Πίνακας περιεχομένων:
- Ασφάλεια ηλεκτρονικού ταχυδρομείου
- Το Spam σπαταλά πολύτιμο και περιορισμένο εύρος ζώνης και υπολογιστικούς πόρους. Θα κοστίσει εταιρείες και ιδιώτες εκατομμύρια δολάρια ετησίως σε χαμένη παραγωγικότητα. Τα διαθέσιμα σήμερα προϊόντα ανάρτησης έχουν περιορισμένη αποτελεσματικότητα.
- Το πρωτόκολλο
Βίντεο: Internet Technologies - Computer Science for Business Leaders 2016 2024
Για την εξέταση Security +, πρέπει να γνωρίζετε τα διαφορετικά πρότυπα και τις διαθέσιμες εφαρμογές για ασφαλή χρήση ηλεκτρονικού ταχυδρομείου και Internet. Επίσης, πρέπει να γνωρίζετε πολλές αδυναμίες και οχλήσεις, συμπεριλαμβανομένων των φρασεών του ιού και των ανεπιθύμητων μηνυμάτων, για να κάνετε καλά τις εξετάσεις Security +.
Ασφάλεια ηλεκτρονικού ταχυδρομείου
Διάφορες εφαρμογές που χρησιμοποιούν κρυπτογραφικές τεχνικές έχουν αναπτυχθεί για επικοινωνίες μέσω ηλεκτρονικού ταχυδρομείου προκειμένου να παρέχουν
- Εχεμύθεια
- Ακεραιότητα
- Έλεγχος ταυτότητας
- Nonrepudiation
- Έλεγχος πρόσβασης
Ασφαλής επέκταση αλληλογραφίας πολλαπλών χρήσεων (S / MIME) > (S / MIME) παρέχει ασφαλή μέθοδο αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου και ενσωματώνεται σε πολλά δημοφιλή προγράμματα περιήγησης και εφαρμογές ηλεκτρονικού ταχυδρομείου. Το S / MIME παρέχει εμπιστευτικότητα και έλεγχο ταυτότητας χρησιμοποιώντας το ασύμμετρο σύστημα κλειδιού RSA, τις ψηφιακές υπογραφές και τα ψηφιακά πιστοποιητικά X. 509. Το S / MIME συμμορφώνεται με το πρότυπο κρυπτογραφίας δημόσιου κλειδιού (PKCS) # 7 και έχει προταθεί ως πρότυπο στη Δραστηριότητα Δέσμευσης Μηχανών Διαδικτύου (IETF).
(MOSS) παρέχουν εμπιστευτικότητα, ακεραιότητα, αναγνώριση και έλεγχο ταυτότητας και μη αποκήρυξη χρησιμοποιώντας MD2 ή MD5, RSA ασύμμετρη κλειδιά και DES. Το MOSS δεν έχει εφαρμοστεί ευρέως στο Διαδίκτυο.
Ενισχυμένη αλληλογραφία (PEM)
Ενισχυμένη προστασία απορρήτου (PEM) προτάθηκε ως πρότυπο συμβατό με PKCS από το IETF αλλά δεν έχει εφαρμοστεί ευρέως στο Διαδίκτυο. Παρέχει εμπιστευτικότητα και έλεγχο ταυτότητας, χρησιμοποιώντας το 3DES για κρυπτογράφηση, digesting μηνυμάτων MD2 ή MD5, ψηφιακά πιστοποιητικά X. 509 και ασύμμετρο σύστημα RSA για ψηφιακές υπογραφές και ασφαλή διανομή κλειδιών.
Ευπάθειες ηλεκτρονικού ταχυδρομείου Σε αυτήν την ενότητα, μάθετε περίπου δύο πολύ συνηθισμένα και χωρίς αμφιβολία πολύ γνωστά τρωτά σημεία ηλεκτρονικού ταχυδρομείου για οποιονδήποτε χρήστη ηλεκτρονικού ταχυδρομείου σήμερα: spam και ψευδαισθήσεις.
