A5 : Rodzina algorytmów używanych do szyfrowania GSM w telefonii komórkowe. A5 jest szyfrem strumieniowym, który przychodzi w dwóch postaciach: silnej postaci (A5/1) , która jest zastrzeżona i słabej formy (A5/2), która jest dostępna publicznie. W 1999 roku, Adi Shamir (S w Rivest-Shamir-Adleman lub algorytmie RSA), złamał A5/1, który mógł być uruchomiony w czasie rzeczywistym przy użyciu standardowego PC. Ten kryptograficzny wyczyn spowodował ,że prywatność rozmów telefonicznych ponad 200 milionów użytkowników systemu GSM w Europie i Azji została zagrożona. W skutego czego, współpraca pomiedzy GSM Association Securtiy Group a 3rd Generation Partnership Project (3GPP) zaowocowała nowszym i bezpeiczniejszym algorytmem nazwanym A5/3, który jest oparty o algorytm Kasumi , który stworzona aby zapewnić prywatność połączeniom GSM.
AAA: Oznacza Uwierzytelnienie, Autoryzację i Rozliczenie, strukturę bezpieczeństwa dla sterowania dostępem do zasobów sieciowych
AUP [Zasaday Dopuszczalnych Działań] : Zasady , które definiują właściwe użycie zasobów obliczeniowych dla firmy lub organizacji Opracowanie zasad dopuszczalnych działań dla twojej sieci i komunikowania się jest bardzo ważne dla pracowników i jest niezbędne dla dobrych zasad bezpieczeństwa. Zasady dopuszczalnych działań powinny mieć generalnie trzy cele:
* Komunikować wyraźnie, który typ aktywności nie jest akceptowalny i dlaczego
* Dostarczać poprawnych powiadomień dotyczących tych nieakceptowalnych działań tak aby naruszający zasady mógł być ukarany tego powodu
* Chronić firmę przed sprawami sądowymi dotyczącymi rzekomego naruszenia prywatności.
Przykłady zakazanych działań mogą zawierać co następuje:
* Użycie konta innego użytkownika z lub bez jego zezwolenia
* Czytanie, kopiowanie lub modyfikowanie plików należących do innego pracownika bez zgody tej osoby
* Użycie zasobów obliczeniowych firmy dla własnych celów
* Wysyłanie niechcianych e-maili komercyjnych (UCE) bardziej znanych jako spam ze swojej maszyny wewnątrz lub na zewnątrz firmy
* Zaangażowanie się w takie działania jak bomby mailowe, które ingerują w e-mail użytkownika bez względu na to czy jest czy nie pracownikiem firmy
* Przekazywanie poufnych wiadomości firmy na zewnątrz
* Ściąganie pornografii z Internetu i przechowywanie jej na komputerze
* Ściąganie i instalowanie oprogramowania na komputerze bez wiedzy lub zgody Helpdseku
Zasady dopuszczalnych działań powinny zawsze być:
* Napisane jasno i zwięźle
* Umieszczone widocznie we wspólnych miejscach , takich jak pokój śniadaniowy
* Pokazywane nowym pracownikom podczas ich okresu próbnego
Ogólny zarys dla zasad dopuszczalnych działań może wyglądać tak:
1.Wprowadzenie
2.Kto musi przestrzegać tych zasad
3.Co jest mile widzianym zachowaniem
4.Co jest niemile widzianym zachowaniem
5.Konsekwencje nieprzestrzegania tych zasad
6.Podsumowanie
acces [dostęp] : Ogólnie, pojęcie dostępu jest powiązane z prywatnością i ma związek z możliwością podglądu, modyfikacji zawartości osobistych informacji zebranych o jednostce. Pod tym względem, dostęp odzwierciedla Fair Information Practices zdefiniowane przez Privacy Act z 1974 roku, ustawodawstwo chroniące informacje osobiste zebrane prze rząd USA. W sieciach komputerowych, dostęp odnosi się do możliwości jednostki (zazwyczaj użytkownika lub proces) do połączenia z zasobem (stroną WW, bazą danych, udostępnianym folderem lub innym zasobem sieciowym) .Dostęp może być zarządzany na kilka sposobów; na przykład, dostęp do zasobów sieciowych jest zazwyczaj kontrolowany przez zezwolenia implementowane przez Listy kontroli dostępu (ACL), które zezwalają lub blokują różnych użytkowników i grupy na różnych poziomach dostępu do zasobów. Dostęp do samej sieci, taki jak zdalny intranet, jest często kontrolowany przez firewalle, które używają list dostępu zezwalając lub nie na dostęp w oparciu o a dres IP, numer portu, lub nazwę domeny Domain Name Sysytem (DNS). W końcu, dostęp do sieci lokalnej jest zazwyczaj kontrolowany przez uwierzytelnianie używające procesu logowania, które wymaga aby użytkownik wysłał swoją nazwę i hasło zanim otrzyma zgodę na dostęp do sieci.
acces control [kontrola dostępu] : Mechanizm kontrolujący do jakiego zasobu ma dostęp użytkownik lub jakie zadanie może wykonać. Od momentu kiedy użytkownik został uwierzytelniony i zalogowany do systemu lub sieci, kontrola dostępu przejmuje egzekucję tego co użytkownik może robić . Najczęstszym sposobem implementacji kontroli dostępu jest użycie list kontroli dostępu (ACL), które określają listę zabezpieczeń stosowanych do obiektów takich jak plik, folder lub proces . Kontrola dostępu może również być zarządzana poprzez użycie menadżera zasad takiego jak Cisco Secure Policy Manager (CSPM) w firewallach Cisco, bramek wirtualnych sieci prywatnych (VPN) i systemów wykrywania włamań (IDS) lub Grup Zasad na platformach Microsoft Windows. Są dwa podstawowe podejścia do implementacji kontroli dostępu:
* Swobodna kontrola dostępu (DAC): Metoda ta pozwala użytkownikowi określić kto może mieć dostęp do zasobów a jaki poziom dostępu mają te zasoby. DAC jest stosowany na platformach Microsoft Windows i większości implementacji UNIX lub Linux.
* Obowiązkowa kontrola dostępu (MAC): W tej metodzie, administrator kontroluje dostęp , zazwyczaj przez określenie zbioru zasad. MAC jest bardziej bezpieczny ale mniej elastyczny niż DAC, a większość wersji UNIX i Linux obsługuje MAC jako dodatek do DAC.
Niektóre przykłady sposobów konfiguracji DAC na różnych platformach obejmują co następuje:
* Użycie strony Zezwolenia we właściwościach pliku lub folderu na platformach Microsoft Windows do konfiguracji zezwoleń Windows NT w pliku lub folderze.
* Użycie plików .htaccess do kontroli dostępu katalogów na uruchomionym serwerze Apache na UNIX lub Linux
* Konfiguracja listy dostępu na routerze Cisco lub serwerze dostępu
acces control entry ACE [wpis kontroli dostępu] : Wpis na liście kontroli dostępu ACE jest strukturą danych , która zawiera dwie rzeczy:
* Identyfikator bezpieczeństwa (SID) identyfikujący czyj dostęp do zasobu będzie kontrolowany przez to wejście
* Zbiór praw dostępu definiujących jakie działania głównie mogą być wykonywane na tym zasobie. Przykładem takich działań może być odczyt, otwarcie, tworzenie, wykonanie i tak dalej. Te działania mogą być albo z pozwoleniem albo zablokowane dla zasad bezpieczeństwa.
acces control list ACL [lista kontroli dostępu] : Struktura danych powiązana z obiektem , który określa jaki użytkownik jest uwierzytelniony do uzyskania dostępu do tego obiektu i jaki poziom uprzywilejowania ma. Listy kontroli dostępu (ACL) są używane w platformach Microsoft Windows do kontroli dostępu zabezpieczonych obiektów takich jak pliki, procesy, usługi, współdzielenie, drukarki lub cokolwiek innego, co ma przypisane do siebie deskryptor bezpieczeństwa. ACL 'e są złożone z szeregu wpisów kontroli dostępu (ACE) , które określają jakie działanie każdy użytkownik lub grupa mogą wykonać na tym obiekcie. Są dwa typy ACL'i na platformach Microsoft Windows:
* Swobodny ACL (DACL): Są to ACL'e które zawierają ACE zezwalające lub blokujące dostęp do obiektu
* System ACL (SACL): Te mogą robić to samo co DACL, ale mogą generować informacje kontrolne używające bezpiecznej kontroli ACE
Ponieważ ACL musi określać działania które każdy użytkownik może wykonać na obiekcie do którego ACL jest dołączony, ACL'e mogą szybko przybierać na rozmiarze jeśli wzrośnie liczba użytkowników. Aby przezwyciężyć ten problem skali, użytkownicy mogą być połączeni w grupy, a grupom tym mogą potem być przypisane różne przywileje używające ACL. Specjalne grupy takie jak Everyone lub World (w zależności od platformy) mogą używać przyznanych lub zablokowanych przywilejów do wszystkich użytkowników używających ACE Kiedy stworzono konto użytkownika na platformie Microsoft Windows, jest mu przypisany identyfikator bezpieczeństwa (SID), który jednoznacznie identyfikuje to konto w systemie operacyjnym. Kiedy użytkownik loguje się używając tego konta, tworzony jest żeton dostępu, który łączy SID, grupę do której należy konto i listę uprzywilejowania dla tego konta. Żeton ten jest potem kopiowany do wszystkich procesów i wątków należących do tego konta. Kiedy użytkownik próbuje uzyskać dostęp do ob iektu chronionego używając ACL, żeton jest porównywany z każdym ACE w ACL dopóki nie znajdzie wzorca a dostęp albo jest uzyskiwany albo nie. Na platformie UNIX, dostęp do obiektów systemu plików ma tradycyjną kontrolę przy zastosowaniu mechanizmu użytkownik/ grupa / pozostali, które jest implementowane poleceniem zmień tryb (Chmod) Jest to raczej podejście zgrubne do kontroli dostępu, jednak, jest zaprojektowane tylko aby pozwolić ci na udzielenie dostępu, grupie do której należysz, lub każdemu. Jeśli jednak chcesz udzielić dostępu tylko pewnym użytkownikom, może to zostać dokonane tylko przez stworzenie nowej grupy dla tych użytkowników, podejście takie może spowodować ,ze liczba grup w sieci UNIX rozrośnie się gwałtownie. W wyniku tego, nowoczesne platformy UNIX takie ja kHP-UX 11i również obsługują ACL dla bardziej szczegółowej kontroli dostępu do zasobów plików systemowych. Te ACL'e są implementowane jako pliki tekstowe, które mogą być widoczne i modyfikowane używając poleceń get ACL (getacl) i set ACL (Setacl) lub innych narzędzi takich jak CalcMgr. Inne platformy systemów operacyjnych na których można zaimplementować ACL to Novell NetWare, OpenVMS i Solaris Notka: Termin lista kontroli dostępu ma inne znaczenie w urządzeniach Cisco , pozwalając lub zabraniając ruchu poprzez urządzenia sieciowe takie jak router lub firewall. W tym kontekście, listy kontroli dostępu generalnie odnoszą się do list dostępu.
acces list [lista dostępu] : Lista używana dla kontrolowania ruchu w urządzaniach Cisco. Lista dostępu jest ekwiwalentem Cisco dla listy kontropli dostępu (ACL) platform Microsoft Windows, z wyjątkiem tego ,że generalnie ACL'e są używane do kontroli dostępu do obiektów sieciowych (pliki i inne zasoby), listy dostępu kontrolują przepływ pakietów poprzez routery i firewalle. Listy dostępu robią to poprzez badanie różnych kryteriów takich jak adres źródłowy, adres przeznaczenia lub numer portu wewnątrz nagłówka pakietu a potem albo przepuszczają pakiet albo go blokują przed przepuszczaniem przez urządzenie. Listy dostępu dostarczają kilku ważnych funkcji:
* Bezpieczeństwo: Listy dostępu moga być konfigurowane do blokowani ruchu z adresów źródłowych podejrzanych systemów lub sieci.
