分類
CISSP

虛擬局域網擴展VXLAN

虛擬局域網擴展(Virtual Extensible LAN, VXLAN)是一種網路虛擬化技術,它試圖改善大雲計算部署相關的可擴展性問題。它採用類似VLAN封裝技術封裝基於MAC含括第 4 層的UDP封包的 OSI 第2層 乙太網影格 ,使用 4789 作為預設分配的 IANA 目的地 UDP 埠號。[1]

VXLAN 是努力覆蓋封裝協定的演變,它提高了可擴展性達 1600 萬個邏輯網路,並允許透過IP網路鄰接第 2 層。使用 HER (Head-End Replication)的 多播 或 單播 是用來淹沒 BUM (broadcast, unknown destination address, multicast) 流量

VXLAN 規格一開始是由 VMwareArista Networks 和 Cisco 建立的 [2][3],其他的 VXLAN 技術擁護者包括HuaweiBroadcomCitrix、Pica8、Cumulus Networks、Dell、Mellanox、[4] OpenBSD、[5] Red Hat[6] 和 Juniper Networks

VXLAN 正式由 IETF 記錄在 RFC 7348 內。Open vSwitch 支援VXLAN覆蓋網路。

VXLAN的作用

VXLAN可以為網路提供以下作用:

  • 突破 VLAN的最多 4096 個終端的數量限制,以滿足大規模雲計算資料中心的需求。目前因為現在虛擬化技術的發展,在資料中心裏的伺服器都類比成虛擬機 (VM),而且 VM 一般都會需要分割成組,達成二層隔離,目前大多是透過 VLAN 技術實現的。但 VLAN 技術的缺陷是 VLAN Header 預留的長度只有12 bit,最多只能支援4096個,無法滿足日益增長的需求。目前 VXLAN 的報文 Header 內有 24 bit,可以支援 2的24次方的 VNI 個數。(VXLAN中透過 VNI 來識別,相當於VLAN ID)
  • 解決 STP在大型網路裝置頻寬浪費和收斂效能變慢的缺陷。在資料中心一旦啟動 STP,將導致鏈路頻寬的浪費。此外,當拓撲增加到二百台網路裝置時,收斂效能會顯變慢。
  • 解決 ToR (Top of Rack) 交換機 MAC表耗盡問題。二層網路出現後,不僅要記錄資料中心二層裝置的 MAC 位址,還得記錄其他資料中心二層範圍內的位址,這包括了海量的虛擬機器的 MAC 位址,這增加了 TOR MAC表的需求。但目前的交換機晶片遠遠無法滿足此一需求。

資料來源:https://zh.wikipedia.org/wiki/%E8%99%9B%E6%93%AC%E5%B1%80%E5%9F%9F%E7%B6%B2%E6%93%B4%E5%B1%95

分類
CISSP

Content-Dependent Control 依賴內容的控制 &Context-Dependent Control 依賴上下文的控 制

Basic concepts

One of the primary concepts in access control is to understand the subject and the object.

subject may be a person, a process, or a technology component that either seeks access or controls the access. For example, an employee trying to access his business email account is a subject. Similarly, the system that verifies the credentials such as username and password is also termed as a subject.

An object can be a file, data, physical equipment, or premises which need controlled access. For example, the email stored in the mailbox is an object that a subject is trying to access.

Controlling access to an object by a subject is the core requirement of an access control process and its associated mechanisms. In a nutshell, a subject either seeks or controls access to an object.

基本概念
訪問控制的主要概念之一是理解主體和客體。主體可以是尋求訪問或控制訪問的人、過程或技術組件。例如,試圖訪問其企業電子郵件帳戶的員工就是一個主題。同樣,驗證用戶名和密碼等憑據的系統也稱為主體。對象可以是需要受控訪問的文件、數據、物理設備或場所。例如,存儲在郵箱中的電子郵件是主題試圖訪問的對象。控制主體對對象的訪問是訪問控製過程及其相關機制的核心要求。簡而言之,主體尋求或控制對客體的訪問。

An access control mechanism can be classified broadly into the following two types:

  1. If access to an object is controlled based on certain contextual parameters, such as location, time, sequence of responses, access history, and so on, then it is known as a context-dependent access control. In this type of control, the value of the asset being accessed is not a primary consideration. Providing the username and password combination followed by a challenge and response mechanism such as CAPTCHA, filtering the access based on MAC adresses in wireless connections, or a firewall filtering the data based on packet analysis are all examples of context-dependent access control mechanisms.Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) is a challenge-response test to ensure that the input to an access control system is supplied by humans and not by machines. This mechanism is predominantly used by web sites to prevent Web Robots(WebBots) to access the controlled section of the web site by brute force methods

