6PGP如何使用信任关系
PGP的信任关系由“密钥合法性域”“签名信任域”,“所有者信任域”构成,经过三步流程周期性的处理公钥获得一致性。 9s/mime是什么?
是居于RSA数据安全性,对互联网电子邮件格式标准mine的安全性增强。 10DKIM是什么? 指电子邮件信息加密签名的特殊应用,他通过一个签名域来确定信件系统中信息的责任。
8.2IPsec提供哪些服务?
访问控制,无连接完整性,数据源认证;拒绝重放包,保密性,受限制的流量保密性。
8.3那些参数标识了sa?那些参数表现了一个特定sa的本质? (1)安全参数索引(SPI)ip目的地址,安全协议标识
(2)序列号计数器,序列计数器,反重放窗口。AH信息,ESP信息,此安全关联的生存期,IPSEC协议模式,最大传输单元路径表示特定的sa 8.4传输模式和隧道模式有什么区别? 传输模式下的ESP加密和认证ip载荷,但不包括ip报头,AH认证,IP载荷和IP报头的选中部分;隧道模式下的ESP加密和认证包括内部ip报头的整个内部ip包,AH认证整个内部ip包和外部ip报头被选中的部分。
8.5什么是重放攻击?
一个攻击者得到一个经过认证的副本,稍后又将其传送到其被传送的目站点的攻击,重复的接受经过认证的ip包可能会以某种方式中断服务或产生一些不希望出现的结果
8.6为什么ESP包括一个填充域?
(1)如果加密算法要求明文为某个数目字节的整数倍,填充域用于把明文扩展到需要的长度;(2)ESP格式要求填充长度和邻接报文域为右对齐的32比特字,同样,密文也是32比特的整数倍,填充域用来保证这样的排列 (3)增加额外的填充能隐藏载荷的实际长度,从而提供部分流量的保密
9.1列出并简要定义三类入侵者。
(1)假冒用户:为授权使用计算机的个体,或潜入系统的访问控制来获得合法用户的账户( 2)违法用户:系统的合法用户访问未授权的数据,程序或者资源或者授权者误用其权限 (3)
隐秘用户:通过某些方法夺取系统的管理控制权限,并使用这种控制权躲避审计机制的访问控制,或者取消审计集合的个体。
9.2用于保护口令文件的两种通用技术是什么?
(1)单向函数:系统只保存一个基于用户口令的函数值,当用户输入口令时系统计算该口令的函数值,并与系统内部存储的值进行比较,实际应用中,系统通常执行单向变换,在这个变换中,口令被用于产生单向函数的秘钥并产生固定长度的输出 (2)访问控制:访问口令文件的权限仅授予一个或几个非常有限的账户 9.3入侵防御系统可以带来哪三个好处?
(1)如果能够足够快的速度检测入侵行为,那么就可以在入侵危害系统或危机数据安全之前将其鉴别并驱逐出系统。即使未能及时监测到入侵者,越早发现入侵行为就会使系统损失程度越小,系统也能越快得到恢复。(2)有效的入侵检测技术是一种威慑力量,能够起到防护入侵者的作用。(3)入侵检测可以收集入侵技术信息有利增强入侵防护系统的防护能力。 - 5 -
9.4 统计一场检测与基于规则入侵检测之间有哪些区别?
答:1.统计一场检测:包括一定时间内与合法用户相关的数据集合,然后用于统计学测试方法对观察到的用户进行测试,一边能够更加确定地判断该行为是否是合法用户行为。包括阔值检测,给予行为曲线两种方法。
基于规则入侵检测:定义一个规则集,用于检测与前行为模式和历史行为模式的偏离,有异常检测,渗透检测两种方法。
2,统计方法用来定义普通或期望的行为,而基于规则的方法致力于定义正确行为。 3统计异常检测对假冒用户有效,对违规用户不佳,基于规则可以有效地检测出代表渗透攻击行为的时刻或者动作序列。 9.7什么是蜜罐?
蜜罐是一个诱骗系统,用来把潜在的攻击者从重要的系统中引开。其目的:1转移攻击者对重要系统的访问2收集关于攻击者活动的信息3鼓励攻击者停留在系统中足够长的时间以便管理员做出反应。
9.8在unix口令管理的context中,salt是指什么?
用一个12比特随机数“salt”对DES算法进行修改,salt和用户输入的口令作为加密程序的输入。
9.9列出简要定义四种用于防止口令猜测的技术答:
1.用户教育:可以引导用户认识到选择难于猜测的口令的重要性,也可以提供一些具体选择口令的指导原则。2.由计算机生成口令:用户被提供一个由计算机生成的口令。3.后验口令检测:系统周期性地运行它自身的口令破解程序来检验易于猜测的口令,对易于猜测的口令,系统将通告用户并删除该口令。 4前验口令检验;该方案允许用户选择自己的口令,但在选择之初,系统会检测口令是否难认猜测,如果不是,那么将拒绝该口令。 10.1、在病毒运行过程中,压缩的作用是什么?
