分類
CISSP

L2TP最不可能用於加密 VPN 連接中的數據

https://ithelp.ithome.com.tw/upload/images/20211105/20132160DIGEKxJZrk.jpg
-VPN 訪問(來源:ActForNet)
VPN 是一種通過隧道連接節點的虛擬網路。L2F、PPTP 和 L2TP 是早期的隧道協議。通過 VPN 隧道傳輸的數據通常由安全協議加密,例如 SSL/TLS、IPsec、SSH、MPPE。
L2F 不提供加密。PPTP 使用 MPPE(Microsoft 點對點加密)加密數據。L2TP 本身建立隧道但不加密數據;它通常通過 IPsec 強制保密。
Secure Shell (SSH)是一種加密網路協議,用於在不安全的網路上安全地運行網路服務。” (維基百科)它可用於建立 SSH VPN 或與其他隧道協議一起使用。
https://ithelp.ithome.com.tw/upload/images/20211105/2013216035Xn0ZWeQh.png
-SSH隧道

參考
NIST SP 800-77 R1
NIST SP 800-113
如何使用 SSH 配置端口轉發
如何找到SSH隧道

資料來源: Wentz Wu QOTD-20210827

分類
CISSP

IEEE 802.1X

IEEE 802.1XIEEE制定關於使用者接入網路的認證標準(注意:此處X是大寫[1]),全稱是「基於埠的網路接入控制」,屬於IEEE 802.1網路協定組的一部分。於2001年標準化,之後為了配合無線網路的接入進行修訂改版,於2004年完成。它為想要連接到LANWLAN的裝置提供了一種認證機制。

IEEE 802.1X協定在使用者接入網路(可以是乙太網路802.3或者WLAN網)之前執行,執行於網路中的資料鏈路層EAP協定RADIUS協定。

IEEE 802.1X定義了在IEEE 802上執行擴充認證協定(EAP,即”EAP over LAN”或EAPOL[2])的封裝方式[3][4]。EAPOL最初被定義在802.1X-2001,設計物件為IEEE 802.3乙太網路,但是後來為了適應其他IEEE 802 LAN技術,如IEEE 802.11無線和光纖分散式資料介面(FDDI)(ISO 9314-2),在802.1X-2004中又做了澄清[5]。為了與IEEE 802.1AE (「MACsec」)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用,EAPOL協定在802.1X-2010中還進行了修改[6][7],以支援服務辨識和在本地LAN段上的可選對等加密。

概述

EAP資料首先被封裝在EAPOL影格中,傳輸於申請者(Supplicant)和驗證者(Authenticator)之間。隨後又封裝在RADIUS或Diameter,傳輸於驗證者和驗證伺服器(Authentication server)之間。

802.1X驗證涉及到三個部分:申請者、驗證者和驗證伺服器。申請者是一個需要連接到LAN/WAN的客戶端裝置(如可攜式機),同時也可以指執行在客戶端上,提供憑據給驗證者的軟體。驗證者是一個網路裝置,如乙太網路交換機或無線存取點。驗證伺服器通常是一個執行著支援RADIUSEAP協定的主機。 驗證者就像是一個受保護網路的警衛。申請者(如客戶端裝置)不允許通過驗證者存取到受保護一側的網路,直到申請者的身分被驗證和授權。這就像是允許進入一個國家之前要在機場的入境處提供一個有效的簽證一樣。使用802.1X基於埠的驗證,申請者向驗證者提供憑據,如使用者名稱/密碼或者數位憑證,驗證者將憑據轉發給驗證伺服器來進行驗證。如果驗證伺服器認為憑據有效,則申請者(客戶端裝置)就被允許存取被保護側網路的資源[8]

資料來源:https://zh.wikipedia.org/wiki/IEEE_802.1X

分類
CISSP

OWASP Top 10 2021 介紹

Top 10 for 2021 有什麼新的變化?

這次在 OWASP Top 10 for 2021 有三個全新的分類,有四個分類有做名稱和範圍的修正,並有將一些類別做合併。

Mapping of the relationship between the Top 10 2017 and the new Top 10 2021

A01:2021-權限控制失效 從第五名移上來; 94% 被測試的應用程式都有驗測到某種類別 權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個 CWEs 在驗測資料中出現 的次數都高於其他的弱點類別。

A02:2021-加密機制失效 提升一名到第二名,在之前為 敏感資料外曝,在此定義下比 較類似於一個廣泛的問題而非根本原因。在此重新定義並將問題核心定義在加密機制的失敗,並 因此造成敏感性資料外洩或是系統被破壞。