訪問控制機制可以大致分為以下兩種類型:
如果對對象的訪問是基於某些上下文參數(例如位置、時間、響應順序、訪問歷史等)來控制的,那麼它被稱為上下文相關的訪問控制。在這種類型的控制中,被訪問資產的價值不是主要考慮因素。提供用戶名和密碼組合,然後是驗證碼等質詢和響應機制,根據無線連接中的 MAC 地址過濾訪問,或基於數據包分析過濾數據的防火牆都是上下文相關訪問控制機制的示例。完全自動化的公共圖靈測試來區分計算機和人類 (CAPTCHA) 是一種挑戰-響應測試,以確保訪問控制系統的輸入由人類而非機器提供。該機制主要由網站使用,以防止網絡機器人(WebBots)通過蠻力方法訪問網站的受控部分

2.If the access is provided based on the attributes or content of an object,then it is known as a content-dependent access control. In this type of control, the value and attributes of the content that is being accessed determines the control requirements. For example, hiding or showing menus in an application, views in databases, and access to confidential information are all content-dependent.

如果訪問是基於對象的屬性或內容提供的,則稱為內容相關訪問控制。在這種類型的控制中,被訪問的內容的值和屬性決定了控制要求。例如,隱藏或顯示應用程序中的菜單、數據庫中的視圖以及對機密信息的訪問都取決於內容。

資料來源:https://hub.packtpub.com/cissp-security-measures-access-control/

資料庫的資料給不給看, 或給多少資料看, 都是一種存取控制. Context這個字, 可以解釋成subject及object以外的東西, 都是context. (ABAC以屬性為基礎的存取控制就是這樣的觀點, 依subject, object, 及context/environment的屬性來授權).
除了控制資料要揭露多少以外(content-dependent), 也可以由環境來控制(存取的時間, 位置等).

分類
CISSP

ISO OSI 參考模型的數據鏈路層(Data Link layer)-邏輯鏈路控制(logic link control)

https://ithelp.ithome.com.tw/upload/images/20210622/201321606xSgGi0csg.png
-圖片來源:TelecomWorld 101
ISO OSI 參考模型的數據鏈路層從 IEEE 的角度可以分為兩個子層:邏輯鏈路控制(LLC)和媒體訪問控制(MAC)。

邏輯鏈路控制 (LLC)
LLC處理以下問題:
流量控制:例如,滑動窗口
錯誤控制
. 錯誤檢測:例如,循環冗餘校驗 (CRC)
. 糾錯:例如,重傳

媒體訪問控制 (MAC)
以下是三種眾所周知的媒體訪問機制:
. 令牌傳遞
. CSMA/CD
. CSMA/SA

參考
IEEE802.2 – 邏輯鏈路控制層 (LLC)
數據鏈路層的錯誤檢測和糾正
數據鏈路層的流量控制

資料來源: Wentz Wu QOTD-20210404

分類
CISSP

一次性密碼 (One-time pad:OTP)

一次性密碼(one-time pad)和一次性密碼(one-time passoword )的首字母縮寫詞都是 OTP。然而,它們是不同的,根本沒有關係。一次性密碼是一種對稱密碼,需要一個隨機密鑰,而一次性密碼是動態生成的密碼,僅對一個且僅特定的登錄會話有效。
. RSA 數字簽名算法生成強制不可否認性的數字簽名。
. 基於時間的一次性密碼 (Time-based One-Time Password :TOTP) 是一種一次性密碼,它依賴於時間作為生成算法的輸入參數之一。
. 基於散列的消息認證碼 (Hash-based Message Authentication Codes :HMAC) 依靠散列函數和共享密鑰來計算消息認證碼以驗證真實性。

參考
一次性密碼 (one-time pad :OTP)
一次性密碼(one-time passoword)

資料來源: Wentz Wu QOTD-20210403

分類
CISSP

強制存取控制(Mandatory access control)

強制存取控制是訪問控制策略或要求;這不是一個正式的模型。相反,它可以通過正式模型來實現。模型是一個詳細描述或實體的縮放表示; 一個正式的模型是應用數學為基礎的符號和語言制定了嚴格的模型。
. **有限狀態機(Finite state machine)**是一種常見的形式模型。
. **信息流模型(information flow model)**並不是真正的模型,而是泛指能夠控制信息流的形式模型。無干擾模型(non-interference model)也是如此。但是,大多數學習指南將它們視為“模型”。這個問題遵循這個觀點。
EAL 7 產品意味著它以正式設計為後盾。
https://ithelp.ithome.com.tw/upload/images/20210619/20132160Abx7dUYNFr.jpg
-通用標準 EAL