* Przepływ ruchu: Listy dostępu mogą być używane do filtrowania pewnego typu ruchu zabezpieczającego część sieci przed przejeciem niekoniecznego ruchu lub zezwolenia pewnym hostom na dostęp do określonej części sieci
Listy dostępu na routerach Cisco mogą być tworzone i konfigurowane dla każdego interfejsu każdego routera. Dla Internet Protocol (IP), mogą być tworzone dwie oddzielne listy dostępu dla danego interfejsu, jedna dla ruchu z sieci a druga do sieci, dostarczając dobrej kontroli przepływu ruchu na routerze. Każda lista dostępu zastosowana dla interfejsu jest definiowana poprzez unikalną nazwę lub numer i może zawierać wiele instrukcji listy dostępu. Porządek w jakim są dodane instrukcje listy dostępu jest ważny ponieważ te instrukcje są przetwarzane sekwencyjnie. Nie można również prze porządkować instrukcji wewnątrz listy dostępu; jeśli popełnisz błąd i wpiszesz instrukjcę z poza listy, musisz stworzyć listę ponownie. Zwróć uwagę ,że na końcu każdej listy instrukcji jest dołączona instrukcji deny all traffic, tak aby jeśli pakiet nie dopasuje żadnej instrukcji, zabronione zostanie przejście przez skonfigurowany interfejs. Zazwyczaj, kiedy aktualizujemy listy dostępu na routerach Cisco, t worzymy własną listę na serwerze Trivial File Transfer Protocol (TFTP) a potem ściągamy ją na router. Zaletą takiego podejścia jest to ,że Możesz tworzyć własne instrukcje listy dostępu używając edytora tekstu, który pozwala na przeporządkowanie ich jeśli to konieczne przed wysłaniem ich z powrotem na router. Inną nazwą dla list dotsępu jest filtr , termin , który jest powszechnie używany w odniesieniu do routerów
acces mask [maska dostępu] : Wartość określająca czyje prawa są dostępne lub zablokowane we wpisie kontroli dostępu (ACE) Na platformach Microsoft Windows, prawa dostępu określane przez ACE są ustawiane w określonym porządku, określonym przez 32 bitową maskę dostępu. Format określony przez maskę dostępu jest następujący:
* Bajty niższe od 0 do 15 są prawami dostępu określonego obiektu (różnie w zależności od typów obiektów)
* Bajty od 16 do 22 określają standardowe prawa dostępu (stosowane do większości typów obiektów)
* Bajt 23 określa prawo dostępu do systemowego ACL (SACL)
* Bajty od 24 do 27 są zarezerwowane
* Bajty od28 do 31 określają ogólne prawa dostępu
acces token[znacznik dostępu] : Struktura danych zawierająca informacje bezpieczeństwa dla sesji logowania Kiedy użytkownik loguje się do sieci opartej o Microsoft Windows, system tworzy znacznik dostępu, który określa jakie zadania systemowe użytkownik może wykonać i do jakich zabezpieczonych obiektów użytkownik ma dostęp. Znacznik dostępu zawiera informacje, które identyfikują użytkownika, grupę do której należy i poziom uprzywilejowania użytkownika. System dołącza kopię takiego znacznika do każdego wykonywanego procesu w imieniu użytkownika i używa znacznika do identyfikacji użytkownika kiedy wątek współdziała z zabezpieczonym obiektem lub próbuje wykonać zadanie systemowe wymagające uprzywilejowania. Znaczniki dostępu obejmują poniższe informacje:
* Identyfikator bezpieczeństwa (SID) dla konta użytkownika
* SIDy grupy do której należy użytkownik
* SID logowania identyfikujący bieżącą sesje logowania
* Listę uprzywilejowania przechowywaną przez konto użytkownika lub grupę do której należy
* SID właściciela
* SID grupy podstawowej
* Swobodny domyślny ACL (DACL) używany przez system operacyjny kiedy użytkownik tworzy zabezpieczony obiekt bez określania SID
* Źródłowy token
* Czy token jest typem podstawowym czy naśladownictwa
* Opcjonalna lista ograniczonych SID'ów
* Bieżący poziom naśladowania
* Inną statystykę
Są dwa typy znaczników dostępu:
* Znacznik podstawowy : Znacznik tworzony przy wykonywaniu i przypisany do procesu reprezentujący domyślne informacje bezpieczeństwa dla tego procesu. Znaczniki podstawowe są używane kiedy wątki procesu współdziałają bezpośrednio z zabezpieczonymi obiektami
* Znaczniki naśladujące: Znacznik, który przechwytuje zabezpieczone informacje procesu klienta aby włączyć serwer do naśladowania procesu klienta w bezpiecznych operacjach. Naśladownictwo pozwala wątkom współdziałać z zabezpieczonymi obiektami używając kontekstu bezpieczeństwa klienta
account lockout [blokada konta] : Warunek przy którym konto użytkownika jest blokowane automatycznie z powodów bezpieczeństwa Blokada konta chroni konto użytkownika przez zablokowanie czasowe konta kiedy nastąpi określona liczba nieudanych logowań w określonym przedziale czasu. Jest to spowodowane tym ,że liczne niepoprawne logowania do konta w krótkim okresie czasu mogą wskazywać ,że nastąpiły próby dostępu do sieci przez nieautoryzowane osoby. Inną możliwością jest to ,że użytkownik zapomniał swojego hasła, a wynika to z tego ,że czasami firmy wymagają od pracowników długich i skomplikowanych haseł. Kiedy konto zostanie zablokowane automatycznie, użytkownik może albo odczekać aż warunek zablokowania zostanie usunięty automatycznie po jakimś okresie czasu, albo skontaktować się z administratorem lub obsługą techniczną dla ręcznego usunięcia blokady. Większość systemów operacyjnych implementuje pewne formy blokowania konta .Na platformach Microsoft Windows , blokowanie kont a jest implementowane przy użyciu zasad opartych na metodzie znanej jako zasada blokowania kontaktowe
account lockout policy [ zasady blokowania konta] : Zasada która kontroluje jak blokowanie kont jest zaimplementowane dla systemu lub sieci. Zasady blokowania kont są używane na platformach Microsoft Windows do ochrony kont użytkowników przed próbami nieautoryzowanych dostępów. Te zasady są kontrolowane przez usługę Active Directory i zdefiniowane w następujących ustawieniach i konfiguracji * Czas trwania blokady konta: Definiuje jak długo konto pozostanie niedostępne dla użytkownika od czasu jego zablokowania. Możliwy zakres wartości to od 0 do 99,999 minut, przy czym wartość 0 wskazuje, że konto pozostanie zablokowane do czasu ręcznego resetu przez administratora
* Próg blokowania konta: Określa liczbę nieudanych logowań do konta ,które musi wystąpić aby konto zostało zablokowane. Możliwe wartości to od 0 do 999 prób logowań
* Wartość resetu: określa przedział czasowy po którym licznik nieudanych logowań jest resetowany do zera jeśli konto nie jest zablokowane. Na przykład, jeśli ta wartość jest skonfigurowana na 5 minut, licznik śledzi próby nieudanych logowań i zresetuje się do zera 5 minut po ostatniej nieudanej próbie, powodując ,że próg blokowania konta nie zostanie przekroczony. Celem tej wartości jest dostarczenie użytkownikowi, który zapomniał hasła, przerwy na przypomnienie sobie hasła zanim konto zostanie zablokowane.
account policy [ zasada konta] : Zasada która steruje bezpieczeństwem konta użytkownika Zasady konta są używane na platformach Microsoft Windows do ochrony kont użytkowników usłudze Active Directory. Platformy Windows przede wszystkim obsługują trzy typy zasad konta:
* Zasadę blokowania kont : ta definiuje jakie działania będą podjęte po określeniu liczby nieudanych logowań wewnątrz określonego okresu czasu,
* Zasadę Kerberos: Okresla ona pewien parametr Kerberos, wliczając w top maksymalny czas trwania biletu a tolerancją synchronizacji zegara pomiędzy klientem a serwerem
* Zasadę hasła: Ta definiuje ograniczenia hasła takie jak minimalna długość, wymagania co do złożoności hasła, i tak dalej
ACK storm [sygnał potwierdzenia] : Generowanie dużej liczby pakietów potwierdzenia (ACK) Transmision Control Protocol (TCP) ,zazwyczaj z powodu prób sesji hijackingu Sygnał potwierdzenia wynika kiedy intruz próbuje porwać sesję TCP przez wstawienie pakietów imitujących tą sesję. Zazwyczaj zdarza się to kiedy intruz wysyła fałszywe pakiety do hosta B podczas sesji TCP między hostem A a hostem B. Jeśli fałszywy pakiet ma poprawną sekwencję liczb TCP, host B odpowie poprzez wysłanie potwierdzenia (ACK) do hosta A, sądząc ,że to host A wysłał ten pakiet. Host A zauważy ,że host B ma potwierdzenie nieistniejącego pakietu (o ile jest zainteresowany) i odpowie przez zwrócenie potwierdzenia do hosta B razem z jak mu się wydaje poprawną sekwencja liczb. Host B decyduje ,że host A wysłał ten pakiet poza sekwencją i bezpośrednio odpowie potwierdzeniem na ten wynik, co spowoduje ,ze host A odpowie, co spowoduje ,że host B odpowie i tak dalej. Takie przesyłanie ACK będzie trwało d opóki sieć nie zostanie przeładowana pakietami, co spowoduje przekroczenie czasu sesji. Jeśli twój packet sniffer lub system wykrywania włamań (IDS) wykryją sygnał potwierdzenia w ten sposób, prawdopodobnie sieć została zaatakowana. Intruz może chcieć porwać sesję TCP, zazwyczaj coś niebezpiecznego jak sesję telnetu, która może pozwolić intruzowi wykonać kod na twoim hoście .Jeśli nie masz uruchomionego sniffera lub IDS, ale użytkownicy zaczną skarżyć się,że sieć zaczyna wolno pracować, sygnał potwierdzenia jest jednym z możliwych powodów bezpośredniego zagrożenia. Potencjalny sygnał potwierdzenia jest nieodłączny wewnątrz operacji protokołu TCP i jest jednym z powodów dlaczego nie powinieneś korzystać z sesji telnet pomiędzy zdalnymi użytkownikami a twoim hostem .Lepszym rozwiązaniem niż telent jest zastosowanie Secure Shell (SSH), który może dostarczyć bezpiecznej komunikacji przy użyciu szyfrowania 3DES lub Internet Data Encryption Algorith (IDEA)
AclDiag : Narzędzie lini poleceń Microsoft Windows 2000 Server Resource Kit dla rozwiązywania problemów z prawami dostępu AclDiag może być użyty do zdiagnozowania problemów z prawami dostępu do obiektów w usłudze Active Directory. Jest to robione poprzez zapisanie informacji w liście kontroli dostępu obiektu (ACL) do pliku tekstowego, który może być potem zbadany. Kiedy używasz tego narzędzia, tylko wpisy ACL które są zapisane są tymi do których aktualnie zalogowani użytkownicy mają prawa.
ACPA : Oznacza Anticybersquating Consumer Protection Act , prawo federalne USA dotyczące znaku handlowego, którego celem jest przeciwdziałanie praktyce cybersquattingu czyli zajmowania domen internetowych, których nazwy odpowiadają już zarejestrowanym znakom handlowym innych firm.
ACSA : Oznacza Applied Computer Security Associates, stowarzyszenie nonprofit profesjonalnych speców od bezpieczeństwa komputerowego, którego celem jest poprawa zrozumienia, teorii i praktyki bezpieczeństwa komputerowego
ACSAC : Oznacza Annual Computer Security Applications Conference, doroczną konferencję na temat bezpieczeństwa komputerowego organizowaną i sponsorowaną przez Annual Computer Security Associates (ACSA)
Active Directory : Usługa katalogowa platform Microsoft Windows Usługa Active Directory dostarcza usług katalogowych na poziomie systemu dla systemu operacyjnego, jest również ważna z punktu widzenia bezpieczeństwa sieciowego ponieważ Active Directory dostarcza bezpiecznego przechowywania uwierzytelnień użytkowników i komputerów. Active Directory jest również odpowiedzialna za uwierzytelnianie użytkowników kiedy logują się do sieci i uwierzytelniania komputerów kiedy sieć startuje. Active Directory jest implementowana przy użyciu kontrolerów domeny, specjalnych serwerów, które zawierają kopie katalogów baz danych i tworzą możliwość dla funkcji jednokrotnego zarejestrowania się w systemie (SSO), która pozwala użytkownikom na dostęp do sieci z komputera rezydującego w innej domenie niż w zbiorze. Active Directory obsługuje różne metody uwierzytelniania łącznie z Kerberos, NTLM i Infrastrukturą Klucza Publicznego (PKI)
adaptive proxy [adaptacyjne proxy] : Zwane również dynamicznym proxy ,ulepszona forma bramki na poziomie aplikacji Bramki na poziomie aplikacji są firewallami, które dość głęboko filtrują pakiety w zależności od informacji protokołów poziomu aplikacji Połączeń Systemów Otwartych (OSI).Na przykład bramka na poziomie aplikacji może być skonfigurowana do akceptacji tylko żądań GET Hypertext Transfer Protocol (HTTP) z wyjątkiem tego ,że ma pewne wartości w swoich nagłówkach HTTP, takie jak te używające cookies. Problem z bramkami na poziomie aplikacji jest taki ,że badając informację na poziomie aplikacji w każdym żądanym pakiecie, widać tendencję do spowalniania firewalla. Jedynym rozwiązaniem jest adaptive proxy, który wiąże się z badaniem informacji na poziomie aplikacji tylko dla początkowych pakietów sesji Transmision Control Protocol (TCP). Kiedy sesja jest wyznaczona do legitymizacji, firewall zatrzymuje przeglądanie wewnątrz pozostałych pakietów i po p rostu przesyła je dalej poprzez warstwę sieciową. Zaletą podejścia tej aplikacji proxy jest poprawa szybkości poprzez tradycyjne bramki na poziomie aplikacji. Wadą jest zmniejszenie bezpieczeństwa, ponieważ intruz, który wykonuje hijacked legitymując sesję TCP przekaże swoje pakiety przez firewall nie powstrzymane.
