close
Kaspersky Endpoint Security

Welcome to

Kaspersky Endpoint Security


By Kaspersky Endpoint Security


Schuld Norwegen



»» »» Übersicht über die aktuellen Sicherheits Arbeit in der IETF Oktober 2003
Übersicht über die aktuellen Sicherheits Arbeit in der IETF Zusammenfassung Dieses Dokument enthält die Ergebnisse einer IAB-Umfrage über die Sicherheit der Arbeit in der IETF. Autoren James Kempf Charlie Kaufman DoCoMo USA Labs Microsoft 1. Einleitung Dieses Dokument ist eine Zusammenfassung der Sicherheitsumfrage enthält des IAB im Juni 2003 von der Umfrage Das Ziel war es, Informationen darüber zu erhalten, welche Arten von Sicherheits Arbeit wurden geschickt in IETF-Arbeitsgruppen, um alle Gemeinsamkeiten zwischen den Arbeiten an verschiedenen Schichten zu finden. Die Befragung wurde in Form einer E-Mail an die wgchairs@ietf.org Mailing-Liste eine Reihe von Fragen über die Sicherheit der Arbeit in verschiedenen Arbeitsgruppen enthält. 2. Umfrageergebnisse In diesem Abschnitt werden die Ergebnisse der Umfrage, die von der Arbeitsgruppe. 2.1 Nächste Schritte Keine Sicherheitsprotokoll Arbeit bei der Signalisierung wird von NSIS gemacht, obwohl es ein paar Sicherheitsbedrohungen und Analyse von Dokumenten sind. Sie sind als Arbeitsgruppe Entwürfe durch die NSIS-Webseite zur Verfügung. 2.2 zeroconf Die zeroconf ArbeitsgruppeStuhl zur Verfügung gestellt, die folgenden allgemeinen Informationen über die Verwendung von Sicherheit im Protokoll: IPv4 Link-Local-Autokonfigurationsprotokoll: IPv4-Adressen werden zufällig generiert. ARP ordnet diese zu L2-Adressen, die sind * nicht * zufällig ausgewählt. Es wird keine Authentifizierung zur Verfügung gestellt oder versucht. Im Folgenden finden Antworten auf die Umfrage. Identifizierung von Remote-Endpunkten von IP-Adresse, Link-Layer-Adresse Authentifizierung von Remote-Endpunkten IP-Adressen, Link Layer-Adressen (Endpoints werden nicht authentifiziert Die IP-Adresse und Link-Layer-Adressen zurück von ARP angenommen korrekt sein keine 2.3 SRVLOC SRVLOC Informationssicherheit ist derzeit offiziell ruhend Datenschutz keine Provisioning oder Konfiguration.) und entspricht nicht an IETF-Meetings, obwohl es aktive Diskussion auf der Mailingliste ist. Der letzte Vorsitzende der Arbeitsgruppe vor der Gruppe ging ruhend vorausgesetzt, die folgenden allgemeinen Informationen über die Verwendung von Sicherheit im Protokoll: SLP ermöglicht es, Anwendungen "Service-URLs 'zu erzeugendie Identifizierung Dienstleistungen. Jeder Service-URL ist auch mit einem "Service-Typ" string, eine Liste von Attributen gekoppelt und optional auch ein SLP "Sicherheitsparameter-Index 'string. Die Authentifizierung erfolgt über die oben durch Anpassen eines öffentlichen / privaten Schlüsselpaar an den Sicherheitsparameter-Index Zeichenfolge aufgeführten Parameter durchgeführt. Der Hersteller der Service-Informationsschilder, überprüft der Verbraucher der Service-Informationen, um die Signaturen, bevor die Serviceinformationen zu akzeptieren. Dies kann nur geschehen, wenn der Unterzeichner und Verifizierer die benötigten Schlüssel und / oder Zertifikate oder sie bekommen können. SLP sieht keine Schlüssel oder einem Zertifikat Verteilung oder Entdeckung. Im Folgenden finden Antworten auf die Umfrage: Identifizierung von Benutzern oder Administratoren von Textzeichenfolge Identifizierung von Remote-Endpunkten durch den DNS-Namen, IP-Adresse, Link-Layer-Adresse, UID (Ein Administrator oder Benutzer könnte durch SLP bestanden in einem