Inhaltsverzeichnis:
- E-Mail-Sicherheit
- In diesem Abschnitt finden Sie zwei sehr verbreitete und zweifellos sehr vertraute E-Mail-Schwachstellen für jeden Benutzer von E-Mails von heute: Spam und Falschmeldungen.
- Wie bei E-Mail-Anwendungen wurden verschiedene Protokolle und Standards entwickelt, um Sicherheit für die Internetkommunikation und -transaktionen zu bieten. Dazu gehören SSL / TLS und S-HTTP, die in diesem Artikel beschrieben werden. Sie untersuchen außerdem die Sicherheitslücken, die mit zwei Internetanwendungen verbunden sind: Browser und Instant Messaging.
Video: Disable Outlook Security Warning when Sending Email via Microsoft Access 2024
Für die Prüfung "Security +" müssen Sie die verschiedenen Standards und Anwendungen kennen, die für eine sichere E-Mail- und Internetnutzung zur Verfügung stehen. Sie müssen sich auch einiger Schwachstellen und Ärgernisse bewusst sein, einschließlich Virus-Hoaxes und Spam, um bei der Security + -Untersuchung gut abschneiden zu können.
E-Mail-Sicherheit
Für die E-Mail-Kommunikation wurden mehrere Anwendungen entwickelt, die kryptographische Techniken verwenden, um
- Vertraulichkeit
- Integrität
- Authentifizierung
- Nichtwiderspruch
- Zugriffskontrolle
Sichere Multipurpose Internet Mail Extensions (S / MIME)
Sichere Multipurpose Internet Mail Extensions > (S / MIME) bietet eine sichere Methode zum Senden von E-Mails und ist in verschiedenen gängigen Browsern und E-Mail-Anwendungen enthalten. S / MIME bietet Vertraulichkeit und Authentifizierung durch Verwendung des asymmetrischen RSA-Schlüsselsystems, digitaler Signaturen und digitaler X. 509-Zertifikate. S / MIME entspricht dem Format des Public Key Cryptography Standards (PKCS) # 7 und wurde als Standard für die Internet Engineering Task Force (IETF) vorgeschlagen.
MIME-Objektsicherheitsdienste
(MOSS) bieten Vertraulichkeit, Integrität, Identifizierung und Authentifizierung sowie Nichtablehnung durch Verwendung von MD2 oder MD5, RSA asymmetrisch Schlüssel und DES. MOSS ist im Internet nicht weit verbreitet. Privacy Enhanced Mail (PEM)
Privacy Enhanced Mail
(PEM) wurde von der IETF als PKCS-konformer Standard vorgeschlagen, wurde jedoch im Internet nicht weit verbreitet. Es bietet Vertraulichkeit und Authentifizierung durch die Verwendung von 3DES für die Verschlüsselung, MD2- oder MD5-Nachrichten-Digests, digitale X. 509-Zertifikate und das asymmetrische RSA-System für digitale Signaturen und sichere Schlüsselverteilung.
In diesem Abschnitt finden Sie zwei sehr verbreitete und zweifellos sehr vertraute E-Mail-Schwachstellen für jeden Benutzer von E-Mails von heute: Spam und Falschmeldungen.
Spam
Spam verschwendet wertvolle und begrenzte Bandbreite und Rechenressourcen. Es kostet Unternehmen und Einzelpersonen jährlich Millionen Dollar an verlorener Produktivität. Derzeit verfügbare Antispamstoffe haben nur eine begrenzte Wirksamkeit.
Ihre Möglichkeiten zur Spam-Bekämpfung sind begrenzt, aber sie enthalten:
Löschen:
- Wenn Sie täglich nur relativ wenig Spam-E-Mails erhalten, ist es vielleicht am einfachsten, sie zu löschen. Dies ist keine wirkliche Lösung und wahrscheinlich nicht das, was Ihre Benutzer hören möchten, aber dies ist die häufigste Methode für den Umgang mit Spam. Filter:
- Die meisten E-Mail-Anwendungen und Internet-E-Mail-Dienste bieten einige Filterfunktionen. Verschiedene kommerzielle Produkte von Drittanbietern bieten bessere Filterfunktionen. Stellen Sie sicher, dass Sie die Filteroptionen sorgfältig konfigurieren, um das Filtern legitimer E-Mails zu vermeiden! Informieren:
- Informieren Sie Ihre Benutzer über Spam. Benutzer sollten wissen, niemals zu antworten oder eine Spam-E-Mail abzubestellen. Dadurch wird die E-Mail-Adresse überprüft und das Problem verschlimmert. Geben Sie nicht weiter!