Adaptive Security Algorithm (ASA) : Algorytm Cisco dla zaradzania określonymi połączeniami dla firewalli PIX Adaptive Security Algorithm (ASA) używa poziomów bezpieczeństwa do opisania czy dany interfejs firewall jest wewnątrz (zaufany) czy na zewnątrz (nie zaufany) relacji z innymi interfejsami. Poziomy bezpieczeństwa ASA mają zakres od 0 (najniższy) do 100 (najwyższy), przy czym 100 będzie domyślne dla interfejsów wewnętrznych a 0 będzie domyślne dla interfejsów zewnętrznych. Poziomy bezpieczeństwa od 1 do 99 są zazwyczaj używane dla interfejsów podłączonych do strefy zdemilitaryzowanej (DMZ). W typowej konfiguracji, wewnętrzne interfejsy są konfigurowane z wyższym poziomem bezpieczeństwa niż zewnętrzne. Pakiety przechodzące przez firewall z wyższym poziomem bezpieczeństwa mogą przechodzić swobodnie przez firewall z niższym poziomem bezpieczeństwa, ale pakiety przechodzące w drugą stronę są kontrolowane przez listy dostępu lub przez kanał.
Uwierzytelnianie oparte o adres : Metoda uwierzytelniania ,która stosuje adresy sieciowe jako dane uwierzytelniające. Uwierzytelnianie oparte o adres było jednym z pierwszych metod uwierzytelniania stosowanych w sieciach komputerowych i było powszechnie używane na platformach UNIX i VMS. Pracował na zasadzie Jeden Użytkownik , Jedna Maszyna i używała adresu sieciowego maszyny do identyfikacji użytkownika na innych maszynach w sieci. Uwierzytelnianie oparte o adres nie jest często używane w sieciach opartych o transmisje radiowe takich ja Ethernet lub Token Ring, ponieważ jest zdecydowanie prostsza do podszycia się pod adres sieciowy. W połączeniu z hasłem, jednak, uwierzytelnianie oparte o adres jest bezpieczniejsze (i być może bardziej wygodna) niż popularne metody uwierzytelniania, które używają kombinacji nazwa/ hasło
address munging [zniekształcanie adresu] : Metoda kamuflowania adresu e-mail aby uczynić go trudniejszym do znalezienia przez robaki internetowe Spam, lub e-maile śmieciowe stanowią wielki problem dla większości użytkowników e-mail. Jednym ze sposobów uniknięcia dostania się na śmieciową listę mailingową jest unikanie wysyłania swojego adresu e-mail na grupy dyskusyjne USNET lub umieszczanie na publicznych stronach WWW. Powodem jest to ,że firmy zajmujące się listami śmieciowych e-maili często wykorzystują robaki internetowe, oprogramowanie, które skanuje Internet pod kątem adresów e-mail i dodaje je do ich listy. Oczywiście, jest czas, kiedy chciałbyś rozreklamować swój adres publicznie aby inni mogli wysyłać ci listy, na przykład kiedy próbujesz sprzedać coś przez Internet. Jednym rozwiązaniem jest w tej sytuacji jest modyfikacja adresu e-mail tak aby stał się adresem niepoprawnym dla robaków internetowych, ale tak aby był rozpoznawalny przez ludzi jako adres poprawny. Tym rozwiązaniem jest popularnie zwane zniekształcenie adresu, a niektóre przykłady zniekształconego adresu mtulloch@microsoft.com to może być:
* max@nospam.microsoft.com
* max@remove-me.microsoft.com
* max@.microsoft.com.nospam
* max@WGQ84FH7microsoft.com
* maxAT Microsoft DOT com
Zwróć uwagę ,ze jeśli zniekształcasz swój adres e-mail na grupach dyskusyjnych, możesz dołączyć do postu notatkę taką jak ta, Proszę nie odpowiadać na tą wiadomość. Jeśli chcesz wysłać e-mail do mnie, usuń 'nospam' z mojego adresu...lub coś podobnego. Termin munge prawdopodbnie stworzono na MIT w latach osiemdziesiątych i oznaczał mush until no good. Alternatywnie (i bardziej trendy) będzie nazwa munge until no good
address spoofing [fałszowanie adresów IP] : Zazwyczaj nazywany spoofingiem, proces fałszowania adresów źródłowych pakietów Media Access Control (MAC) lub Internet Protocol (IP) wysyłanych siecią Ethernet
Administrator : Najczęstsze konto w sieciach opartych o Microsoft Windows. Konto Administratora jest lokalnym kontem użytkownika, które jest tworzone kiedy Microsoft Winodws Server 2003 (lub Windows XP, Windows 2000 lub Windows NT) jest zainstalowany w systemie. Konto Administratora ma przede wszystkim wszystkie możliwe prawa konta użytkownika i uprawnienia podobne do roota na platformach UNIX. W wyniku tego, ważnym aspektem bezpieczeństwa na platformach Windows jest ochrona konta Administratora przed niewłaściwym użyciem. Może być to zrobione na kilka sposobów:
* Nadanie silnego hasła, które jest trudne do odgadnięcia lub crackowania
* Zmianę nazwy konta Administratora na inne , które jest trudne do odgadnięcia
* Nigdy nie stosowanie tego konta do wykonywania podstawowych zadań użytkownika, takich jak sprawdzanie poczty e-mail lub przegadanie stron WWW; użyj drugiego konta do tych celów
* Unikanie logowania przy użyciu konta do wykonania rutynowych zadań sieciowych; zamiast tego użyć drugiego logowania (poleceniem Runas) dla wykonania programów korzystających z uwierzytelnienia Administratora podczas logowania do twojej konsoli używając zwykłego konta użytkownika
* Nigdy nie używać konta Administratora jako uwierzytelniania dla odwzorowania aliasów wirtualnych katalogów zdalnej sieci do współdzielenia w Internet Information Services (IIS)
Admintool : Narzędzie na platformach Solaris używane dla konfiguracji zasad haseł dla użytkowników. Admintool jest używany do określania czasu trwania hasła i ostrzeżeń, minimalnej długości hasła oraz tego czy hasło musi być zmienione przy pierwszym logowaniu. Jest również używane do określenia porządku wyszukiwania warunków uwierzytelniania i czy konto może być użyte dla interaktywnego logowania
admnlock : Narzędzie linii poleceń w Microsoft Wwindows 2000 Server Resource Kit, które może być użyte do ochrony knta Administrator przed nadużyciem Admnlock może być użyte do zablokowania konta Administratora przed użyciem do logowania sieciowego. Konto może być jeszcze użyte dla interaktywnego logowania na lokalnej maszynie, jednak, to konto jest niezbędne do administrowania tą maszyną. Admnlock może być użyte tylko na maszynach z Windows 2000 Service Pack 2 lub późniejszych
ADMwOrm : Robak zaprojektowany przez grupę hackerską ADM, kory wykorzystuje przepełnienie bufora w BIND ADMwOrm wykorzystuje przepełnienie bufora w serwerach BIND uruchomionych na platformach Linux obsługujących odwrócone zapytania . Robak zazwyczaj tworzy konto użytkownika w0rm z zerowym hasłem, tworzy suid root shell/tmp/.w0rm , usuwa /etc/hosts.deny i zastępuje wszystkie strony index.html wiadomością The ADM Inet w-rm is here! Robak powstał około 1998 roku, a jako środek zaradczy zalecana jest aktualziacja wersji serwera BIND
Advanced Encryption Standard (AES) : Algorytm szyfrowania który zastępuje wcześniejszy Data Encryption Standard (DES) jako oficjalny rządowy (USA) standard szyfrowania Kiedy 56 bitowy klucz DES został pomyślnie złamany w 1997 roku, używając czasu przeważania jałowego tysięcy zwykłych komputerów połączonych przez Internet, stało się jasne, że konieczne było zastąpienie DES aby zapewnić poufność i integralność transmisji elektronicznej. Proces ten został zainicjowany przez National Institute of Standards and Technology (NIST) ,aby znaleźć odpowiedni zamiennik dla DES, i w 2001 roku wybrano algorytm kryptograficzny nazwany Rijndael (nazwany na cześć Belgów Vincenta Rijmena i Joan Daemena) jako podstawe nowego Advanced Encryption Standard (AES). Rząd USA zaakceptował AES w maju 2002 roku w Fedral Inforamtion Procesing Standard (FIPS) AES obsługuje kilka różnych długości kluczy wliczając w o 128, 192 i 256 bitowe, dostarczając odpowiednio 103 8, 1057 i 1077 możliwych kluczy (DES dostarczał tylko 1016 możliwych kluczy). Maksymalna długość klucza 256 bitów jest tak zabezpieczona , że program crackerski metodą brute -force zdolny do złamania DES w sekundę, potrzebował by 150 trylionów lat do złamania AES. AES jest implementowany jako szyfr blokowy, który szyfruje 128, 192 i 256 bitów danych w zależności od użytej długości klucza. Matematyczna struktura AES jest dość prosta i można zaimplementować AES na małych urządzeniach takich jak telefony komórkowe i PDA, które mają ograniczone możliwości przetwarzania Chociaż AES stał się oficjalnym rządowym (USA) standardem szyfrowania, współdziałać on będzie nadal z DES przez najbliższych kilka lat z powodu kosztów i wysiłku zmiany na nowy system Bezpieczniejszym krewnym DES jest 3DES (Potrójny DES), który ma klucz długości 168 bitów, co czyni go znacznie bezpieczniejszym niż DES. Mimo to AES jest dużo szybszym algorytmem niż 3DES i wymaga mniej mocy przetwarzania do implementacji; szeroko rozpowszechnione użycie 3DES powoduje ,że pozostanie on standardem szyfrowania (FIPS 46-3) rządu USA jeszcze jakiś czas.