Attribut Zeichenfolge identifiziert werden.) ( SLP identifiziert Punkte Ende URIs verwenden. Diese DNS-Namen oder IP-Adressen enthalten. In einigenFach URIs, auch L2-Adressen bereitgestellt werden. In einigen Fällen ist eine eindeutige ID für Dienstleistungen zu identifizieren als auch) Identifizierung von Daten in einer Hierarchie von Textzeichenfolge (SLP enthält Text für Attributnamen. Diese können Strings mit IANA 2609 Service-Templates in RFC registriert werden.) Authentifizierung von Remote-Endpunkten unter Verwendung von Verschlüsselungsalgorithmen (DSA Signaturen in X.509-Format) der Schutz von Daten Andere Verschlüsselungsmechanismen (authentifiziert Daten, so dass der Verbraucher, dass der Anbieter es unterzeichnet hat, überprüfen können (und das zu tun, muss der Anbieter haben einen privaten Schlüssel) Provisioning / Konfiguration von Sicherheitsinformationen von nicht näher genannten Außerbandmechanismus (Hat Sicherheitsinformationen nicht Bestimmung. Es dass sind Schlüssel und Schlüsselnamen (SLP Security Parameter Index Strings) in SLP-Agenten konfiguriert übernimmt). 2.4 Brücke die Brücke Arbeitsgruppe ist die Definition sind MIBs und die Stuhl berichtet, dass die Umfrage nicht anwendbar sei, da BRIDGE auf die Sicherheit von SNMP für die Benutzerauthentifizierung beruht,Verschlüsselung und anderen Schutz. Die MIBs enthalten keine Sicherheitsinformationen. 2.5 Disman Identifizierung von Benutzern oder Administratoren von Textzeichenfolge in unserem MIBs sind auch andere Mechanismen möglich in Skripten unter der Kontrolle dieser MIBs ausgeführt. VACM Konfiguration einfach zu halten, ist hier Faktor zu fahren. Identifizierung von Remote-Endpunkten von DNS, IP und andere in MIBs verwendet Mechanismen sind auch andere Mechanismen möglich unter Skriptsteuerung. Identifizierung von Daten in einer Hierarchie von nicht verstehen, was Sie von SNMP bedeuten hier. Meine Antwort wäre OID zu sein, aber alle oben sind möglich in Skriptumgebungen durch Demon unterstützt. Authentifizierung der Authentifizierung Benutzer oder Administratoren unter SNMPv3 behandelt, durch was auch immer Sicherheitsmodell verwendet wird. Authentifizierung von Remote-Endpunkten SNMPv3 USM Sicherheit Benutzer, anstatt Endpunkt basiert. Wenn jemand verrückt genug waren, um einen Endpunkt basierte Sicherheitsmodell zu entwerfen (und es in VACM Haken), würden die Demon MIBs immer noch funktionieren. Schutz von DatenSNMPv3 für die Übertragung. Storage ist außerhalb des Gültigkeitsbereichs. Provisioning / Konfiguration von Sicherheitsinformation SNMPv3, verwenden Sie das Sicherheitsmodell, zum Beispiel USM. 2.6 EAP Einer der Arbeitsgruppe Stühle zur Verfügung gestellt mit der folgenden allgemeinen Kommentar über EAP Anwendbarkeit: Die "EAP Gemäßer Gebrauch" Politik von Jeff Schiller bei IETF 47 formuliert war, dass EAP einen Mechanismus für den Einsatz in Situationen geschaffen ist, wo IP nicht verfügbar ist (zB Link Schicht-Authentifizierung). Es darf nicht über das Internet ohne Schutz verwendet werden. Diese Politik ist immer noch in Kraft, und alle RFCs EAP entsprechen in Bezug weit es so. SASL ist nicht viel anders für einfache Mechanismen, aber wesentlich besser für komplexe, da sie über TCP läuft und daher viel mehr effizient Dinge wie Zertifikatebörsen behandeln. Sie hat jedoch keine Möglichkeit, Man-in-the-Middle-Angriffe der Handhabung. Im Folgenden finden Antworten auf die Umfrage: Identifizierung von Benutzern oder Administratoren von Textzeichenfolge, hat