- Vielleicht ist es das Wichtigste für ein Unternehmen, sicherzustellen, dass es nicht bereits Teil des Problems ist (oder nicht wird). E-Mail-Server, die als offenes Mail-Relay eingerichtet sind (viele davon standardmäßig), können zum Senden von Spam an alle Personen im Internet verwendet werden. Ein offenes Mail-Relay versucht nicht, den Absender einer E-Mail-Nachricht zu überprüfen und weiterzuleiten. Hoaxes
E-Mail-Hoaxes haben normalerweise die Form von Kettenbriefen. Ein bestimmter Typ von E-Mail-Hoax ist der Virus-Hoax. Ein
Virus Hoax ist eine E-Mail-Nachricht, die einen gefälschten Virus mit einer pseudotechnischen Sprache beschreibt. Die beschriebene Bedrohung kann recht legitim erscheinen und von jemandem geschickt werden, den Sie kennen. (Die Hoaxes weisen Sie normalerweise an, sie an alle Personen in Ihrem Adressbuch weiterzuleiten.) Viele Hoaxes weisen ahnungslose Benutzer an, wichtige Systemdateien zu löschen. Ihre Verteidigung gegen Hoaxes sollte Folgendes beinhalten:
Informieren:
- Informieren Sie Ihre Benutzer über E-Mail-Hoaxes (insbesondere Virus-Hoaxes). Weisen Sie sie an, niemals einen Scherz weiterzuleiten, selbst wenn sie von jemandem erhalten wird, den sie kennen. Stellen Sie sicher, dass sie Hoaxes an ein System oder einen Sicherheitsadministrator melden. Überprüfen:
- Wenn Sie Bedenken wegen der Legitimität eines Virus-Hoax haben, überprüfen Sie dessen Existenz (oder Nicht-Existenz) bei Symantec oder McAfee. Obwohl diese Antivirus-Software-Giganten nicht notwendigerweise sofort eine Lösung für einen neuen Virus in der Wildnis haben, liefern sie Ihnen zuverlässige Informationen über alle neuen Bedrohungen (real oder betrügerisch). Internetsicherheit
Wie bei E-Mail-Anwendungen wurden verschiedene Protokolle und Standards entwickelt, um Sicherheit für die Internetkommunikation und -transaktionen zu bieten. Dazu gehören SSL / TLS und S-HTTP, die in diesem Artikel beschrieben werden. Sie untersuchen außerdem die Sicherheitslücken, die mit zwei Internetanwendungen verbunden sind: Browser und Instant Messaging.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security)
Das Protokoll
Secure Sockets Layer (SSL) bietet eine sitzungsbasierte Verschlüsselung und Authentifizierung für die sichere Kommunikation zwischen Clients und Servern im Internet… SSL arbeitet auf der Transportschicht, ist unabhängig vom Anwendungsprotokoll und bietet Serverauthentifizierung mit optionaler Clientauthentifizierung.
SSL verwendet das RSA asymmetrische Schlüsselsystem; IDEA, DES und 3DES symmetrische Schlüsselsysteme; und die MD5-Hash-Funktion. Die aktuelle Version ist SSL 3. 0. SSL 3. 0 wurde als TLS 1. 0 standardisiert und 1999 freigegeben.
Sicheres HyperText Transfer Protokoll (S-HTTP)
Sicheres HyperText Transfer Protokoll
(S- HTTP) ist ein Internetprotokoll, das eine Methode für die sichere Kommunikation mit einem Webserver bereitstellt.S-HTTP ist ein verbindungsloses Protokoll, das Daten kapselt, nachdem Sicherheitseigenschaften für die Sitzung erfolgreich ausgehandelt wurden. Das Protokoll verwendet
Symmetrische Verschlüsselung (für Vertraulichkeit)
- Nachrichten-Digests (für Integrität)
- Verschlüsselung mit öffentlichen Schlüsseln (für Client-Server-Authentifizierung und Nicht-Ablehnung)
- Instant Messaging
Instant Messaging-Programme sind im Internet wegen ihrer Benutzerfreundlichkeit und sofortigen Kommunikationsfähigkeit sehr populär geworden. Beispiele hierfür sind AIM, MSN Messenger und Yahoo! Bote.
Viele Schwachstellen und Sicherheitsrisiken wie die folgenden sind mit Instant Messaging-Programmen verbunden:
Viren und Trojaner:
- IM-Programme werden schnell zu einem bevorzugten Medium für die Verbreitung von Schadcode. Social Engineering:
- Viele Benutzer sind sich der Offenheit von IM nicht bewusst und tauschen persönliche, private oder sensible Informationen ganz beiläufig an unbekannte Parteien aus. Freigegebene Dateien:
- Viele IM-Programme (und damit verbundene Programme) ermöglichen es Benutzern, ihre Festplatten freizugeben oder Dateien zu übertragen. Packet Sniffing:
- Wie bei fast allem TCP / IP-Verkehr können IM-Sitzungen leicht nach wertvollen Informationen und Passwörtern geschnüffelt werden. Internetbrowser
Internetbrowser wie Microsoft Internet Explorer und Netscape Navigator sind grundlegende Web-Surf-Tools. Um Ihr Surferlebnis zu verbessern, wurden viele coole Tools entwickelt, um dynamische und interaktive Inhalte über das einfache HTML hinaus zu liefern. Natürlich haben diese Funktionen oft ihren Preis - zusätzliche Sicherheitsrisiken.
Diese Tools und Risiken enthalten
JavaScript:
- JavaScript ist eine Skriptsprache, die von Netscape entwickelt wurde, um dynamischen Inhalt für HTML-Webseiten bereitzustellen. JavaScript hat viele bekannte Schwachstellen, die zum Beispiel private Informationen über einen Benutzer offenbaren oder es jemandem ermöglichen, Dateien auf Ihrem lokalen Computer zu lesen. ActiveX- und Java-Applets:
- ActiveX und Java können Web-Browser dazu veranlassen, ein paar nette Dinge zu tun - und einige ziemlich böse Dinge. Das Sicherheitsmodell für ActiveX basiert auf Vertrauensstellungen. (Sie akzeptieren ein digitales Zertifikat und das Applet wird heruntergeladen.) Die Java-Sicherheit basiert auf dem Konzept einer -Sandbox, , die ein Applet darauf beschränkt, nur mit dem Ursprungshost zu kommunizieren und verhindert, dass das Applet direkt auf ein PC-Festplatte oder andere Ressourcen - theoretisch. Pufferüberläufe:
- Pufferüberläufe sind heute vielleicht die häufigsten und am einfachsten begangenen Denial-of-Service-Angriffe. Schwachstellen in Webbrowsern (insbesondere Internet Explorer) können ausgenutzt werden, wodurch ein System zum Absturz gebracht wird oder, schlimmer, einem Angreifer unbefugter Zugriff auf ein System oder Verzeichnis gewährt wird.