Advanced Security Audit Trail Analysis na Unix (ASAX) : Narzędzie sekwencyjnej analizy pliku dla UNIX i platforma Linux, które upraszcza analizę informacji kontrolnej. Advanced Security Audit Trail Analysis na Unix (ASAX) jest zaprojektowane jako uniwersalne narzędzie dla analizy dziennika nadzoru i zawiera język oparty na rolach nazwany Rule-Based Sequence Evaluation Language (RUSSEL), który może być użyty do tworzenia złożonych zapytań na wypadek informacji kontrolnej. Aby użyć RUSSEL , logi kontrolne i inne informacje raportu audytu muszą najpierw być przetłumaczone na uniwersalny format zwany Normalized Audit Data Format (NADF). RUSSEL może potem być użyty do tworzenia wyraźnych zasad, które pozwalają znormalizować zapis zdarzeń do przetwarzania sekwencyjnego w pojedynczym kroku
Advanced Transaction Look-up and Signaling (ATLAS) : System zaprojektowany przez Verisign do zastąpienia BIND i jako pomost między infrastrukturą sieciową telefoniczną a Internetem. Advanced Transaction Look-up and Signaling (ATLAS) jest zaprojektowany do obsługi konwergencji Internetu i technologii telefonicznych przez dostarczenie ogólnej platformy dla systemów komunikacyjnych, która polega na przeszukiwaniu bazy danych. ATLAS pracuje przez połączenie razem popularnych protokołów sygnalizacyjnych i rozpoznawani nazw takich jak:
* Domain Name System (DNS): System nazw używanych w Internecie
* Session Initiation Protocol (SIP): Protokół sygnalizujący zaprojektowany przez Internet Engineering Task Force (IETF) dla konferencji internetowych, telefonii, powiadamiania o zdarzeniach i bezpośredniego porozumiewania
* Signaling System Seven (SS7): Protokół sygnalizacyjny używany do inicjowania wywołania w Public Switched Telephone Network (PSTN)
Celem ATLAS'a jest dostarczanie przenoszenia lokalnego numeru telefonicznego, co pozwala użytkownikom do komunikowania się pomiędzy Internetem a systemem telefonicznym używając pełnego spectrum urządzeń komunikacyjnych aktualnie dostępnych. Versign planuje zastąpienie BIND ATLAS'em na 13 źródłwoeych serwerów nazw, które razem obsługują cały schemat nazewnictwa DNS, co jest podstawą pracy Internetu. Analitycy przemysłowi oczekują ,że ten ruch będzie pomocny w zabezpieczeniu DNS i uczyni ją mniej skłonną do przyjmowania ataków denial of -service (DoS), które mogą spowolnić lub przełamać część Internetu. Inne zalety ATLAS'a obejmują szybsze propagowanie zmian do bazy danych DNS (aby uporządkować do sekund zamiast godzin), większą skalowalność (do 100 miliardów zapytań dziennie) i lepszą obsługę telefonii internetowej.
advisory [oficjalne ostrzeżenie ] : Publiczne ostrzeżenia dotyczące słabości zabezpieczeń w produktach softwarowych. Doradcy (lub doradcy bezpieczeństwa) podają ostrzeżenia użytkownikom o słabościach odkrytych w systemach operacyjnych i aplikacjach. Porady mogą być podane poprzez różne źródła, wliczając w to agencje rządowe, publiczne lub prywatne organizacje doradcze, lup sprzedawców, którzy tworzą oprogramowanie. Porady są zazwyczaj przekazywane poprzez strony WWW i listy mailingowe aby zapewnić możliwie jak najszerszą dystrybucję, a odpowiedzialni administratorzy powinni subskrybować takie listy lub okresowo odwiedzać takie strony aby zapewnić swoim sieciom i systemom bezpieczeństwo i zahartować przeciwko możliwym atakom. Red Hat zajmuje się stroną Security Alerts and Advisories, na www.redhat.com/solution/security/news ; strona ta zawiera listy mailingowe bezpieczeństwa jakie możesz subskrybować do późniejszej aktualizacji. Por ady bezpieczeństwa Cisco są publikowane przez ich Product Security Incicdent Response Team (PSIRT) i są dostępne na www.cisco.com/warp/public/707/advisory.html Microsoft utrzymuje listę biuletynów bezpieczeństwa dla wszystkich swoich platform Windows i produktów na www.microsoft.com/technet/security/current.asp a subskrybcje ma oparte o Microsoft Security Notification Service na www.microsoft.com/technet/sceurity/bulletin/notify.asp Są również liczne organizacje neutralnych dostawców, które utrzymują listy porad bezpieczeństwa i poprawek na różne platformy. Jedną z popularniejszych jest CERT Coordination Center (CERT/CC) umieszczony na Software Engineering Institute Carnegie Mellon University.
adware [oprogramowanie z reklamami] : Oprogramowanie, które samo instaluje się w systemie bez wiedzy użytkownika i wyświetla reklamy, kiedy użytkownik przegląda Internet. Adware jest typem oprogramowania niewidzialnego i zazwyczaj instaluje się w systemie kiedy ściągasz i instalujesz oprogramowanie shareware lub freeware z Sieci. Są tuziny różnych programów adware, a niektóre z nich monitorują twoje nawyki sieciowe i wysyłają ta informację do firm marketingowych tak aby mogły one dopasować do ciebie swoją reklamę Niektóre komercyjne programy również zawierają komponenty adware, które mogą lub nie ,być umieszczone w End-User License Agreement (EULA) dla tego produktu. Większość programów antywirusowych nie jest przystosowana do wykrywania adware ponieważ intencją adware nie jest złośliwe niszczenie systemu ale wsparcie kosztu projektu darmowego oprogramowania poprzez reklamę docelową. Kilka programów adware, takich jak VX2 i WNA D.EXE, jednak klasyfikowane jest przez niektóre antywirusy jako Trojany więc są wykrywane i usuwane te produkty. Jeśli skupiasz się na swojej prywatności i możliwości obecności adware w swoim systemie,istnieją programy takie jak Ad-Aware firmy Lavasoft, które może być użyte do wykrywania i usuwania adware i innego spyware'u. Są również strony takie jak SpyChecker.com i Tom_Cat.om, które utrzymują przeszukiwalne listy oprogramowania, które może zawierać adware lub inne formy spyware.
AH : Oznacza Authentication Header, protokół bezpieczeństwa ,który dostarcza usług uwierzytelniających dla Internet Protocol Security (IPSec)
AKE : Oznacza Augmeneted Key Exchange, protkół wymiany klucza dla systemów kryptografii klucza publicznego
alert : Wysyłanie wiadomości lub wyzwolenie zdarzenia w odpowiedzi na intruza, błąd sprzętowy, problem z oprogramowaniem lubjakiś inny warunek Alerty są sposobem szybkiego informowania administratorów ,że firewall został naruszony, sieć została zaatakowana, dysk twardy jest pełny i wszystkie inne problemy. Alerty mogą przybierać różne formy na różnych platformach i produktach:
* Wyskakujące okienka na ekranie konsoli Administratora
* Wysłana wiadomość e-mail do Administratora konsoli
* Strona alarmowa lub nagrana wiadomość telefoniczna
* Głośny alarm, migające światła lub inne metody zwrócenia uwagi
alert flooding [przepełnienie alertów] : Atak ,który próbuje przejąć kontrolę na systemem wykrywania włamań (IDS) poprzez rozmyślne powodowanie generowania zbyt wielu alertów Kiedy IDS wykryje możliwy atak w sieci, zazwyczaj generuje alert informujący administratora o sytuacji. Pozwala to mu śledzić problem, określając czy jest to atak rzeczywisty czy jest to alert fałszywy i podjąć kroki dla zablokowania ataku lub zignorowanie alertu w przyszłości. Jedne sposób w jaki intruz może próbować uczynić IDS nieefektywnym to wysyłanie dużej liczby pakietów, które rozmyślnie są zaprojektowane do powodowania generowania przez IDS alertów. Wyniki zalewania alertami mogą uczynić zajętymi administratorów i ukryć prawdziwą próbę wdarcia się do sieci .Jeśli jest generowanych zbyt wiele alertów, atak może imitować efkety ataku denial-of-service (DoS) i sparaliżować obronną strefę zdemilitaryzowaną (DMZ). Najprostszym sposobem wygenerowa nia alert flood jest spakowanie dużej porcji podpisanych baz danych IDS do pakietu i wysłanie go do IDS. Jeśli IDS jest skonfigurowany do generowania alertów w oparciu o pierwszy wzorzec w bazie danych, atakujący zazwyczaj próbuje wyzwolić wzorzec tylko dla odpowiedniego podpisu, zatem ukryty atak przełamie IDS używając więcej poważnych ataków .Ten rodzaj ataku jest najczęstszym przeciwko IDS'om opartym o podpisy a juz mniej wydajnym przeciwko IDS'om opartym o anomalia.
Amap : Narzędzie skanowania sieciowego dla identyfikacji usług i aplikacji uruchomionych w Sieci Amap jest narzędziem stworzonym przez The Hacker's Choice (THC), społeczność hackerską z Niemiec. Amap pracuje poprzez wysyłanie informacji uzgodnienia dla protokołu warstwy standardowej aplikacji do wszystkich portów TCP i jest zdolny do zlokalizowania usług uruchomionych na niestandardowych portach. Na przykład, Lightweight Directory Access Protocol (LDAP) normalnie używa portu 389 (lub 639 jeśli jest użyty Secure Socket Layer [SSL]), ale niektórzy administratorzy mogą próbować zmienić to na inny port powyżej 1023 aby ukryć swoje usługi LDAP przed intruzami. Jednakże, intruz używając amap może po prostu przeskanować wszystkie 65,535 możliwych numerów portów ,wysyłając LDAP informację uzgodnienia i wyszukując odpowiedzi, która wskazuje jaki numer portu jest przypisany do LDAP.
amplification attack [wzmocniony atak] : Typ ataku, który wzmacnia wpływ pojedynczego hosta atakującego. Amplification attack działa poprzez jeden pakiet generujący wiele odpowiedzi. Efekt jest taki ,że pojedynczy host atakujący pojawia się jako wiele hostów, w celu zintensyfikowania wpływu ataku na przełamanie całej sieci. Ataki Distributed denial-of -service (DDOS) są klasycznymi przykładami amplification attack w których pośrednie złamane hosty są użyte do zwielokrotnienia złośliwych zamierzeń pojedynczego intruza. Atak Smurf jest innego typu amplification attack i opiera się na fakcie ,że pojedyncze zaimitowane żądanie echo Internet Control Message Protocol (ICMP) spowoduje ,że wiele hostów w sieci wygeneruje odpowiedź echo ICMP wzmacniając czynnik ,tu , będący liczbą dostępnych hostów w złamanej sieci.
Annual Computer Security Applications Conference (ACSAC) : Doroczna konferencja o bezpieczeństwie komputerowym organizowana i sponsorowana przez Applied Computer Security Associates (ACSA) Od 1985 roku, Annual Computer Security Applicationa Cinference (ACSAC) wspomaga postęp w zasadach i praktykach bezpieczeństwa komputerowego. Konferencja służy pracy głównie na polu technicznym i obejmuje inżynierów, badaczy i praktyków na polu bezpieczeństwa komputerowego. Przy ACSAC średnio pracuje 250 osób i jest głownie ukierunkowana na przemysł i rząd.
IDS oparty o anomalia : System wykrywania włamań ,który używa punktu odniesienia zamiast podpisów dla wykrywania intruzów Podczas gdy IDS'y oparte o podpisy (lub zasady) są bardziej popularne, są one ograniczone do rozpoznawania znanych ataków i wymagają ich sygnatury bazodanowej regularnie aktualizowanej, IDS oparty o anomalia ma trochę inne podejście i zaczyna się od przechwycenia ruchu sieciowego do formy profilu lub lini bazowej akceptowanego zdarzenia sieciowego. Po stworzeniu tej bazy danych, IDS oparty o anomalia porównuje wtedy bieżący ruch z ruchem lini bazowej i używa algorytmu rozpoznawania wzorców do identyfikacji możliwych zdarzeń włamania przez wykrywani anormalnego ruchu. Aby uczynić ten proces bardziej wydajnym, IDS'y oparte o anomalia zazwyczaj zaczynają od filtrowania bezpiecznego ruchu takiego jak Simple Mail Transfer Protocol (SMTP) lub Domain Name System (DNS) dla zredukowania ilości danych jakie potrzebne są do inspekcji. IDS'y oparte o anomalia zmierzają do bycia dobrym wykrywaczem początkowego stanu ataku kiedy intruz sonduje sieć używając skanowania portów i odchyleń. Mogą one również wykrywać kiedy pojawia się nowa usługa sieciowa na danym hoście w sieci, wskazując możliwe złamania bezpieczeństwa hosta. Wadą IDS'ów opartych o anomalia jest to ,że są one trudniejsze do skonfigurowania niż IDS'y oparte o sygnatury, ponieważ czasami trudno jest rozróżnić co stanowi ruch normalny od ruchu nienormalnego i w wyniku tego, mają one tendencje do generowania fałszywych alarmów aniżeli IDS'y oparte o sygnatury. IDS'y oparte o anomalia wymagają większego stopnia interwencji ludzkiej w określenie statusu kwestionowanego ruchu i rekonfiguracji IDS dla akceptacji lub odrzucenia takiego ruchu w przyszłości. W końcu, IDS'y oparte o anomalia zazwyczaj muszą być zaprojektowane w sposób rozproszony w sieci aby zamknąć chronione serwery aby zredukować ilość zakłóceń przy filtrowaniu. IDSy oparte o sygnatury, z drugiej strony, mogą często być zaprojektowane dla sieci takich jak firewalle czy strefy zdemilitaryzowane (DMZ),zakładając ,że są one wystarczająco silne aby przetworzyć cały ruch . Przykłady niektórych sprzedawców oerujacych IDS'y oparte o anomalia to Cisco Systems, Enterasys Networks, Intrusion.com, IntruVert, ISS, Lancope, NFR, OneSecure, Resourse technologies i Vsecure.