A03:2021-注入式攻擊 下滑到第三名。94% 被測試的應用程式都有驗測到某種類別 注入式攻擊的問題。在注入式攻擊這個類別中被對應到的 33 個 CWEs 在驗測資料中出現 的次數為弱點問題的第二高。跨站腳本攻擊現在在新版本屬於這個類別。

A04:2021-不安全設計 這是 2021 年版本的新類別,並特別針注在與設計相關的缺失。 如果我們真的希望讓整個產業”向左移動”*註一*,那我們必須進一步的往威脅建模,安全設計 模塊的觀念,和安全參考架構前進。

*註一: Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理相關問題, 同 Shift Left Testing。*

A05:2021-安全設定缺陷 從上一版本的第六名移動上來。90% 被測試的應用程式都有驗測 到某種類別的安全設定缺陷。在更多的軟體往更高度和有彈性的設定移動,我們並不意外這個類別 的問題往上移動。在前版本中的 XML 外部實體注入攻擊 (XML External Entities)現在屬 於這個類別。

A06:2021-危險或過舊的元件 在之前標題為 使用有已知弱點的元件。在本次版本中於業 界問卷中排名第二,但也有足夠的統計資料讓它可以進入 Top 10。這個類別從 2017 版本的第 九名爬升到第六,也是我們持續掙扎做測試和評估風險的類別。這也是唯一一個沒有任何 CVE 能被 對應到 CWE 內的類別,所以預設的威脅及影響權重在這類別的分數上被預設為 5.0。

A07:2021-認證及驗證機制失效 在之前標題為 錯誤的認證機制。在本次版本中油第二名 下滑至此,並同時包含了將認證相關缺失的 CWE 包含在內。這個類別仍是 Top 10 不可缺少的 一環,但同時也有發現現在標準化的架構有協助降低次風險發生機率。

A08:2021-軟體及資料完整性失效 這是 2021 年版本全新的類別,並在軟體更新,機敏及 重要資料,和 CI/CD 管道中並沒有做完整性的確認為前提做假設並進行評估。在評估中影響權重 最高分的 CVE/CVSS 資料都與這類別中的 10 個 CWE 對應到。2017 年版本中不安全的反序列 化現在被合併至此類別。

A09:2021-資安記錄及監控失效 在之前為不完整的紀錄及監控並納入在業界問卷中在本次 列名為第三名並從之前的第十名上移。這個類別將擴充去納入更多相關的缺失,但這也是相當難去驗 證,並沒有相當多的 CVE/CVSS 資料可以佐證。但是在這個類別中的缺失會直接影響到整體安全的 可視性,事件告警及鑑識。

A10:2021-伺服端請求偽造 這個類別是在業界問卷排名第一名,並在此版本內納入。由資料 顯示此問題有較低被驗測次數和範圍,但有高於平均的威脅及影響權重比率。這個類別的出現也是 因為業界專家重複申明這類別的問題相當重要,即使在本次資料中並沒有足夠的資料去顯示這個 問題。

資料來源:https://owasp.org/Top10/zh_TW/

分類
CISSP

CSMA/CD 與 CSMA/CA 之間的差異

CSMA/CD(載波偵測多重存取/碰撞偵測)運作過程如下:

  • 訊號採用廣播的方式傳送(所以才會發生碰撞)
  • 當節點要發送訊號時,會先偵測通道是否有其他節點正在使用(carrier sense)
  • 當通道沒有被其他節點使用時,就傳送封包
  • 封包傳送之後立即檢查是否發生碰撞(carrier detection),若是發生碰撞則對通道發出高頻訊號高知其他節點已經發生碰撞
  • 碰撞後隨機等待一段時間重新發送封包
  • 嘗試 15 次都失敗的話則告知上層 Timeout

CSMA/CA(載波偵測多重存取/碰撞避免)運作過程如下:

  • 訊號採用廣播的方式傳送(非常容易受到無線電波干擾)
  • 當節點要發送訊號時偵測頻道是否空閒
  • 若是空閒則等待 IFS, Interval Frame Space 時間後再次偵測頻道是否空閒
  • 若是空閒則發送封包,反之重新進入等待頻道空閒(隨機等待時間)
  • 發送 RTS 之後必須在限定時間內收到來至目的端的 CTS 訊號
  • 當失敗 32 次之後通知上層 Timeout

資料來源:https://blog.toright.com/posts/1243/csmacd-%E8%88%87-csmaca-%E4%B9%8B%E9%96%93%E7%9A%84%E5%B7%AE%E7%95%B0.html