由于感染后的程序比感染之前的程序长,所以像签名所描述的这种病毒很容易被检测到。防止这种检测方法的手段是对可执行文件压缩,使得无论该程序是否被感染,它的长度都是相同的。
10.2、在病毒运行过程中,加密的作用是什么?为了病毒在生成副本时可以随机插入多余质量或者交换一些独立指令的顺序。一种更有效的方法是采用密码学技术。在这种技术中,通常将病毒中的某一部分称为突变引擎,该部分生成一个随机加密密钥来对对病毒中其他部分进行加密。这个密钥由病毒保存,而突变引擎本身可变。可调用被感染的程序时,病毒使用它保存的随机密钥对病毒进行解密。当病毒进行复制时,会选择不同的随机密钥 10.3描述病毒或蠕虫的周期中有那些典型阶段睡眠阶段,传播阶段,触发阶段,执行阶段 10.4什么事数字免疫系统?数字免疫系统是一种全面而广泛的病毒保护措施。 10.5行为阻断软件的工作机理是什么?
行为阻断软件与主机操作系统相结合,实时地监控恶意的程序行为,在检测到恶意的程序行为后,行为阻断软件将潜在的恶意行为对实际系统实施攻击之前将其阻止。 10.6通常来讲,蠕虫是怎样传播的?电子邮件工具,远程执行能力,远程登陆能力 10.7给出一些蠕虫病毒的对策1基于签名的蠕虫扫描过滤2基于过滤器的蠕虫防范3基于有效载荷分类的蠕虫防范4阔值随机漫步的扫描检测5速率限制。6速率中断
10.8什么是DDOS DOS攻击指试图阻止某种服务的合法用户使用该服务,如果这种攻击是从某单一主机或者网点发起的,那么他就被称为DOS攻击,一个更为严重的网络威胁就是DDOS.在DDOS攻击中,攻击者可以募集遍及整个互联网的大量主机,在同一时间或者认协同发射方式对目标站点发起攻击,试图消耗目标设备的资源,使其不能提供服务。
11.1列出防火墙的三个设计目标1所有入站和出站的网络流量都必须通过防火墙。2只有经过授权的网络流量,防火墙才允许其通过。3防火墙本身不能被攻破,这意味着防火墙应该允许在有安全操作系统的可信系统上。
11.2 防火墙控制访问及执行安全策略四个技术:服务控制,方向控制,用户控制,行为控制; 11.3典型的句过滤路由使用了什么信息?
源IP地址,目的IP地址,源端和自由端传输层地址,IP协议域,接口;
11.4包过滤路由器有那些弱点?1.因为过滤防火墙不检查更高层的数据,因此这种防火墙不能阻止利用了特定应用的漏洞或攻能所进行的攻击2.因为防火墙可利用的信息有限,使得包过滤防火墙的日志记录功能也有限3.大多数包过滤防火墙不支持高级的用户认证机制4.包过滤防火墙不支持高级的用户认证机制,包过滤防火墙对利用TCP/IP规范和协议栈存在的问题进行的攻击没有良好的应对措施5.包过滤防火墙只根据几个变量进行访问控制决策,不恰当的设置会引起包过滤防火墙的安全性容易受到威胁。
11.5包过滤路由器和状态检测防火墙的区别是什么? 传统的包过滤防火墙仅仅对单个数据包做过滤判断,不考虑更高层的上下文信息,状态检测包过滤器通过建造了一个出站TCP链接目录加强了TCP流量的规则,当前每个已建立的连接都有一个入口与之相对应。包过滤器仅当那些数据包符合这个目录里面某个条目资料的时候,允许那些到达高端口的入站流量通过。
11.6什么是应用层网关?应用层网关也称作代理服务器,起到了应用层流量缓冲器的作用。 11.7什么是链路层网关?
也称链路层代理,是单机系统或应用层网关为特定的应用程序执行的专门功能 11.9什么是堡垒主机的共同特性?
1.堡垒主机硬件系统执行其操作系统的安全版本,令其成为可信系统 2.只有网络管理者认为是基本的服务才能在堡垒主机上安装
3.在用户被允许访问代理服务之前堡垒主机可能要对其进行附加认证,另外,在允许用户访问之前,各个代理服务可能需要各自的认证;
4.每个代理被设为只支持标准引用命令集的子集 5.每个代理被设为只允许特定主机系统的访问
6.每个代理通过记录所有通信每个连接以及每个连接的持续时间维持详细的信息审问记录 7.每个代理模块是专门为网络安全设计的非常小的软件包 8.在堡垒主机中每个代理都独立与其他代理
9.代理通常除了读自己的初始配置文件之外不进行磁盘读取操作
10.每个代理堡垒主机上一个专用而安全的目录中以一个无特权的用户运行 11.10为什么主机防火墙是有用的?
1.过滤规则可以符合主机环境,对于服务器的corporate安全策略得以执行,并且不同应用的服务器使用不同过滤器2.保护的提供是独立于拓扑结构的3.和独立防火墙一起使用,主机防火墙可以提供额外的层保护
11.11什么事DMZ网络?在这样的网络上你想能发现什么类型的系统?
在内部和外部防火墙之间有一个或多个网络设备,该区域被称为DMZ网络段,一些外部可接入并且需要保护的系统一般放在DMZ,实际上,DMZ的系统需要需要外部链接,如企业网址、E-MAIL服务器或者DNS服务器 11.12内部防火墙和外部防火墙的区别是什么? 1外部防火墙放在本地或者企业网络边缘,在连接到因特网或一些广域网的边界路由器之内。一个或多个内部防火墙保护企业网络的大部分。2.外部防火墙提供接入控制和对DMZ所需的外部连接相协调的保护,为剩余的企业网络提供基本保护。内部防火墙增加了更严格的过滤能力,以保护企业服务器和工作站免于外部攻击;提供了与DMZ相关的双向保护; 多个内部防火墙可以用来对内部网络各部分之间进行保护。