SpamΤο Spam σπαταλά πολύτιμο και περιορισμένο εύρος ζώνης και υπολογιστικούς πόρους. Θα κοστίσει εταιρείες και ιδιώτες εκατομμύρια δολάρια ετησίως σε χαμένη παραγωγικότητα. Τα διαθέσιμα σήμερα προϊόντα ανάρτησης έχουν περιορισμένη αποτελεσματικότητα.
Οι επιλογές σας για την καταπολέμηση των ανεπιθύμητων μηνυμάτων είναι περιορισμένες, αλλά περιλαμβάνουν:
Διαγραφή:
Αν λαμβάνετε σχετικά μικρό όγκο μηνυμάτων ηλεκτρονικού ταχυδρομείου σε καθημερινή βάση, ίσως το πιο εύκολο πράγμα είναι να το διαγράψετε. Κάνοντας αυτό δεν είναι πραγματικά μια λύση και πιθανώς δεν είναι αυτό που οι χρήστες σας θέλουν να ακούσουν, αλλά αυτή είναι η πιο κοινή μέθοδος αντιμετώπισης του spam.
Φίλτρο:
- Οι περισσότερες εφαρμογές ηλεκτρονικού ταχυδρομείου και υπηρεσίες ηλεκτρονικού ταχυδρομείου Internet παρέχουν κάποια δυνατότητα φιλτραρίσματος. Πολλά εμπορικά προϊόντα τρίτων προσφέρουν καλύτερες δυνατότητες φιλτραρίσματος. Απλά φροντίστε να ρυθμίσετε προσεκτικά τις επιλογές φιλτραρίσματος για να αποφύγετε το φιλτράρισμα του νόμιμου ηλεκτρονικού ταχυδρομείου! Εκπαιδεύστε:
- Εκπαιδεύστε τους χρήστες σας σχετικά με το spam. Οι χρήστες πρέπει να γνωρίζουν ότι ποτέ
- δεν απαντούν ή να διαγραφούν από την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας. Αυτό επαληθεύει τη διεύθυνση ηλεκτρονικού ταχυδρομείου και χειροτερεύει το πρόβλημα. Μην αναμεταδίδετε! Ίσως το πιο σημαντικό πράγμα που πρέπει να κάνει μια επιχείρηση είναι να διασφαλίσει ότι δεν είναι ήδη (ή δεν γίνεται) μέρος του προβλήματος. Οι διακομιστές αλληλογραφίας που είναι ρυθμισμένοι ως ανοιχτό ρελέ αλληλογραφίας
- (πολλοί είναι εξ ορισμού) μπορούν να χρησιμοποιηθούν για την αποστολή ανεπιθύμητων μηνυμάτων σε οποιονδήποτε στο Διαδίκτυο. Ένα ρελαί ανοικτής αλληλογραφίας δεν επιχειρεί να επαληθεύσει τον δημιουργό ενός μηνύματος ηλεκτρονικού ταχυδρομείου και να προωθήσει οτιδήποτε λαμβάνει. Φωτοβολίδες Οι φρασεοί ηλεκτρονικού ταχυδρομείου συνήθως λαμβάνουν τη μορφή αλυσιδωτών γραμμάτων. Ένας συγκεκριμένος τύπος φάρσας ηλεκτρονικού ταχυδρομείου είναι η φάρσα του ιού. Μια φρίκη του ιού
είναι ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιγράφει έναν ψεύτικο ιό χρησιμοποιώντας ψευδοτεχνική γλώσσα. Η απειλή που περιγράφεται μπορεί να φαίνεται αρκετά νόμιμη και μπορεί να αποσταλεί από κάποιον που γνωρίζετε. (Οι φάρσες συνήθως σας καθοδηγούν να τις προωθήσετε σε όλους στο βιβλίο διευθύνσεών σας.) Πολλές φάρσες καθοδηγούν τους ανυποψίαστους χρήστες να διαγράψουν σημαντικά αρχεία συστήματος.