anonymous access [ dostęp anonimowy] : Forma uwierzytelniania w Internet Information Services (IIS), która pozwala anonimowym użytkownikom uzyskac dostęp do stron WWW i FTP Dostęp anonimowy jest zaprojektowany dla publicznych stron WWW uruchamianych na maszynach IIS połączonych z Internetem i skonfigurowanych domyślnie dla nowo stworzonych stron i stron File Transfer Protocol (FTP) Dostęp anonimowy korzysta ze specjalnego konta użytkownika IUSR_nazwserwera dla uwierzytelniania gdzie nazwa serwera jest to nazwa maszyny IIS .Dostęp anonimowy działa poprzez fiurewalle i jest zogdny ze wszystkimi przeglądarkami za wyjątkiem Internet Explorera
anonimowe proxy : Strona WWW , która może być używana dla anonimowego przeglądania WWW
anonimowe przeglądanie WWW : Metoda anonimowego przeglądania WWW Zwykle przegladanie stron WWW nie jest anonimowe , ponieważ Hypertext Traansfer Protocol (HTTP) wymaga aby twój adres IP (Internet Protocol) był znany serwerowi sieciowemu ,aby mógł zwrócić odpowiedź na twoje żądanie.Po uzyskaniu przez serwer adresu, moze on potem śledzić twoje surfowanie oraz transakcje online (cookie również są często używane do tego celu) .Jeśli jesteś zainteresowany swoją prywatnością i żądasz ochrony tożsamości online, kiedy przeglądasz Sieć, jest kilka podejść do tego tematu :
* Przeglądać Sieć z publicznego terminala internetowego, na przykład , w kawiarence internetowej lub bibliotece publicznej,. Ostrożnie jednak,niektóre publiczne komputery mogą zawierać Tronjany, które mogą przechwytywać numery kart kredytowych lub inne wrażliwe informacje jakie wysyłasz przez Internet
* Używać serwerów proxy, albo jednego z komputerów firmowych lub jednego od dostawców intenretu (ISP) jeśli dostarcza on takiej usługi. Upewnij się czy znasz firmowe (lub ISP) zasady prywatności zanim tego spróbujesz, ponieważ twoja historia surfowania może się znajdować w plikach dzienników logowania serwera i może być w dowolnej chwili otwarta na żądanie.
* Używaj usług anonimowych serwerów proxy, takich jak Anonymizer.com, który wykonuje buforowanie WWW i pośredniczenie ale nie pozostawia dzienników logowania. Firmy ,które oferują anonimowe przeglądanie WWW zazwyczaj oferują darmowe wersje , które zawierają reklamy. Niektóre z tych firm dostarczają również innych usług, takich jak anonimowe e-maile, blokowanie reklam a nawet obsługę anonimowych transakcji SecureSockets Layer (SSL). Niektóre mogą wymagać abyś ściągnął specjalne oprogramowanie klienckie na swoją maszynę aby uczynić anonimowym przeglądanie.
Podczas gdy pozytywną stroną anonimowych proxy jest to ,że możesz ich używać do ochrony swojej prywatności , negatywną stroną jest to ,że złośliwi hackerzy mogą czasami używać ich do ochrony swojej tożsamości kiedy próbuju zaatakować w sieci (na przykład używając zniekształconego URL'i lub Uniform Resource Locators), ponieważ proxy ukrywa prawdziwy źródłowy adres IP użytkownika wykonującego atak. Użycie anonimowych proxy może również stworzyć trudności firmą w określaniu kiedy pracownicy naruszyli akceptowalne zasady użycia dla przeglądania WWW, a firmy często blokują takie strony aby chronić się przed ściąganiem przez pracowników pornografii lub plków muzycznych mp3.
Anticybersquatting Consumer Protection Act (ACPA) : Prawo federalne USA, które zabezpiecza znaki handlowe przed rejestracją odsprzedawaniem ich przez cyberquotterów po zawyżonych cenach zainteresowanym firmom. Anticybersquatting Consumer Protection Act (ACPA) jest prawem federalnym od 1999 roku i zostało stworzone aby pomóc w zwalczaniu cybersquattingu nazw domen, który występuje kiedy firma uzyskuje nazwę domeny W złej wierze, to znaczy, bardzo podobny do znaku towarowego jakiejś innej firmy. Firma ,która czuje ,że jej znak handlowy jest mnaruszony ma pełne prawo na podstawie tej ustawy zmusić squattera do skonfiskowania mu lub prze transferowania własności danej nazwy domeny i domagać się i odszkodowania do 100 000 $ za nazwę domeny. Przykładem działania tej ustawy jest sprawa Electronics Boutique Holdings Corp kotra Zuccarini. Alternatywną drogą właściciela znaku towarowego może być szukanie zadośćuczy nienia w takiej sytuacji, nie wymagającej wysiłku ani czasu jest zwrócenie się do Internet Corporation gor Assigned Names and Numbers (ICANN)po własny Uniform Dispute Resolution Policy (UDRP)
AntiSniff : Narzędzie stworzone przez L0pht Heavy Industries (teraz @Stake), które może wykrywać obecność pakietów sniffera w sieci Pakiety sniffera są zazwyczaj używane do rozwiązywania problemów sieciowych, ale również mogą być używane w złych celach przechwycenia ruchu sieciowego aby uzyskać hasła i inne cenne informacje. AntiSniff został zaprojektowany w 1999 roku przez L0pht, wtedy grupę hackerów, jako narzędzie bezpieczeństwa sieciowego, które mogło wykrywać obecność snifferów w sieci. Aby to zrobić, AntiSniff stosuje kilka technik wliczając w to flooding sieci z ruchem i wyszukiwanie problemów opóźnienia, które mogą wskazywać ,że jest uruchomiona karta interfejsu hosta sieciowego (NIC) w trybie odbierania, co może być wskazówką ,że sniffer jest zainstalowany na tym hoście. Wersje AntiSniffera zostały zaprojektowane dla Windows Microsoft NT, Solaris, Open BSD i Linuxa. @Stake, firma konsultingu bezp ieczeństwa,w którą rozwinął się L0pht, zaprzestała sprzedaży i obsługi AntiSniffa ,ale narzędzie to jest jeszcze szeroko używane w społeczności zajmującej się bezpieczeństwem
antivirus software [oprogramowanie antywirusowe] : Inna nazwa dla oprogramowanie ochrony przed wirusami, aplikacje wykrywające wirusy komputerowe i zabezpieczające systemy przed zainfekowaniem.
application-level gateway [bramy na poziomie aplikacji] : Zwane również proxy na poziomie aplikacji, typ firewalla, który nawiązuje połączenia proxy dla określonego typu aplikacji. Bramki na poziomie aplikacji działają podobnie do bramek na poziomie sesji z tym ,ze działają na poziomie sesji Open System Interconnection (OSI) monitorujących uzgodnienia Transmission Control Protocol (TCP) dla decydowania czy żądanie sesji powinno być zaakceptowane czy odrzucone. Bramki na poziomie aplikacji muszą bbyć specjalnie konfigurowane do obsługi każdego protokułu warstwy aplikacji takiego jak Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP) lub Simple Mail Transfer Protocol (SMTP), i patrzeć głębiej wewnątrz pakietów aby znaleźć tą informację W wyniku tego, bramki na poziomie aplikacji mają tendencję do większych wymaga przetwarzania niż innego typu firewalle i mogą stać się wąskim gardłem podcza s długiego ładowania. Bramik na poziomie aplikacji nie są przejrzyste z perspektywy użytkownika ,jeśli jego maszyna musi być specjalnie konfigurowana do ich stosowania. Ponieważ bramki na poziomie aplikacji chronią bezpośrednio połączenia pomiędzy wewnętrznymi a zewnętrznymi hostami, są szczególnie wygodne dla zatrzymywania pewnego typu ataków sieciowych takich jak protocol violations i buffer overflows.
application-level proxy [proxy na poziomie aplikacji] : Inna nazwa dla bramek z poziomu aplikacji , typ firewalla, który nawiązuje połączenia używając proxy
application protection system (APS)[system ochrony apliakcji] : Oprogramowanie, które identyfikuje nieprzyjazny ruch Hypertext Transfer Protocol (HTTP) Application porotection system (APS) zaprojektowano jako uzupełnienie dla intrusion detection system (IDS) przez badanie ruchu HTTP wyszukując podejrzanych wzorców. Generalnie jest kilka różnic pomiędzy nimi:
* Podczas gdy IDS bada ruch na poziomie pakietów, ASP przegląda strumienie ruchu jako całość, szczególnie sesje żądania/odpowiedzi HTTP
* IDS zazwyczaj alarmuje administratorów o obecności podejrzanego ruchu, ASP zwykle blokuje taki ruch siegając serwerów sieciowych.
* IDS generalnie umieszczany jest w strefie zdemilitaryzowanej (DMA),a ASP umieszczany jest bezpośrednio na przedzie load balancera dla serwera WWW
Kilu producentów oferuje oprogramowanie ASP, wliczając w to Kavado, Protegrity, Sanctum i Stratum8 Zaletą projektowania takich systemów do ochrony farm serwerów sieciowych jest to ,że ASP może często wykrywać nowe typy ataków i exploitów nawet zanim zostaną rozpoznane przez organizacje zajmujące się bezpieczeństwem.
Application Security Tool (AppSec) : Narzędzie Microsoft Windows 2000 Server Resource Kit, które może być użyte do ograniczenia aplikacji jakie może uruchomić użytkownik Application Security Tool (AppSec) jest narzędziem opartym o graficzny interfejs użytkownika (GUI), które ma dwa poziomy bezpieczeństwa:
* Admin:Może uruchamiać dowolny plik wykonywalny na maszynie
* Non-Admin: Może uruchamiać tylko pliki wykonywalne z zatwierdzonej listy
AppSec powinno by generalnie używane w połączeniu z ograniczeniami Zasad Grupy, które mogą ograniczać użytkowników przed dostępem do takich obiektów jak menu Start i ikony pulpitu. AppSec nakłada ograniczeni na aplikacje krok dalej niż Zasady Grupy, ponieważ ogranicza użytkowników przed uruchamianiem aplikacji nawet z lini poleceń. Jest to szczególnie użyteczne w środowisku Usług Terminalowych, kiedy chcesz ograniczyć aplikacje uruchamiane przez uzytkowników. Aby użyć AppSec po prostu określ absolutną ścieżkę dostępu to tych plików wykonywalnych (*.exe), jakie chcesz aby użytkownik mógł uruchamiać. Głównymi ograniczeniami AppSec jest:
* Może być stosowany tylko do komputerów a nie użytkowników
* Pracuje tylko z aplikacjami Win32 a nie ze starszymi Win16 czy aplikacjami MS-DOS
Application as Services (Srvany) : Narzędzie Microsoft Windows 2000 Server Resource Kit, które może być użyte do włączania aplikacji jako usług. Applications as Services (Srvany) pozwala aplikacjom na skonfigurowanie tak aby uruchamiały się jako usługi w tle na maszynie. Ma to ważną zaletę jeśli chodzi o bezpieczeństwo, mianowicie, możesz uruchamiać aplikacje wewnątrz kontekstu określonego konta użytkownika zamiast uwierzytelniania logującego użytkownika , co daje administratorom większa kontrolę nad kontekstem bezpieczeństwa w jakim uruchamiają się aplikacje. Jest to szczególnie użyteczne w środowisku Terminal Services dając większe bezpieczeństwo serwerom terminalowym. Inne zalety uruchamiania aplikacji jako usługi to:
* Możliwość uruchamiania aplikacji jeśli użytkownik nie jest zalogowany do systemu (działa tylko z aplikacjami Win32,a nie Win16 czy MS-DOS)
* Możliwość aplikacji do kontynuowania działania po wylogowaniu użytkownika (działa tylko z aplikacjami Win32, a nie Win16 czy MS-DOS)
* Eliminuje konieczność restartowania aplikacji ręcznie po rebootowaniu maszyny
Użycie Srvany wymaga abyś edytował rejestr dla określenia aplikacji jakie chcesz uruchamiać jako usługi Ostrzeżenie: Niepoprawne użycie Edytora Rejestru może spowodować poważne problemy, które mogą wymagać reinstalacji systemu operacyjnego. Microsoft nie może zagwarantować, że problemy wynikłe z niepoprawnego użycia Edytora Rejestru mogą być rozwiązane. Używasz Edytora Rejestru na własne ryzyko.
