● 120 entries

Сетевая безопасность

Атака деаутентификации Wi-FiАтака деаутентификации Wi-Fi использует незащищённые управляющие кадры 802.11, чтобы принудительно отключать клиентов от точки доступа ради DoS или дальнейших атак.
Безопасность 5GАрхитектура безопасности 5G-сетей, определённая в 3GPP TS 33.501, охватывает приватность абонента, взаимную аутентификацию и защиту сигнализации и пользовательского трафика.
Безопасность CDNБезопасность CDN использует глобальный edge сети доставки контента — с терминированием TLS близко к пользователю — для DDoS-защиты, WAF, управления ботами и контроля TLS-гигиены.
Безопасность HTTP/2Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
Безопасность LTEАрхитектура безопасности 4G/LTE-сетей, определённая в 3GPP TS 33.401, охватывает аутентификацию EPS-AKA и шифрование RRC, NAS и пользовательского трафика.
Безопасность VoIPНабор контролей, защищающих VoIP-вызовы (SIP-сигнализацию и RTP-медиа) от прослушивания, мошенничества, отказа в обслуживании и подмены личности.
Безопасность VoLTEБезопасность Voice over LTE: набор защит IMS-аутентификации, сигнализации и медиа для SIP/RTP-вызовов, передаваемых через 4G- или 5G-каналы данных.
Взаимный TLS (mTLS)Расширение TLS, при котором и клиент, и сервер предъявляют сертификаты X.509, что обеспечивает криптографическую взаимную аутентификацию сторон.
Глубокая инспекция пакетов (DPI)Метод инспекции, при котором анализируется не только заголовок, но и вся полезная нагрузка пакетов для распознавания приложений, контента и угроз.
Демилитаризованная зона (DMZ)Буферный сегмент сети, размещающий публично доступные сервисы и изолированный от внутренней LAN для ограничения последствий взлома.
Закрепление сертификатов (pinning)Метод, при котором приложение жёстко привязывается к ожидаемому сертификату или открытому ключу и отклоняет несовпадающие TLS-соединения, обходя скомпрометированные или мошеннические УЦ.
Захват поддоменаАтака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен.
Защитный почтовый шлюзПериметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.
Инфраструктура открытых ключей (PKI)Совокупность политик, ПО, оборудования и доверенных центров, выпускающая, распространяющая, проверяющая и отзывающая цифровые сертификаты, связывающие идентичности с открытыми ключами.
Канареечный токенРазновидность ханитокена, тихо отстукивающего на сервер управления при срабатывании и служащего тревожной растяжкой против несанкционированного доступа.
Межсетевой экранСетевое устройство или программное обеспечение безопасности, которое контролирует входящий и исходящий трафик в соответствии с заданным набором правил, разделяя доверенные и недоверенные сети.
Межсетевой экран веб-приложений (WAF)Фильтр в виде обратного прокси, который инспектирует HTTP/HTTPS-трафик, чтобы блокировать веб-атаки (SQL-инъекции, XSS, злоупотребление ботами) ещё до приложения.
Межсетевой экран нового поколения (NGFW)Продвинутый межсетевой экран, который сочетает анализ состояний с распознаванием приложений, встроенным IPS, контролем по пользователю и инспекцией TLS для применения более детальных политик.
МикросегментацияТонкая форма сегментации, при которой allow-list политики применяются между отдельными нагрузками или приложениями, обычно средствами хоста или гипервизора.
Митигация DDoSМитигация DDoS — это набор техник и сервисов, которые поглощают, фильтруют и перенаправляют распределённые атаки отказа в обслуживании до того, как они исчерпают сеть, инфраструктуру или приложение жертвы.
Обнаружение по аномалиямПодход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
Обратный проксиСервер перед одним или несколькими бэкенд-сервисами, который принимает клиентские запросы от их имени и перенаправляет внутрь.
Ограничение частоты запросовRate limiting ограничивает количество запросов, которые идентификатор (IP, пользователь, API-ключ или токен) может выполнить за интервал времени, защищая API и приложения от злоупотреблений, скрейпинга и подбора паролей.
Оппортунистический TLSПодход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
Пакетная фильтрацияМетод сетевой безопасности, при котором поля заголовка каждого пакета проверяются и пакет пропускается или отбрасывается согласно статическому набору правил.
Перенаправление SSH-агентаВозможность OpenSSH (-A или ForwardAgent yes), при которой на удалённом хосте создаётся UNIX-сокет, позволяющий командам там использовать локальный SSH-агент для дальнейших подключений.
ПодсетьНепрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
Проброс портовНастройка NAT, при которой маршрутизатор перенаправляет трафик, приходящий на определённый публичный порт, на выбранный внутренний хост и порт.
Прозрачный проксиПрокси, включённый в сетевой путь, который перехватывает клиентский трафик без какой-либо настройки на стороне клиента.
Прокси-серверПромежуточный сервер, который ретранслирует запросы клиентов к другим серверам, скрывая клиента и обеспечивая централизованную инспекцию, фильтрацию и кэширование трафика.
Протокол DiameterAAA-протокол (аутентификация, авторизация, учёт), стандартизованный в RFC 6733; заменил RADIUS в IMS, LTE EPC и сетях роуминга/IPX.