Η υπεράσπισή σας από τις φάρσες θα πρέπει να περιλαμβάνει τα παρακάτω: Εκπαιδεύστε: Εκπαιδεύστε τους χρήστες σας σχετικά με τις φάρσες ηλεκτρονικού ταχυδρομείου (ιδιαίτερα τις φάρσες από ιούς). Δώστε τους οδηγίες να μην προωθήσετε ποτέ μια φάρσα, ακόμα κι αν λαμβάνεται από κάποιον που γνωρίζει. Βεβαιωθείτε ότι αναφέρουν τις φάρσες σε ένα διαχειριστή συστήματος ή ασφαλείας.
Επιβεβαιώστε:
- Εάν ανησυχείτε για τη νομιμότητα μιας φάρσας για ιούς, ελέγξτε την ύπαρξη (ή ανύπαρκτη) της Symantec ή της McAfee. Παρόλο που αυτοί οι γίγαντες λογισμικού προστασίας από ιούς ενδέχεται να μην έχουν απαραίτητα άμεση επιδιόρθωση για έναν νέο ιό στο φυσικό περιβάλλον, σας παρέχουν αξιόπιστες πληροφορίες σχετικά με οποιεσδήποτε νέες απειλές (πραγματικές ή δόλιες). Ασφάλεια Διαδικτύου
- Όπως και με τις εφαρμογές ηλεκτρονικού ταχυδρομείου, έχουν αναπτυχθεί αρκετά πρωτόκολλα και πρότυπα για την ασφάλεια των επικοινωνιών και των συναλλαγών στο Internet. Αυτά περιλαμβάνουν SSL / TLS και S-HTTP, τα οποία αναφέρονται σε αυτό το άρθρο. Μπορείτε επίσης να εξερευνήσετε τις ευπάθειες που σχετίζονται με δύο εφαρμογές Internet: προγράμματα περιήγησης και άμεσων μηνυμάτων. Το πρωτόκολλο Secure Sockets Layer (SSL) / TLS
Το πρωτόκολλο
Secure Sockets Layer
(SSL) παρέχει κρυπτογράφηση και έλεγχο ταυτότητας για ασφαλή επικοινωνία μεταξύ υπολογιστών-.
Το SSL λειτουργεί στο Layer Transport, είναι ανεξάρτητο από το πρωτόκολλο εφαρμογής και παρέχει έλεγχο ταυτότητας διακομιστή με προαιρετικό έλεγχο ταυτότητας πελάτη. Το SSL χρησιμοποιεί το ασύμμετρο σύστημα κλειδιού RSA. Συστήματα συμμετρικού κλειδιού IDEA, DES και 3DES. και τη λειτουργία κατακερματισμού MD5. Η τρέχουσα έκδοση είναι SSL 3. 0. Το SSL 3. 0 ήταν τυποποιημένο ως TLS 1. 0 και κυκλοφόρησε το 1999. Secure HyperText Transfer Protocol (S-HTTP)
Ασφαλές πρωτόκολλο μεταφοράς HyperText
(S- HTTP) είναι ένα πρωτόκολλο Internet που παρέχει μια μέθοδο για ασφαλή επικοινωνία με έναν διακομιστή Web.Το S-HTTP είναι ένα πρωτόκολλο προσανατολισμού χωρίς συνδέσμους που ενσωματώνει τα δεδομένα μετά την επιτυχή διαπραγμάτευση των ιδιοτήτων ασφαλείας για την περίοδο λειτουργίας.
Το πρωτόκολλο χρησιμοποιεί
Συμμετρική κρυπτογράφηση (για εμπιστευτικότητα) Περιθώρια μηνυμάτων (για ακεραιότητα)
Κρυπτογράφηση δημόσιου κλειδιού (για έλεγχο ταυτότητας πελάτη-διακομιστή και μη αναδημοσίευση)
- έχουν γίνει πολύ δημοφιλείς στο διαδίκτυο λόγω της ευκολίας χρήσης τους και των στιγμιαίων δυνατοτήτων επικοινωνίας. Παραδείγματα περιλαμβάνουν το AIM, το MSN Messenger και το Yahoo! Αγγελιαφόρος.