Applied Computer Security Associates (ACSA) : Organizacja nonprofit zawodowców od bezpieczeństwa komputerowego, której celem jest poprawa zrozumienia teorii i praktyki bezpieczeństwa komputerowego Applied Computer Security Associates (ACSA) została założona w 1985 roku jako Aerospace Computer Security Associates i zmieniono nazwę w 1996 roku. Pierwotnym powodem stworzenia ACSA było dostarczenie nieustannej obsługi i finansowania dla Annual Computer Security Applicationas Conference (ACSAC), która była po raz pierwszy nazwana Aerospace Computer Security Conference. ACSA obsługuje również kilka działań i inicjatyw których celem jest postęp na polu bezpieczeństwa komputerowego. Obejmuje to wirtualne biblioteki z zasobami bezpieczeństwa , prowadzenie wykładów na uniwersytetach, i różne komitety i warsztaty na temat bezpieczeństwa.
APS : Oznacza application protection system, oprogramowanie, które identyfikuje nieprzyjazny ruch Hypertext Transfer Protocol (HTTP)
Apsend : Darmowe narzędzie Linuxa dla testowania firewalli Apsend jest pakietem nadawcy, który pozwala testować firewalle i inne ochrony sieciwoe przez symulowanie SYN flood, User Datagram Protcol flood, ping flood i innych form ataków denial of service (DoS). Apsend jest silnym narzędziem które może być użyet do budowania ramek Ethernet dla dowolnego typu protokołów i które jest konfigurowane dla domyślnej obsługi Internet Protocol (IP), Transmission Control Protocol (TCP) i Internet Control Message Protocol (ICMP). Apsend jest oprogramowaniem open source napisanym w Perlu na platformy Linux i dostępne jest na licencji General Public License (GPL) na Tucows (www.tucows.com) i innych stronach sharwerowych
APSR : Narzędzie testujące sieć, które może wysyłać i odbierać dowolne pakiety APSR jest projektem stworzonym przez autorów apsend'a, narzędziem open source dla testowania firewalli przez wysyłanie dowolnych pakietów Transmission Control Protocol /Internet Protorcol (TCP/IP). APSR jest zasadniczo ulepszony w kodzie napisanym w C w stosunku do narzędzi napisanych w Perlu. APSR jest aktualnie przeprojektowywany i jako komercyjny jest dostępny dla przetestowania na www.aa-security.de . Autorzy mieli zamiar udostępnić go jako oddzielny wariant oparty na General Public License (GPL)
arbitrary code execution attack : Typ ataku w którym intruz może uruchamiać dowolny kod na docelowej maszynie Arbitray code execution attack zazwyczaj wykorzystuje słabości aplikacji takie jak przepełnienie buforu lub niesynchroniczne zmienne .Słabości takie powstają z powodu słabych praktyk koderskich podczas tworzenia aplikacji, a pisanie kodu bezpiecznego jest podstawą aby zapobiegać tego typu atakom. Jeśli intruz znalazł sposób na wykonanie dowolnego kodu na docelowej maszynie, maszyna jest uszkodzona i będzie musiała odtworzona z kopii zapasowej ponieważ ślady zostawione przez intruza mogą być trudne lub niemożliwe do odkrycia. Koniecznością przy takich atakach, jest fakt, że intruz musi również znaleźć sposób aby wygenerować kod wykonywany na atakowanej maszynie, albo przez kopiowanie plików do maszyny albo przez przejęcie kontroli nad systemem plików maszyny i stworzeniem skry ptów używając edytora tekstu. Mając właściwie skonfigurowany firewall i właściwie zabezpieczone konto w sieci, można ochronić się przed intruzami próbującym iwstawić takie skrypty na naszą maszynę
Argus : Narzędzie open source dla monitorowania aktywności sieciowej Argus jest skanerem sieciowym Internet Protocol (IP) i narzędziem kontrolującym, które monitoruje i zapisuje informacje o ruchu i przechowuje je w logach kontrolnych, które mogą być później analizowane dla rozwiązania problemów sieciowych, weryfikacji czy sieciowe zasady bezpieczeństwa dobrze funkcjonują i do wielu innych spraw. Argus 1.x został stworzony przez Software Engineering Institute (się) z Uniwerystetu Carnegie Melllon i pierwszy raz opublikowany w 1996 roku. Wersja 2 Argusa jest własnością QoSient i dostępna jest na zasadach open source. Nazwa Argus powstałą na cześć bohatera greckiej mitologii który miał sto oczu. Argus zazwyczaj uruchamia się w tle jako demon lub usługa i jest dostępny dla różnych platforma UNIX, wliczając ww to Solaris, IRIX, FreeBSD, OpenBSD, NetBSD i Linux
ARP cache poisoning : inna nazwa dla spoofingu ARP, procesu fałszowania źródła adresów Media Access Control (MAC) pakietów będących wysyłanymi w sieci Ethernet
ARP redirection [przekierowanie ARP] : Inna nazwa dla spoofingu ARP, procesu fałszowania źródła adresów Media Access Control (MAC) pakietów będących wysyłanymi w sieci Ethernet
ARP spoofing [przechwytywanie pakietów] : Proces fałszowania adresu źródłowego Media Access Control (MAC) pakietów wysyłanych w sieci Ethernet. Address Resolution Protocol spoofing obejmuje modyfikowanie adresów MAC pakietów dla oszukania ARP aby myślał ,że pochodzą one z innego źródła niż w rzeczywistości. ARP spoofing obejmuje wysyłanie sfałszowanych odpowiedzi ARP dla przekierowanego ruchu sieciowego do atakującego hosta. Jeśli host atakujący tylko nasłuchuje ruch i nie uczestniczy w nim, włąściwe hosty nie są świadome ,że coś złego działo się z pakietami. ARP spoofing może być wykorzytywany dla inicjowania ataków typu man-in-te middle lub Denial of Service (DoS) w sieciah Ethernet. Jest kilka sposobów zwałaczania ARP spoofing:
* Dodanie wszystkich trwałych wejść statycznych do pamięci podręcznej ARP na każej maszynie w sieci. Jest to jedyna pewna metoda zwalczenia ARP spoofing ,ale tylko dla relatywnie malych sieci
* Użycie sniffera dla przechwycenia ruchu sieciowego i zbadanie szczegółowo adresów MAC ramek Ethernet. To jednak zbyt dużo pracy jako rozwiązanie praktyczne.
* Użycie specjalizowanych narzędzi takich jak Arpwatch , które monitorują ruch ARP i zarządzają globalną tablicą adresów MAC-to-IP dla wszystkich hostów w tym segmencie
* Użycie szyfrowania na poziomie sieci, takiego jak IPSec lub VPN przez IP dla zabezpieczenia wszystkich transmisji sieciowych
* Unikanie używania narzędzi sieciowych ,które korzystają z niezabezpieczonej transmisji potwierdzania tożsamości użytkownika (np użycie Secure Shell (SSH) zamiast telnetu czy Filee Transfer Protocol (FTP) )
Arpwatch : Narzędzie wiersza poleceń dla platform Unix/Linux monitorujące zmiany w tablicy Address Resolution Protocol (ARP). Arpwatch monitoruje sieć Ethernet i zarządza bazą danych adresów MAC-to-IP dla hostów w sieci. Takie zmiany które występują w tej bazie danych mogą wskazywać kilka możliwości:
* Został dodany nowy host do sieci lub usunięto istniejący
* Host uzyskał nowy adres IP używając Dynamic Host Configuration Protocol (DHCP)
* Adres MAC zmienił się w hoście uzywającym karty NIC
kiedy wystąpi zmiana w bazie danych, Arpwatch,wiadomość e-mail zostanie wysłana automatycznie do loklanego głównego użytkownika aby odnotował taką zmianę.
AS : Oznacza serwer uwierzytelniania , jeden z dwóch typów serwerów w Kerberos KDC (Key Distribution Center)
ASA : Oznacza Adaptive Security Algorithm,algorytm Cisco dla zarządzania połączeniami dla PIX Firewall
ASAX : Oznacza Advanced Security Audit Trail Analysis on Unix, narzędzie analityczne pliku sekwencyjnego dla Unix i Linux ,które upraszcza analizę badanych informacji
Formularz uwierzytelniania ASP.NET : Bezpieczna forma uwierzytelniania w sieci dostarczana z ASP.NET na platformie Microsoft Windows Server 2003. Korzysta ze stron WWW z formularzami dla uwierzytelniania użytkowników w sieci. W typowej implementacji wykorzystywane będą ciasteczka do przechowywania i zarzązania stanem informacji. ,podczas gdy wewnątrza baza SQL będzie używana do przechowywania informacji o koncie użytkownika. ASP.NET obsługuje możliwość włączania poziomów ochrony aby zapewnić ,że poufne informacje będą szyfrowane lub walidowane , dzięki czemu FOrmularz ASP.NET jest bardziej bezpeiczny niż tradycyjny formularz Active Server Pages (ASP) używający ActiveX Data Objects (ADO)
assets [zasoby] : To co firma chce zabezpieczyć .Przykładme takich zasobów może być biznes plany, wyposażenie, kod źródłowy komercyjnego oprogramowania ,prywatne kluczwe kryptograficzne itp.
algorytm klucza asymetrycznego : Algorytmy klucza asymetrycznego tworzą podstawę publicznego klucza kryptograficznego i używa dwóh kluczy: klucza prywatnego ,znanego tylko właścicielowi i klucza publicznego dostępnego każdemu. Najpopularniejsze algorytmy klucza asymetrycznego to :
* Diffie-Hellmana: Stworzony przez Withfielda Diffie i Martina Hellmana w 1976 roku, był pierwszym przykładem ilustrującym jak można wykorzystać kryptografię kluczem publicznym. Algorytm ten jest relatywnie wolny i nie był przeznaczony do szyfrowania transmisji danych, ale przede wszystkim do bezpiecznego przesyłania klucza sesyjnego Data Encrytption Standard (DES), aby umożliwić szyfrowanie kluczem prywatnym podczas tej sesji. Takie podejscie jest popularnie zwane Systemem Dystrybucji Kluczy Pulicznych (PKDS)
* RSA : stworzony przez Rona Rivesta,Adi Shamira i Leonarda Adlemana w 1977 roku. Podobny do Diffie - Hellmana, ale zanacząco szybszy i może byćstosowany do szyfrowania pojedynczej wiadomości dla bezpiecznej transmisji, podejście znane jako Szyfrowanie Kluczem Publicznym (PKE)
Poza Diffie-Hellmanem i RSA używane są dzisiaj inne algorytmy:
* Algortym ECC (Elliptic Curve Cryptosystem): rodzina algorytmów oparta o teorię krzywej eliptycznej, który może dostarczyć wysokiego stopnia bezpieczeństwa nawet przy relatywnie małym rozmiarze klucza .
* el Gamal: algorytm oparty o wyliczenia logarytmów dyskretnych
Długość klucza w algorytmach asymetrycznych jesty zazwyczaj dużo większa niż używana w algorytmach symetrycznych takich jak DES .Rozmiar klucza dla RSA to 1024 do 2048 bitów w porównaniu z 56 bitami przy DES i 128, 192 czy 256 bitami przy AES.
Aby wysłać zaszyfrowaną wiadomość używając szyfrowania asymetrycznego ,nadawca najpierw używa publicznego klucza odbiorcy dla zaszyfrowania wiadomości,zmieniając w tekst zaszyfrowany .Wiadomość jest potem wysyłana do odbiorcy ,który używa swojego klucza prywatnego dla odwrócenia procesu. Podczas tego procesu zapewniona jest poufność wiadomości, nie gwarantuje jednak tożsamości nadawcy. Daltego nadawca może dołączyć podpis cyfrowy do wiadomości , który zweryfikuje tożsamość nadawcy dla odbiorcy i zapewni integralność wiadomości
ATLAS : Oznacza Advanced Transaction Look-up and Signaling, system stworzony przez Verisign dla zastąpienia BIND i połączeń między infrastrukturą sieciową telefonii a Internetem
ATR łańcuch : Kiedy karta elektroniczna została włożona do czytanika, , czytnik generuje sygnał resetu, a karta odpowiada przez zwrócenie łańcucha Answer To Reset (ATR). Łńcuch jest używany do identyfikacji typu karty,stanu karty, i inforamcji, które optymalizują połączenie szeregowe między czytnikiem a kartą. Format ATR jest opisany w standardzie ISO 7816-3, który definiuje maksymalną długość tego łańucha na 33 bajty .W typowej implementacji, zanim użyje się karty,nalezy zainicjować tę kartę io nadać jej przyjazną nazwę.