參考
模型
形式方法
可信計算機系統評估標準
貝爾-拉帕杜拉模型
認證產品清單 – 統計

資料來源: Wentz Wu QOTD-20210402

分類
CISSP

緩衝區溢出和記憶體洩漏(Buffer Overflow and Memory Leak)

https://ithelp.ithome.com.tw/upload/images/20210618/20132160vH7blOlAPj.jpg
-進程的記憶體佈局
**緩衝區(Buffer)**是指用於存儲特定大小數據的一段內存。如果數據大小大於緩衝區大小,它就會溢出。它通常會導致異常受特權提升或返回到堆棧中的代碼地址。如果正確安排輸入驗證和異常處理程序,可以有效地緩解緩衝區溢出。
**記憶體洩漏(Memory leak)**是一個常見的應用程序問題。應用程序或進程在由操作系統加載和啟動時被分配了有限的記憶體大小,也就是堆。該進程可能會請求記憶體段,但不會將它們返回給操作系統。可用內存最終用完了。性能越來越差,可能會導致進程崩潰。現代運行時框架,例如 .NET、JVM,提供垃圾收集或引用計數器來解決這個問題。

資料來源: Wentz Wu 網站

分類
CISSP

別會錯意!“I am at your disposal.” 不是「任你處置」

摘要

“At your disposal”原來不是任你處置?Disposable income 跟丟棄又有什麼關係?這篇整理了常見幾個Dispose衍生用字與用法,像是「謀事在人,成事在天」也跟Dispose有關係!

James 的部門來了新的外籍同事,在交付工作事項之後,外籍同事對他說:“I am at your disposal.”

James 嚇了一跳,disposal 不是抛棄嗎?自己一直很和善,並沒有要抛棄這位新同事啊!

原來這是句禮貌話,和抛棄完全無關。

I am at your disposal.

(X)我任你棄置。

(O)我很樂意提供任何協助。

這麼說就好像是說:“Just let me know if you need my help.” 只是更正式一些。

在解釋 at your disposal 前,先看看 dispose 這個字。

Dispose

Dispose 是 dis 和 pose 兩個字的組合。【dis →分離 + pose→位置】,讓一個東西離開它本來位置的意思。

它有解決掉、佈置,進一步延伸就是「使人傾向於做某件事」…的意思。來看幾個例句:

I want to dispose of these old books. 我想處理掉這些舊書。(很容易漏掉of)

Man proposes, God disposes. 謀事在人,成事在天。

The good pay disposed him to take the job. 高薪促使他接受了這份工作。

Disposable income

Dispose 的形容詞 disposable,最常見的用法是「可丟棄的」,像免洗筷,就是 disposable chopsticks。但不要以為disposable income 是可丟棄的收入,那就搞不清這是什麼意思。這裡的 disposable 意思是「可任意處理的」。

(X)可丟棄的收入

(O)可支配的收入

Disposal

Disposal 是清除、處理、抛棄。所以廢棄物處理叫做 garbage disposal。

The sanitation department is in charge of garbage disposal. 環境衛生部門負責處理垃圾。

前面提過 dispose 也是佈置,它的名詞 disposal 也一樣,可以當「佈置」。

They spent quite some time on the disposal of furniture in their new restaurant. 他們在新餐廳的傢俱佈置上花了相當多的時間。

Disposal還可以延伸為「處置權」,at someone’s disposal 就是用這層意思。

用法大家可能不熟悉,來多看幾個例句:

A huge supply of books is at your disposal in the library. 圖書館裡有大量的圖書任你學習使用。

I don’t have a car at my disposal. 我剛好沒有可用的車。

資料來源:https://www.businessweekly.com.tw/careers/blog/3003725

分類
CISSP

基於格的訪問控制模型(a lattice-based access control model)

“格是在有序理論和抽象代數的數學子學科中研究的抽象結構。它由一個偏序集合組成,其中每兩個元素都有一個唯一的上界(也稱為最小上界或連接)和唯一的下界(也稱為最大下界或相遇)。” (維基百科
安全格通常用於控制安全級別/類別或隔間之間的信息流。分類和標記是基於格的訪問控制的兩個主要特徵。
基於晶格的訪問控制(Lattice-based Access Control)
Ravi S. Sandhu 在這篇名為 Lattice-Based Access Control Models 的論文中回顧了三種基於格的訪問控制模型(Bell-LaPadula、Biba 和 Chinese Wall),該論文展示瞭如何在格框架中執行 Chinese Wall 策略,並表示:
開發了基於晶格的訪問控制模型來處理計算機系統中的信息流。信息流顯然是保密的核心。正如我們將看到的,它在某種程度上也適用於完整性。它與可用性的關係充其量是微不足道的。因此,這些模型主要關注機密性並且可以處理完整性的某些方面。

貝爾-拉帕杜拉模型(Bell-LaPadula Model)
https://ithelp.ithome.com.tw/upload/images/20210617/201321609mcxyq6hoP.jpg
-貝爾-拉帕杜拉模型