- Πολλά τρωτά σημεία και κίνδυνοι ασφαλείας, όπως τα παρακάτω, σχετίζονται με προγράμματα άμεσων μηνυμάτων:
- Ιοί και δούρειοι ίπποι:
Τα προγράμματα IM γίνονται γρήγορα ένα προτιμώμενο μέσο για τη διάδοση κακόβουλου κώδικα.
Κοινωνική μηχανική:
Πολλοί χρήστες αγνοούν την ανοικτή φύση του ΔΥ και πολύ άνετα ανταλλάσσουν προσωπικές, ιδιωτικές ή ευαίσθητες πληροφορίες σε άγνωστα κόμματα.
- Κοινόχρηστα αρχεία: Πολλά προγράμματα IM (και σχετικά προγράμματα) επιτρέπουν στους χρήστες να μοιράζονται τους σκληρούς δίσκους τους ή να μεταφέρουν αρχεία.
- Παγιδεύοντας πακέτα: Όπως συμβαίνει με σχεδόν όλη την κυκλοφορία TCP / IP, οι συνεδρίες IM μπορούν εύκολα να εισπνοήσουν για πολύτιμες πληροφορίες και κωδικούς πρόσβασης.
- Περιηγητές Διαδικτύου Τα προγράμματα περιήγησης στο Internet, όπως ο Microsoft Internet Explorer και το Netscape Navigator, είναι βασικά εργαλεία πλοήγησης στο Web. Για να βελτιώσετε την εμπειρία περιήγησης στο Web, πολλά δροσερά εργαλεία έχουν σχεδιαστεί για να παρέχουν δυναμικό και διαδραστικό περιεχόμενο πέρα από τα βασικά HTML. Φυσικά, αυτά τα χαρακτηριστικά συχνά έρχονται σε μια τιμή - πρόσθετοι κίνδυνοι ασφαλείας.
- Αυτά τα εργαλεία και οι κίνδυνοι περιλαμβάνουν JavaScript:
Η JavaScript είναι μια γλώσσα scripting που αναπτύχθηκε από το Netscape για την παροχή δυναμικού περιεχομένου για ιστοσελίδες HTML. Το JavaScript έχει πολλές γνωστές ευπάθειες, οι οποίες μπορούν για παράδειγμα να αποκαλύψουν προσωπικές πληροφορίες σχετικά με έναν χρήστη ή να επιτρέψουν σε κάποιον να διαβάσει αρχεία στο τοπικό σας μηχάνημα.
Εφαρμογές ActiveX και Java:
Το ActiveX και η Java μπορούν να κάνουν τα προγράμματα περιήγησης στο Web να κάνουν κάποια πολύ τακτοποιημένα πράγματα - και μερικά πολύ άσχημα πράγματα. Το μοντέλο ασφαλείας για το ActiveX βασίζεται σε σχέσεις εμπιστοσύνης. (Η αποδοχή ενός ψηφιακού πιστοποιητικού και η λήψη της εφαρμογής) Η ασφάλεια Java βασίζεται στην έννοια του sandbox
- , το που περιορίζει ένα applet στην επικοινωνία μόνο με τον καταγεγραμμένο κεντρικό υπολογιστή και εμποδίζει την πρόσβαση της μικροεφαρμογής Σκληρό δίσκο του υπολογιστή ή άλλους πόρους - θεωρητικά.
- Υπερχείλιση buffer: Οι υπερχείλιση buffer είναι ίσως οι πιο συνήθεις και εύκολα διαπραχθείσες επιθέσεις άρνησης εξυπηρέτησης σήμερα. Τα ευπάθειες σε προγράμματα περιήγησης στο Web (ιδιαίτερα στον Internet Explorer) μπορούν να εκμεταλλευτούν, προκαλώντας το σύστημα να συντριβεί ή, χειρότερα, να δώσει σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα ή κατάλογο.