,łancuch ATR i opcjonalnie maskę. Kiedy aplikacja zażąda połączenia z kartą ,może połączyć się z kartą w danym czytniku , pobrać łańcuch ATR i porównać go z łańcuchem ATR żądanej karty.
atak : Wszelkie metody wykorzystane do próby naruszenia bezpieczeństwa sieci lub systemu. Zagrożenia dla zabezpieczeń sieci mogą pochodzić z różnych źródeł, w tym :
* Zewnętrzne ,zorganizowane zagrożenie od zł0ośliwych jednostek lub organizacji.
* Zewnętrzne, nieuporządkowane zagrożenia ze strony niedoświdczonych atakujacych, takich jak script kiddies
* Wewnętrzne zagrożenia od niezadowolonych pracowników lub kontrahentów.
Ogólne metody stosowane przez złośliwe jednostki lub organizacje różnią się znaczniem ale można podzielić je na kilka głónwnych kategorii:
* Atak dostępu: Intruz próbuje uzyskać dostęp do zasobów w sieci, poprzez wykorzystanie błędów w oprogramowaniu, np .przez pepełnienie bufora i wyciek informacji oraz podniesienie uprawnień intruza dla wykonywania dowolnego kodu.
* Atak Denial of Service (DOS): Intruz próbuje zablokować uprawnionym użytkownikom do zasobów w sieci.
* Ataki rozpoznawcze: Intruz próbuje odwzorowąć usługi sieciowe aby wykorzystać wykryte słabości.
Innmy sposobem klasyfikacji ataków jest ich wpływ na atakowany system:
* Atak aktywny: Dotyczą one modyfikacji danych albo podczas transmisji albo przechowywania w systemie docelowym. Przykładem mogą być backk-doory i konie trojańskie, usuwanie lub modyfikowanie plików dziennika,zakłócanie usług lub komunikacji itd.
* Ataki pasywne : Ich celem nei jest zmiana systemu docelowego, a;e raczej przechwytywanie danych przesyłanych przez podsłuchującego lub przez użycie sniffera pakietów aby uzyskać poufne lub tajnych informacji takich jak hasła lub numery kart kredytowcyh. Ataki pasynwe są również używane do przechwytywania informacji, które mogą pomóc atakującemu stworzyć mapę ataku sieci docelowej.
Niektóre w tych określonych metod używane są przez intruzów dla atakowania sieci z modyfikacją danych, podsłuchiwania, maskarady i ataku metodą powtórzenia.Inne popularne metody to wykorzystuywanie słabości kodowania przy użyciu przepełnienia bufora, zniekształcenie Uniform Resource Locators (URL) i innych metod
ataku mapa : Mapa sieci, którą intruz chce zaatakować. Kiedy intruz próbuje włamać się do sieci firmowej , pierwszym etapem ataku jest zwykle etap rozpoznania, w którym intru próbuje stworzyć mapę hostów i usług sieciowychw sieci. Intruz może wykonać mapowanie sieci firmowej używając wyszukiwarki dla znalezienia strony internetowej firmy a potem wykorzystać nslookup aby znaleźć adres IP serwera.
Kiedy adres IP jest już znanuy, zapytanie whois bazy danych ARIN może określić zakres adresów IP dla sieci i informacji administracyjnych, które mogą wskazywać czy serwer jest hostowany w firmowej strefie zdemilitaryzowanej (DMZ) lub u dostawcy Internetu. Jeśli serwer jest hostowany u dostawcy, atakujacy może mieć pecha .Ale jeśli firma ma własny blok adresów IP do których należy serwer, wtedy jeden host w sieci firmowej może być zidentyfikowany.
W tym miejscu, intruz może skanować blok adresów IP używając dostępnych narzędzi takich jak Nmap aby zobaczyć czy inne hosty w sieci są wystawione w Internecie (tryb niewidzialności jest używany przy uruchamianiu Nmap aby uniknąć wykrycia podczas procesu skanowania).
Po znalezieniu hostów i zidentyfikowaniu portów nasłuchu, intruz uzyskał wiedzę które usługi sieciowe są uruchomione na tych hostach a mapa ataku nabiera kształtu. Napastnik może następnie spróbować określić jaki systemy operacyjne są uruchomione na hostach. Dla usług sieciowcyh, można to zrobić używając telnetu wysyłając żadanie Hypertext Transfer Protocol (HTTP) GET do portu 80, ponieważ odpowiedź usługi na to żądanie zawiera nagłówki HTTP, które zazwyczaj zawierają takie informacje. Mając zidentyfikowany system operacyjny i usługi sieciowe uruchomione na hoście, intruz może stworzyć mapę , która potem pozwala mu przetestować popularne słabości.
audyt : zasada bezpieczeństwa ,która obejmuje przegląd informacji dotyczących aktywności użytkowników i systemu w poszukiwaniu niewłaściwych działań. Audyt jest istotnym elementem każdego programu bezpieczeństwa dla każdej sieci i większości systemów operacyjnych obsługujących jakąś formę audytu .Audyt może być rozpatrywany na dwa sposoby:
* Audyt proaktywny: obejmuje regularne przeglądanie dzienników kontroli szukając śladów prób włamania lub zaburzenia zachowania systemu
* Audyt bierny: jestto działalność kryminologiczna , wykonywana po tym jak system został naruszony.
Po włączeniu inspekcji w systemie, zbierane są informacje dotyczące określonych wydarzeń, takich jak logowania, dostęp do zasobów itd. Informacje te są następnie przechowywane w specjalnych plikach dziennika zwanych dziennikami kontroli, które następnie mogą zostać poddane przeglądowi w poszukiwaniu podejrzanych zachować lub monitorowania aktywności wykorzystania zasobów. Wiele aplikacji takich jak firewalle czy systemy wykrywania włamań (IDS) również wspierają różne formy audytu.
Audyt jest implementowany na różne sposoby w różnych systemach operqacyjnych i aplikacjach. Generalnie ,system audytu składa się z dwóch elementów:
* Zbierania danych , któe monitoruje system lub aplikację i zapisuje informacje w dziennikach kontroli
* Analizy danych, co pozwala administratorom na wyświetlanie, zapytanie i analizę dzienników kontroli dla wyszukiwania wzorców i zdarzeń
Jeśli chodzi o analizę informacji, może być wykonywana w jeden z następujących sposobów:
* Ręcznie przez okresowe badanie dzienników logowania przez administratorów za pomocą różnych narzędzi
* Automatycznie , używając metod statystycznych lub opartych na zasadach eksperckich, podejściu generalnie używanym przez IDS
Systemy audytu również mogą być implementowane na różne sposoby:
* Lokalny audyt: Każdy system jest odpowiedzialny za utrzymywanie własnych inforamcji inspekcji
* Audyt rozproszony: Gromadzenie informacji jest prowadzone przez różne systemy w sieci i albo przechowywane są centralnie dla przetwarzania i analizy w trybie rozproszonym dla równoważnego obciążenia przetwarzania.
Nie ma jednego stadanrdowego formatu, jakie informacje powinny być audytowane przez system lub jak powinny być przechowywane. Pewne standardy takie jak Security Criteria for Distributed Systems, opracowane przez Institute for Defense Analysis lub Trusted Computer Systems Evaluation Criteria z National Computer Security Center są pomocne w podejmowaniu decyzji o rodzaju zdarzeń jakie system komputerowy powinien móc audytować ,ale różni sprzedawcy zazwyczaj różnie implementują takie standardy. I pomimo różnych prób standaryzacji formatów dzienników logowania, szczególnie na platformie UNIX, nie ma uniwersalnego formatu, który osiągnąłby szeroką akceptację.
audit log [dziennik kontroli] : Plik logowania zawierający informacje audytowe dla aplikacji lub systemu. Są one zapisem informacji monitorowania bezpieczeństwa i odpowiedzialności aplikacji i systemów Nie ma standardowego lub uniwersalnego formatu dla tych dzienników, chociaż były różne próby tworzenia takiego formatu zwłaszcza na paltformach UNIX. Przykłady takich proponowanych standardowych formatów plików objemują:
* Bishops Standard Audit Trail Format
* Normalized Audit Data Format (NADF)
Na paltformach Microsoft Windows, audyt jest kontrolowany przez zasady audytu konfigurowane przy użyciu Lokalnych Zasad Bezpieczeństwa lub Zasad Grupy, w zależności od tego czy maszyna jest uruchomiona w grupie roboczej czy usłudze Active Directory
Większość systemów UNIX utrzymuje rózne typy informacji audytu w tym :
* Logi logowania: Prowadzą rejestr konsoli logowania, używają rsh oraz sesji telnet, File Transfer Protocol (FTP) i X. Logi te są zazwyczaj umieszczone w hierarchii albo w /etc albo w /var
* Logi systemowe:Prowadzą zapisy z róznych działań systemu w zestawie dziennioków określonych przez /etc/syslog.conf
Kliedy sprawdzasz syslogs, poszukaj podejrzanych działań takich jak :
* Próby dostępu do /etc/passwd, które mogą wskazywać ,że ktoś próbował uzyskać kopie haseł.
* Nieudane próby użycia SU, co może wskazywać ,że ktoś próbował uzyskać dostęp do roota w systemie
* Zaginione pliki dziennika,zaginione logi wejściowe lub niezwykłą ilość dziennika działań w pewnym czasie, co może wskazywać ,że system został złamany a pliki dziennika zmodyfikowane.
Auditpol : narzędzie w Microsoft Windows NT dla zarządzania audytem na serwerach uruchomionych na Windows NT. Pozwala administratorowi włączać, wyłączać lub podglądać audytowane informacje na zdalnych serwerach pod Windows NT. Auditpol jest czasami używany przez intruzów dla wyłączania audytu na serwerach uruchamianych w sieciach jakie penetrują. Jest to robione przez ukrycie odcisków palca włamywacza i spowodowanie trudniejszym do określenia jak intruz się dostał i jakie podjął działania. Auditpol wymaga uwierzytelnienia administratora, jednak, ale ważnym krokiem w zapobieganiu tego typu atakom jest pewność ,że konto administratora jest bezpieczne i ma silne hasło.
audit policy [zasady kontroli] : Zasady, które określają poziom i rodzaj audyty wykonywanego przez system lub aplikację. Zasady kontroli umożliwiają zarządzanie oparte na regułach audytu różnych systemowych wydarzeń takich jak logowanie, dostęp do usługi katalogowej, użycie uprawnień, śledzenie procesu itd. Zasady kontroli mogą być impolementowane na różnych platformach w tym Cisco, Microsoft Windows oraz różnych paltformach UNIX. Na przykład Secure IDS, system wykrywnia włamań (IDS) firmy Cisco, umożliwia tworzenie zasad kontroli dla audytowania ruchu sieciowego przez router. Tu audyt jest wykonywany w przypadku kiedy pakiety IP przechodzą przez interfejs routera i są porównywane z sygnaturami skonfigurowanymi dla tego interfejsu.
Polecenie IP Audit jest używane do tworzenia zarówno globalnych zasad kontroli jak i pojedynczych, oddzielnych zasad dla ruchu przychodzącego i wychodzącego w każdym interfejsie. Na platformach Windows, zasady kontroli pozwalają administartorom skonfigurować to jak kontrola jest przeprowadzana. Zasady te są konfigurowane w podwęzła Lokalnej Zasady Bezpieczeństwa (lub przy użyciu Zasad grupy w scenariuszu usługi Active Directory) o nazwie Zasady Audytu. Typy zdarzeń kontrolowanych przez te zasady są następujące:
* Zdarzenie logowania na konto, takie jak logowanie udane lub nieudane
* Zdarzenie związane z zarządzaniem konta obejmujące tworzenie i usuwanie kont, zmiana lub odblokowywanie haseł itd
* Dostęp do obiektów w Active Directory, systemu plików Windows, drukarek lub rejestru
* Zdarzenia zmiany Zasad np. w przypadku zasad hasła, zasad audytu lub modyfikacji innych zasad
* Używanie uprawnień kiedy użytkownik wykonuje prawa systemu
* Śledzenie procesu wliczając w to uruchamianie programów, pośredni dostęp do obiektów itd
* Zdarzenia systemowe takei jak wyłączanie lub ponowne uruchamianie systemu
audit trail [dziennik nadzoru] : zapis zdarzeń generowanych przez aplikację, system lub organizację. Dzienniki nadzoru są generalnie tworzone w celu zapewnienia możliwści kontu dla działania aplikacji, systemów lub osób w organizacji. Mogą być tworzone automatycznie (na przykład, przez włączenie kontroli w aplikacji lub systemie operacyjnym) lub ręcznie (na przykłąd przez przechodzenie zapisów notatek i innych dokumnetów związanych z zachowaniem osób). Dzienniki kontroli mogą również mieć inne zastosowanie oprócz zapewnienia odpowiedzialności w tym:
* Umożliwienie aplikacjom, systemom i procesom biznesowym monitorowanie wykrywania potencjalnych lub zbliżających się problemów, nadużyć zasobów lub do innych celów
* Umożliwienie zdarzeniom odbudowy po włamanich, kradzieży lub innych przestępstw, określając kto był zaangażowany i co zrobił.