比巴模型(Biba Model)
https://ithelp.ithome.com.tw/upload/images/20210617/201321605F48VHrzVI.jpg
-比巴模型

布魯爾和納什模型(Brewer and Nash model)
Brewer 和 Nash 模型將數據集分類為利益衝突類並標記它們以根據主體的訪問歷史(也稱為基於歷史)動態應用訪問控制。
https://ithelp.ithome.com.tw/upload/images/20210617/201321604tCMZksBGL.jpg
-布魯爾和納什模型(中國牆)

克拉克-威爾遜模型(Clark-Wilson Model)
Clark-Wilson 模型有兩個特點:格式良好的交易和職責分離。它依靠“程序”來強制執行完整性,而不是為了保密而控制信息流。
David D. Clark 和 David R. Wilson 在他們的論文《商業和軍事計算機安全政策的比較》中說:
本文提出了一種基於商業數據處理實踐的數據完整性策略,並將該策略所需的機制與強制執行信息安全點陣模型所需的機制進行了比較。我們認為格模型
不足以表徵完整性策略,需要不同的機制來控制披露和提供完整性……
首先,通過這些完整性控制,數據項不一定與特定的安全級別相關聯,而是與一組允許對其進行操作的程序相關聯。其次,用戶沒有被授予讀取或寫入某些數據項的權限,但可以對某些數據項執行某些程序……
https://ithelp.ithome.com.tw/upload/images/20210617/20132160ovia2WiOeK.png
-Clark-Wilson 誠信模型(圖片來源:Ronald Paans
參考
可信計算機系統評估標準
貝爾-拉帕杜拉模型

資料來源: Wentz Wu QOTD-20210401

分類
CISSP

點對點隧道協定(PPTP)&第二層隧道協定(L2TP)

點對點隧道協定(英語:Point to Point Tunneling Protocol,縮寫為PPTP)是實現虛擬私人網路(VPN)的方式之一。PPTP使用傳輸控制協定(TCP)建立控制通道來傳送控制命令,以及利用通用路由封裝(GRE)通道來封裝對等協定(PPP)封包以傳送資料。這個協定最早由微軟等廠商主導開發,但因為它的加密方式容易被破解,微軟已經不再建議使用這個協定。

PPTP的協定規範本身並未描述加密身分驗證的部份,它依靠對等協定(PPP)來實現這些安全性功能。因為PPTP協定內建在微軟Windows家族的各個產品中,在微軟對等協定(PPP)協定堆棧中,提供了各種標準的身分驗證與加密機制來支援PPTP [1]。 在微軟視窗系統中,它可以搭配PAPCHAPMS-CHAP v1/v2或EAP來進行身分驗證。通常也可以搭配微軟點對點加密(MPPE)或IPSec的加密機制來提高安全性[2]

WindowsMac OS平台之外,Linux與FreeBSD等平台也提供開放原始碼的版本。

資料來源:https://zh.wikipedia.org/wiki/%E9%BB%9E%E5%B0%8D%E9%BB%9E%E9%9A%A7%E9%81%93%E5%8D%94%E8%AD%B0

第二層隧道協定(英語:Layer Two Tunneling Protocol,縮寫為L2TP)是一種虛擬隧道協定,通常用於虛擬私人網路。L2TP協定自身不提供加密與可靠性驗證的功能,可以和安全協定搭配使用,從而實現資料的加密傳輸。經常與L2TP協定搭配的加密協定是IPsec,當這兩個協定搭配使用時,通常合稱L2TP/IPsec。

L2TP支援包括IPATM影格中繼X.25在內的多種網路。在IP網路中,L2TP協定使用註冊埠UDP 1701。[1]因此,在某種意義上,儘管L2TP協定的確是一個資料鏈路層協定,但在IP網路中,它又的確是一個對談層協定。

資料來源:https://zh.wikipedia.org/wiki/%E7%AC%AC%E4%BA%8C%E5%B1%82%E9%9A%A7%E9%81%93%E5%8D%8F%E8%AE%AE

分類
CISSP

域名金鑰辨識郵件(DomainKeys Identified Mail,DKIM)

域名金鑰辨識郵件DomainKeys Identified Mail,DKIM)是一套電子郵件認證機制,使用公開金鑰加密的基礎提供了數位簽章身分驗證的功能,以檢測寄件者、主旨、內文、附件等部份有否被偽冒或竄改。

一般來說,發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

優點

DKIM的主要優點是可以讓寄件者有效地表明身分,讓收件者可憑藉公鑰確認寄件者並非偽冒、內文未經竄改,提高電子郵件的可信度。郵件過濾器可使用白名單及黑名單機制更可靠地檢測網路釣魚垃圾電子郵件

資料來源:https://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E5%AF%86%E9%92%A5%E8%AF%86%E5%88%AB%E9%82%AE%E4%BB%B6