DN.EAP eine textbasierte Benutzernamen Feld, aber in den meistenFälle ein NAI gesendet wird. Einige EAP-Methoden auch Zert und als solche den üblichen cert-basierte Identitäten, wie DNs verwendet. Identifizierung von Remote-Endpunkten von Textzeichenfolge, andere. ein altes Protokoll für Netzwerkzugriffssicherheit zu sein, EAP nicht über eine sehr gute Darstellung der Identität des Netzwerks. Jedoch kann eine Textzeichenfolge übergeben werden. Außerdem geschieht in den meisten Fällen diese Identifikation bei einer niedrigeren Schicht, z.B. WLAN SSIDs identifizieren das Netzwerk. Außerdem verwenden einige EAP-Methoden Zert und als solche wieder DNS- oder andere Kennungen verwendet werden. Es ist nicht klar, ob dies als Identifikation eines entfernten Endpunkt zählt. Identifizierung von Daten in einer Hierarchie nicht relevant für die EAP. Authentifizierung von Benutzern oder Administratoren Passwörter, Verschlüsselungsalgorithmen. Einige der EAP-Methoden sind durch ein Passwort basiert. Keiner von ihnen sind unverschlüsselt Passwort-basierte .. Alle EAP-Methoden basieren auf irgendeine Art eines Verschlüsselungsalgorithmus. Einfache Passwort-Algorithmus, eine erweiterte gemeinsamen geheimen Algorithmus, etwas gestohlen von TLS & cert Welt,usw. sind einige Beispiele. Authentifizierung von Remote-Endpunkten Siehe oben. Schutz von Daten SSL und / oder TLS (EAP TLS), IPsec (nicht typisch, obwohl EAP in Radius / Durchmesser verkapselt werden kann und durch IPsec geschützt, oder es kann von IKEv2 verwendet werden. Aber EAP als solche nicht die Verwendung von IPsec machen noch IKE), andere Spezifikationen (die Frage ist nicht klar, für EAP. Sicherlich ist die Verwendung von TLS / XML usw. auch ein Verweis auf andere Spezifikationen wäre. Was in vielen der EAP-Methoden geschieht ist, dass mit dem Protokoll Lauf zugeordneten Daten ist geschützt mit HMACs oder ähnliche Mechanismen). Provisioning / Konfiguration von Sicherheitsinformation aus der Band-Mechanismus, Referenzierung eine andere Spezifikation (Die meiste Zeit Out-of-Band gilt in einigen Fällen EAP-Methoden Authentifizierungsschemata verwenden, die auf Standard-Anmeldeinformationen angewiesen wie certs oder SIM-Karten;. Angenommen wird, dass die Bereitstellung von ihnen können in der gleichen Art und Weise geschehen, wie für andere Anwendungen durchgeführt wird. Allerdings EAP selbst nicht darüber redet. 2.7 IPSP IPSP allgemeinen Ansatz ist lediglich zuSet Mindestanforderungen und lassen Sie die Implementierer, die Besonderheiten zu wählen. Alle Endpunkte sind davon ausgegangen, innerhalb einer einzigen Sicherheitsdomäne zu sein. Identifizierung von Benutzern oder Administratoren zu ortsspezifischen Mechanismus Identifizierung von Remote-Endpunkten durch die Benennung gestundet ortsspezifischen Mechanismus Identifizierung von Daten in einer Hierarchie verschoben Namensgebung ??? mit dem Begriff der Datenidentifikation in diesem Zusammenhang nicht vertraut; Entschuldigung Authentifizierung von Benutzern oder latenten Administratoren ortsspezifische Mechanismen Authentifizierung von Remote latenten Endpunkte ortsspezifische Mechanismen zur Datentransportschutz Der Schutz wird auf ortsspezifische Mechanismen zurückgestellt; Alle in Frage vorgeschlagenen Methoden sind akzeptabel, wenn sie richtig für IPsec, IPSP können verwendet einige IPSec-Schlüssel konfiguriert werden, so müssen diese von der Transportschicht geschützt werden; wir nicht angeben, wie die Transportschlüssel selbst konfiguriert werden, wobei diese eher chickenish-und eggish. 