用的加密技术有3 种:
MPLS VPN 是一种基于MPLS 技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label
Switching,多协议标记交换)技术。
SSL VPN 是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL 的HTTP 协议)为基础的VPN 技术,工作在传输层和应用层之间。
IPSec VPN 是基于IPSec 协议的VPN 技术,由IPSec 协议提供隧道安全保障。
MD2/4/5:HASH 函数,创建128bits 的HASH 值。
SHA:安全HASH 算法,不同的版本产生不同长度的消息摘要,SHA-1 产生160bits 的HASH 值,SHA-1,SHA-224 和
SHA-256 适用于长度不超过2^64 二进制位的消息。SHA-384 和SHA-512 适用于长度不超过2^128 二进制位的消息。
PBKDF2:基于密码的密钥衍生函数2,哈希函数,即将salted hash 进行多次重复计算以增强密钥强度。
RIPEMD:RACE 原始完整性校验消息摘要,基于MD4,MD5 的基础,其添加数据的方式和MD5 完全一致。共有4 个标准128、160、256 和320,其对应输出长度分别为16 字节、20 字节、32 字节和40 字节。其中,256 位的强度和128相当,而320 位的强度和160 位相当。
HMAC,密钥相关的哈希运算消息认证码,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。使用哈希散列算法与对称密钥,HASH 提供数据完整性、对称密钥提供真实性。可以用于身份认证,常被用于IPSec 协议(其他包括:BlowFish/TwoFish)。
五、PKI
PKI :PKI是一套硬件、软件、人员、政策和程序,用于创建、管理、分发、使用、存储和撤消数字证书,使用双向信任模型与CAs 建立信任关系。
CSR:证书签名请求文件,创建CSR 时,需要先生成自己的密钥对(公钥和私钥),保存基于RSA 的私钥,并把公钥及部分个人身份信息传送给CA,CA 验证后将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。删除CSR 即删除了自己的私钥,在未获取证书前不得删除CSR。
数字证书:一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。
数字签名:数字签名是非对称密钥加密技术与数字摘要技术的应用,用于鉴别数字信息的完整性,同时具有不可否认性。
六、蓝牙攻击
Bluejacking 蓝牙劫持,向不知情的用户发送图片或信息;其不涉及对设备上任何数据的删除或更改。但可能涉及取得
对移动设备的无线控制和拨打属于Bluejack 发起者的付费电话。
Bluesnarfing 蓝牙漏洞攻击,在没有提示手机用户已连接至设备的情况下,访问手机信息,包括电话簿和相关图像、
日历及IMEI。
Bluebugging 在事先不通知或提示手机用户的情况下,访问手机命令,以通过手机拨打电话、发送和接收短信、阅读
和编写电话簿联系人、偷听电话内容以及连接至互联网。
七、HACK
缓冲区溢出,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。巨硬使用数据执行保护(DEP)在内存上执行额外检查以帮助防止在系统上运行恶意代码,包括保护指向SEH 的指针不被复写。
cookie 劫持,也说会话劫持,是获得会话密钥,以获得对计算机系统中的信息或服务的未经授权的访问。被动劫持实际上就是在后台监视双方会话的数据流,从中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话。
目录遍历,攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,在Web 服务器根目录以外的其他目录进行数据访问,并且可以执行系统命令,甚至使系统崩溃。
SQL 注入,通过把SQL 命令插入到Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令。
XML 注入,是攻击者输入恶意的代码来执行自身权限以外的功能。XML 是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML 注入漏洞。攻击者可以特异性的构造XML 数据格式,以实现增加新的
XML 节点,对数据处理流程产生影响,获取信息或权限。
LDAP 注入,是攻击者输入恶意的代码来执行自身权限以外的功能。LDAP 是一种在线目录访问协议,主要用于目录中资源的搜索和查询,安全的Web 应用在构造和将查询发送给服务器前应该净化用户传入的参数,否则便可以特异性的构造
LDAP 查询参数,以注入任意恶意代码。(|(password=*))系一个标准的LDAP 语法。命令注入,其中黑客通过在输入机制中输入HTML 代码,例如缺少有效的验证约束的表单字段,来更改Web 页面上动态生成的内容。
XSS,跨站脚本攻击,恶意攻击者往Web 页面里插入恶意Script 脚本代码,当用户浏览该页之时,嵌入其中Web 里面的Script 代码会被执行,从而达到恶意攻击用户的目的。在XSS 漏洞里用户是完全信任该站点的,并会提交一些受骗的信息给攻击者(如抓取Cookies 信息)。
XSRF,跨站请求伪造,利用本机cookies 伪造成用户欺骗网站并执行用户权限命令,在CSRF 漏洞里站点是信任某个用户的请求和完成任何种类的行为,这样一来所提交的一些表单中的“认证标记”将有利用攻击者,依据这些标志攻击者一经登陆将拥有用户相应的权限。
八、协议端口
HTTP uses port 80. HTTPS uses port 443.
RDP(Terminal Services) uses port 3389.
POP3 uses port 110.
IMAP uses port 143.
SNMP uses port 161.
TFTP uses of UDP port 69.
FTP uses ports 20 and 21.
FTPS uses ports 989 and 990.
Bootstrap Protocol (BOOTP)/DHCP uses of TCP/UDP Port 68.
DNS uses TCP and UDP port 53. DNS zone transfers uses of TCP port 53.
SSH uses port 22.Telnet uses port 23.
Rlogin(Remote Login) uses port 513(Linux or Unix).
RSync(Remote Synchronization)uses port 873(Linux or Unix).
PPTP uses TCP port 1723(control channel) and UDP port 47(GRE tunnel).
NetBIOS provides four distinct services:
Name service for name registration and resolution (port: 137/udp)
Name service for name registration and resolution (port: 137/tcp)
Datagram distribution service for connectionless communication (port: 138/udp)
Session service for connection-oriented communication (port: 139/tcp)
标签:协议,加密,知识点,认证,密钥,EAP,Security,port 来源: https://blog.csdn.net/qq_41714951/article/details/111191826