W przypadku systemów komputerowych i aplikacji, dzienniki kontroli są generalnie tworzone automatycznie kiedy włączone jest audytowanie, a dzienniki kontroli są przechowywane w formacie nazwanym dziennikiem logowania.
Augmented Key Exchange (AKE) : protokół wymiany klucza w systemach kryptografii klucza publicznego. AKE został zaprojektowany dla dostarczania wzajemnegi uwierzytelniania i uzgadnia klucza między użytkownikami w systemie klucza publicznego. AKE został opracowany przez Bellovina i Merritta aby zaradzić brakom bezpieczeństwa w ich wcześniejszym protokole Encrypted Key Exchange (EKE) .AKE robi to przez wymóg, aby serwery weryfikacji nie przechowywały hasła w postaci zwykłego tekstu. W przeciwnym razie działa podobnie do EKE.
AUP : oznacza zasady dopuszczalnych działań, które definiują właściwe zastosowanie zasobów obliczeniowych dla firmy lub organizacji.
authentication [uwierzytelnienie] : proces określania tożsamości użytkownika lub innej jednostki. Uwierzytelnienie jest procesem, któy weryfikuje czy jednostka jest tym za kogo się podaje.
Jednostki które mogą wymagać uwierzytelnienia przez systemy komputerowe to użytkownicy, komputery i procesy. W typowym systemie komputerowym, uwierzytelnianie użytkownika odbywa się podczas procesu logowania, kiedy użytkownik wprowadza zwykle swoją nazwę i hasło .W sieci opartej o Microsoft Windows, która używa usługi Active Directory, użytkownicy mogą być proszeni o podanie swojej domeny jako część ich poufnych danych.
Uwierzytelnianie jest również stsosowane w wiadomościach elektronicznych do określania tożsamości jednostki, która podpisała wiadomość (uwierzytelnianie jednostki) i do zweryfikowania czy wiadomość nie została zmodyfikowana (uwierzytelnianie danych). Uwierzytelnianie może być zaimplementowane na wiele sposobów i form:
* Uwierzytelnianie oparte o adres: metoda która używa adresu sieciwoego hosta jako jego tożsamości dla celów uwierzytelniania
* dostęp anonimowy: metoda używana przez Internet Information Services (IIS) pozwalająca na anonimowy dostę do publicznych stron WWW
* Uwierzytelnianie ASP.NET Forms: metoda dla bezpiecznego uwierzytelniania użytkowników do stron WWW obsługiwanych przez Windows Server
* Uwierzytelnianie podstawowe: sposób logowania RFC do stron WWW i FTP
* Uwierzytelnianie biometryczne: uwierzytelnianie , które weryfikuje tożsamość za pomocą cech fizycznych takich jak odciski palców lub skanowanie siatkówki
* Uwierzytelnianie oparte o certyfikaty: metoda, która wykorzystuje cyfrowe certyfikaty i Public Key Infrastructure (PKI) dla uwierzytelnienia użytkowników
* Uwierzytelnianie Digest : wariant uwierzytelniania podstawowego które hashuje hasła przed ich przekazaniem
* Kerberos: bezpieczna metoda uwierzytelniania zdefiniowana w RFC 1510 i używana w Microsoft Windows 2000 i Microsoft Server 2003
* Karty Smart: metoda uwierzytelniania, która wykorzystuje karty z wbudowanymi mikroprocesorami zawierającymi zaszyfrowane dane o użytkowniku
* Windows BT Challenge/Response : zwane również NTLM (NT LAN Manager)
Uwierzytelnianie, autoryzacja i zarządzanie kontami (AAA) : struktura bezpieczeństwa dla kontroli dostępu do zasobów sieciowych. Uwierzytelnienie, autoryzacja i zarządzanie kontami (AAA) lub Triple-A, to struktura bezpieczeństwa, która spełani trzy funkcje:
* Uwierzytelnianie : definiuje kto może mieć dostęp do sieci
* Autoryzacja: ustala , do czego użytkownik może mieć dostęp po uwierzytelnieniu
* Zarządzanie kontem: prowadzenie zapisów prac użytkownika po uwierzytelnieniu i autoryzacji
AAA nie jest stadandardem internetowym, ale jest sklasyfikowany prze Internet Engineering task Force (IETF) jako eksperymentalnyi zdefiniowany w RCF 2903 "Ogólna Architektura AAA". Liczni sprzedawcy implementują schemat AAA.
authentication header (AH) [nagłówek uwierzytelnienia] : protokół bezpieczeństwa, który dostarcza usługi uwierzytelniania poprzez Internet Protocol Security (IPSec). AH zapewnia ,że pakiety Internet Protocol (IP) nie zostały naruszone podczas sesji IPSec. Czyni to przez działanie jak podpis cyfrowy dla tego pakietu, zapewniając tym samym integralność danych.
AH może być używany samodzielnie lub wraza Encapsulating Security Protocol (ESP), jeśli protoków integralności danych jest wymagany. AH może opcjonalnie dostarczyć usługi powtórnego wykrywania ,ale nie dostarcza danych szyfrowania i deszyfrowani danych. AH jest opisany w RFC 2402. Na poziomie pakietu, AH jest implementowany róznie w zależności od tego jak jest skonfigurowany IPSec. Szcególnie, kiedy IPSec jest uruchomiony w trybie transportu, AH następuje po nagłówku IP i poprzedza nagłówek Transmission Control Protocol (TC) lub User Datagram Protocol (UDP).
Kiedy jest używany tryb tunelowania , nagłowek AH jest umieszczany między nowym a pierwotnym nagłówkiem IP. Uwierzytelnianie AH jest wykonywane przy użyciu kluczowanego kodu uwierzytelniania wiadomości (MAC) lub hashowanego kodu uwierzytelniania wiadomości (HMAC). Algorytmy uwierzytelniania albo używają HMAC z MD5 albo HMAC z SHA-1
authentication package [pakiety uwierzytelniania] : kod któy łączy w sobie logikę dla uwierzytelniania użytkowników. W Windows, pakiety te są implementowane jako biblioteki łączone dynamicznie (DLL) i są używane do implementacji funkcji protokołów bezpieczeństwa. Kiedy Local Security Authority (LSA) odbiera żądanie logowania, uwierzytelnia użytkownika przez załadowanie właściwego pakietu uwerzytelniania w oparciu o informacje zawarte w systemie Rejestru. Pakiet uwierzytelniania określa piotem czy użytkownik powinien być dopuszczony do logowania w systemie lub sieci, włączając nową sesję logowania dla użytkownika i przekazuje informacje do LSA, który włącza go do wygenerowania bezpiecznego tokenu dla użytkownika.
Dwa pakiety uwierzytelniania domyślne na platformie Microsoft Windows to:
* MSV1_0 Authentication Package
* Kerberos SSP/AP
authentication server (AS) [serwer uwierzytelniania] : Jednen z dwóch typów serwerów w centrum dystrybucji klucza (KDC) Kerberos. W implementacji Kerberosa, KDC wykorzystuje dwa typy serwerów: serwera przyznającego bilety (TGS) i serwer uwierzytelniania (AS). AS wykouje krok początkowego uwierzytelniania użytkownika do TGS, któy potem wykonuje kolejne kroki uwierzytelniania użytkownika do chronionych usług. To dwukrokowe podejście chroni użytkownika przed koniecznością ponownego wpisywania hasłą za każdym razem keidy chce uzyskać dostęp do usługi.
Authenticode : funkcja Internet Explorera, która daje użytkownikowi wiedzę,że oprogramowanie jakie ściąga jest zauafane. Authenticode jest mechanizmem, który pozwala na podpisom cyfrowym na dołączanie do ściąganego oprogramowania z Internetu, zwłaszcza kontrolek ActiveX, plików cab, plików wykonywalnych, DLL i plików katalogowych. Kiedy użytkownik próbuje ściągnąć podpisaną kontrolkę ActiveX, pojawi się komunikat wskazujący ,że kod pochodzi odproducenta i nie został zmodyfikowany przez osoby trzecie. Użytkownik decyduje czy przyjąć komunikat , pobrać i uruchomić kontrolkę czy ją odrzucić.
Autoryzacja : proces udostępniania praw jednostkom pozwalajacych im na dostęp do zasobów sieciowych. Generalnie proces autoryzacji może być wykonany na dwa sposoby:
* Autoryzacja oparta o role: tutaj użytkownicy są podzieleni na logiczne role, w których członkowie roli współdzielą to samo uprzywilejowanie. Zasoby sieciowe są dostępne przy użyciu stałej tozśamości, na przykład tożsamości procesu dla aplikacji sieciowych, i odpowiedzialnością aplikacji jest poporawna autoryzacja.
* Autoryzacja oparta o zasoby: tu zasoby są zabezpieczone przy pomocy list kontrolo dostępu (ACL), które określają , jacy użytkownicy mogą uzyskiwać dostęp do zasobów, a którzy mogą wykonywać odczyt czy modyfikację pliku. W tym scenariuszu, zasoby sieciowe są dostępne przy personifikacji
Autoryzacja i uwierzytelnianie idą w parze, ponieważ autoryzacja dostępu do zasobów sieciowych najpierw wymaga aby użytkownicy byli uwierzytelnienie przy dostępie do tej sieci.
Autoryzacja pełzająca : termin opsiujący jak użytkownicy mogą uzyskać nadwyraz wysoki poziom uprzywilejowania wewnątrz firmy lub orgranizacji. Kiedy użytkownicy przechodzą z jednego działu do innego, czasami posiadają dostęp do dokumnetów z ich poprzedniego miejsca nawet jeśli to nie jest dłużej potrzebne. Taki scenariusz jest czasami nazywany pełazającym uwierzytelnieniem ponieważ ermin sugeruje powolne ale niewidoczne zwiększanie dostępu uprzywilejowania uwierzytelnionych użytkowników wewnątrz dużej organizacji. Rozwiązaniem tego problemu jest zapewnienie ,że kiedy użytkownik zmienia racę lub pozycję, jego uprawnienia są rewidowane przez zarządzających.
Autologowanie : metoda logowania, w której użytkownik automatycznie loguje się do systemu lub sieci. Autologowanie pozwala użytkownikom na logowanie się bez konieczności podawania danych za każdym razem kiedy chcą zalogować się do swojego komputera lub sieci. Autologowanie może wydawać się wygodne, to jednak zasadniczo nie jest zalecane z wyjątkiem komputerów używanych w kioskach. Serwery które są fizycznie zabezpieczone mogą również używać z autologowania, ale nie jest to zalecane, ponieważ autologowanie w zasadzie omija wszystkei środki bezpieczeństwa na komputerze i umożliwia każdemu, kto może uzyskać fizyczny dostęp do komputera, na dostęp do zasobów wpsółmiernych do poziomu uprawnień użytkownika tego komputera. W związku z tym pomysł autologowania do konta Administratora to wyjątkowo zły pomysł.
Autorooter : Zautomatyzowane narzędzie dla wykrywania słabych zabezpieczeń w sieciach. Termin autorooter jest wykorzystywany głównie w społeczności czarnych kapeluszy, jako narzędzie lub zestaw narzędzi które mogą automatycznie skanować dużą liczbę systemów szukając słabych miejsc do wykorzystania. Większość autorooterów działa tworząc najpierw listę adresów IP w odniesieniu do żywych systemów wewnątrz określonego zakresu adresów połączonych z Internetem. Potem narzędzie sanuje te systemy dla zidentyfikowania jakie systemy operacyjne są uruchomione i dla identyfikacji usług sieciowych lub aplikacji uruchomionych na nich. W końcu ,narzędzie wykonuje zautomatyzowany exploit przeciwko usłudze lub aplikacji, które mają znane luki.