2.8 IPV6OPS Identifizierung und Authentifizierung von Benutzernnicht anwendbar Identifizierung und Authentifizierung von Endpunkten IP-Adresse Schutz der Daten nicht Bereitstellung / Konfiguration von Sicherheitsdaten möglich. typischerweise verwendet DNS, um einen Namen suchen oder setzt auf IP-Adressen. 2.9 PKIX Identifizierung von Benutzern oder den DNS-Namen-Administratoren, rfc822 Name, DN Identifizierung von Remote-Endpunkten DNS-Namen, IP-Adresse, rfc822 Name, andere Identifikation von Daten in einer Hierarchie OID Schutz von Daten anderer Verschlüsselungsmechanismen Provisioning / Konfiguration von Sicherheitsinformation legt ein Protokoll für tun dies 2.10 SEND Identifizierung von Remote-Endpunkten IP-Adresse, Link-Layer-Adresse, andere (Kryptographisch generierte Adressen (cGAs) zusammen mit einer digitalen Signatur verwendet werden. Authentifizierung von Remote-Endpunkten Bezug auf RFC2461 und RFC2462, Verschlüsselungsalgorithmen (RSA standardmäßig auch Kryptographisch generierte Adressen (die in diesem Protokoll definiert)). Provisioning / Konfiguration von Sicherheitsinformation nicht spezifiziert aus Band-Mechanismus 2.11 Seamoby2.11.1 Candidate Access Router Discovery Protocol (CARD) Identifizierung von Remote-Endpunkten IP-Adresse Authentifizierung von Remote-Referenz-Endpunkte zu anderen Spezifikationen Daten schützen IPsec Provisioning / Konfiguration von Sicherheitsinformation nicht spezifiziert Außerbandmechanismus 2.11.2 Context Transfer Protocol (CTP) Identifizierung Remote-Endpunkten IP-Adresse Authentifizierung von Remote-Endpunkten Verweis auf andere Spezifikationen (IPsec ESP im Transportmodus) der Schutz von Daten IPsec (Transportmodus) Provisioning / Konfiguration von Sicherheitsinformation nicht spezifiziert Außerbandmechanismus 3. Schlussfolgerungen dieser Umfrage nicht die Informationen entlocken, die wir waren suchen, obwohl es uns über ein paar Ideen haben geben, wie eine zukünftige Umfrage besser organisiert werden könnte. Durch falsch die Arten von Informationen erwarten wir bekommen zu erwarten, haben wir es schwer für einige Befragte Sinn der Fragen zu machen (und wahrscheinlich entmutigt andere erst gar nicht reagiert). Wir sollten eine Erklärung, was hatten wir gesuchtund warum, und eine einfache Möglichkeit, für einen Befragten zu sagen: "Es gibt nichts in dieser Arbeitsgruppe geht, die Sie kümmern würde". Erst nachdem diese Hürde vorbei, wir sollten mehr detaillierte Fragen haben. Noch wichtiger ist, sollte haben wir mit den Sicherheits ADs zu nutzen, ihr Wissen über, was los ist und damit, wie Begriff Fragen gearbeitet. Ob eine solche Umfrage lohnen würde diskutiert werden sollte. Wir haben versucht, Orte zu identifizieren, wo die Menschen das Rad in den Sicherheitsraum neu zu erfinden wurden, anstatt die Nutzung der Arbeit der Sicherheitsarbeitsgruppen oder in denen neue Sicherheitsarbeitsgruppen könnte nützlich sein, die Anstrengungen in diesem Bereich zu koordinieren. Die Umfrage wurde von Bedenken aufgefordert wurde zum Ausdruck gebracht, dass diese weit verbreitet sein könnte. Während die Antwort bekamen wir fleckige war, fanden wir keine Beweise, die Sorge zu unterstützen. Es ist möglich, dass diese Bemühungen sollten entweder aufgegeben oder unter der Schirmherrschaft von einer anderen Gruppe, wie die Sicherheit ADs oder der Direktion Sicherheit durchgeführt werden.

gfi Endpoint-Security 2013 keygen     Endpoint-Security 2015

Categories and tags