分類
CISSP

密碼是支持單因素身份驗證的最佳機制

https://ithelp.ithome.com.tw/upload/images/20211102/201321608ckrqS6xtu.jpg
-數字身份模型(來源:NIST SP 800 63-3)
“秘密”是用於驗證主體身份的最關鍵元素。一個認證是秘密的載體,例如,密碼,在你的大腦記憶(你知道的),私有密鑰儲存在令牌設備(你有什麼),或生物識別嵌入在你的身體(你是)。
 生物識別(您的身份)不足以構成秘密,因為它可能會暴露給公眾。例如,您的自拍可能會讓您容易受到黑客的攻擊。NIST SP 800-63 系列指南“僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。”
 用於基於知識的身份驗證的認知密碼是您知道的一種形式,但它們也不是秘密。顧名思義,它們就是知識。
 基於位置的身份驗證(您所在的某個地方)不是身份驗證因素。
以下是 NIST SP 800-63-3 的摘錄:
身份驗證系統的經典範例將三個因素確定為身份驗證的基石:
• 您知道的東西(例如,密碼)。
• 您擁有的東西(例如,ID 徽章或加密密鑰)。
• 您的身份(例如,指紋或其他生物特徵數據)。

MFA是指使用以上因素中的一種以上。
身份驗證系統的強度在很大程度上取決於系統所包含的因素的數量——採用的因素越多,身份驗證系統就越強大。就這些準則而言,使用兩個因素足以滿足最高的安全要求。
如第 5.1 節所述,RP 或驗證者可以使用其他類型的信息(例如位置數據或設備身份)來評估所聲明身份中的風險,但它們不被視為身份驗證因素。
在數字認證申請人擁有和控制的一個或多個鑑定人已註冊與CSP和用於證明申請人的身份。身份驗證器包含索賠人可以用來證明他或她是有效訂戶的秘密,索賠人通過證明他或她擁有和控制一個或多個身份驗證器來對網路上的系統或應用程序進行身份驗證。
在本卷中,身份驗證器始終包含一個秘密。一些經典的身份驗證因素並不直接適用於數字身份驗證。例如,物理駕駛執照是您擁有的東西,並且在向人類(例如保安人員)進行身份驗證時可能很有用,但它本身並不是數字身份驗證的身份驗證器。
歸類為您所知的身份驗證因素也不一定是秘密。 基於知識的身份驗證,其中提示申請人回答可能只有申請人知道的問題,也不構成數字身份驗證可接受的秘密。一個生物特徵也並不能構成一個秘密。因此,這些指南僅允許在與物理身份驗證器強綁定時使用生物識別技術進行身份驗證。
來源:NIST SP 800-63-3

參考
NIST SP 800-63-3
你的自拍可能會讓你容易受到黑客攻擊
化妝和假手指——領先於網絡騙子
照片中隱藏的指紋

資料來源: Wentz Wu QOTD-20210825

分類
Information Security

帳號填充(Credential Stuffing)

密碼猜測攻擊手法演進的4種型態

攻擊者在嘗試猜測出帳號密碼,進而取得帳號控制權的方式,依據方法的精細程度,可區分成4種──從早期的暴力破解和字典攻擊,後來為了避免被受害單位察覺,並遭到系統鎖定,陸續出現了密碼潑灑與帳號填充攻擊手法。資料來源:ForceShield,iThome整理,2019年5月

資料來源:https://www.ithome.com.tw/news/131019

分類
CISSP

微服務的應用程序-會話層是ISO OSI模型的服務程序(即sidecar代理)所屬的層

https://ithelp.ithome.com.tw/upload/images/20211101/20132160PLcP3CGBgQ.png
-API 網關和服務網格(來源:Liran Katz)

服務網格(service mesh)是便於一個專用基礎設施層服務對服務的通信通過服務發現,路由和內部負載均衡,流量的結構,加密,認證和授權,指標和監測。
它提供了在由於服務實例脫機和不斷重定位而導致網路拓撲變化的環境中通過策略聲明性地定義網路行為、節點身份和流量流的能力。
它可以被視為一種網路模型,它位於開放系統互連 (OSI) 模型(例如,傳輸控制協議/互聯網協議 (TCP/IP))的傳輸層之上的抽象層,並處理服務的會話層(OSI 模型的第 5 層)關注。然而,細粒度的授權可能仍然需要在微服務上執行,因為這是唯一完全了解業務邏輯的實體。
服務網格概念上有兩個模塊——數據平面和控制平面。在數據平面承載通過服務特定代理服務實例之間的應用請求的流量。所述控制平面配置數據平面,提供了一種用於遙測點聚集,以及用於通過各種特徵,諸如負載平衡,斷路,或速率限制修改網路的行為提供API。
來源:NIST SP 800-204

參考
NIST SP 800-204
邊車模式(Sidecar pattern)

資料來源: Wentz Wu QOTD-20210824