Прямой проксиПрокси, настроенный на стороне клиента, который ретранслирует исходящие запросы к внешним сервисам от имени пользователя.
Раздельное туннелирование VPNКонфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет.
Рукопожатие TLSНачальный обмен протокола Transport Layer Security, в ходе которого аутентифицируется сервер (и при необходимости клиент) и вырабатываются симметричные ключи для шифрования остальной сессии.
Самоподписанный сертификатЦифровой сертификат, подписанный тем же закрытым ключом, чьему открытому ключу он соответствует, без участия внешнего удостоверяющего центра.
Сегментация сетиПрактика разделения сети на несколько зон с контролируемым трафиком между ними для сдерживания взломов и реализации принципа наименьших привилегий.
Сертификат расширенной проверки (EV)TLS-сертификат, выпускаемый только после строгой стандартизированной проверки УЦ юридической личности, физического существования и полномочий запрашивающей организации.
Сертификат X.509Стандартная структура цифрового сертификата, связывающего открытый ключ с идентичностью посредством подписи доверенного удостоверяющего центра.
Серый список (Greylisting)Антиспам-метод, при котором неизвестные тройки отправителя сперва получают временный SMTP-отказ, а сообщение принимается только при корректной повторной попытке доставки.
Сетевая IDS (NIDS)Сенсор обнаружения вторжений, который анализирует трафик, захваченный с сетевого сегмента, для выявления вредоносных шаблонов и нарушений политики.
Сеть с нулевым довериемАрхитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.
Сигнатурное обнаружениеМетод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Система обнаружения вторжений (IDS)Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Система предотвращения вторжений (IPS)Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени.
Список отозванных сертификатов (CRL)Подписанный и периодически публикуемый удостоверяющим центром перечень сертификатов, признанных недействительными до истечения их срока действия.
Типы SSH-ключейАсимметричные алгоритмы, которые OpenSSH принимает для аутентификации пользователя и хоста: RSA, ECDSA (кривые NIST) и современный стандартный Ed25519.
Удалённый VPN-доступVPN, позволяющий отдельному пользователю безопасно подключать ноутбук или смартфон к корпоративной сети с любой интернет-точки.
Удостоверяющий центр (УЦ)Доверенная организация, выпускающая и подписывающая цифровые сертификаты, связывая открытые ключи с подтверждёнными идентичностями — например, доменами или организациями.
Управление ботамиУправление ботами — это выявление автоматизированного трафика и различение полезных ботов и вредоносных с последующим разрешением, проверкой или блокированием.
Утечка маршрутов BGPНепреднамеренное распространение BGP-маршрутов автономной системой за пределами ожидаемых коммерческих отношений, нередко уводящее глобальный трафик не в ту AS.
Файл known_hostsФайл клиента OpenSSH (~/.ssh/known_hosts), фиксирующий открытые ключи серверов, чтобы SSH мог обнаружить смену host-key и тем самым возможный MITM.
ХанинетКонтролируемая сеть из связанных ханипотов, предназначенная для изучения поведения атакующих в реалистичном многохостовом окружении.
ХанипотИмитирующая реальную систему или сервис приманка, намеренно выставленная наружу для привлечения атакующих, изучения их методов и отвлечения от продуктивных активов.
ХанитокенПоддельные данные — учётные данные, файл, запись или API-ключ — у которых нет легитимного применения и обращение к которым сразу вызывает оповещение.
Хостовая IDS (HIDS)Агент обнаружения вторжений, установленный на сервере или конечной точке, который следит за локальными файлами, процессами, журналами и системными вызовами.
Always-On VPNПолитика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android.
ARC (Authenticated Received Chain)Почтовый стандарт (RFC 8617), сохраняющий результаты аутентификации при пересылках за счёт криптографической подписи цепочки предшествующих проверок каждым посредником.
ARPКанальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
BGP-хайджекингАтака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик.
BIMIПочтовый стандарт, позволяющий отображать проверенный логотип бренда рядом с аутентифицированными сообщениями в поддерживаемых клиентах при условии DMARC-политики quarantine или reject.
CIDR-нотацияНотация Classless Inter-Domain Routing задаёт IP-префикс адресом с косой чертой и количеством значащих битов, например 10.0.0.0/8.
DANEСемейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
DHCPПротокол на основе UDP (RFC 2131, порты 67/68), автоматически выдающий IP-адреса и параметры сетевой конфигурации клиентам, подключающимся к сети.
DKIMСтандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела.
DMARCСтандарт аутентификации почты по RFC 7489, позволяющий владельцу домена опубликовать политику, какой обработке подвергать сообщения, не прошедшие SPF/DKIM и проверку выравнивания.
DNS over HTTPS (DoH)Протокол, шифрующий DNS-запросы, перенося их внутри HTTPS, что не даёт наблюдателю на пути читать или изменять разрешения.
DNS over TLS (DoT)Протокол, шифрующий DNS-запросы в выделенной TLS-сессии и защищающий их от прослушивания и подмены в сети.
DNS RebindingАтака на стороне браузера, использующая короткие TTL DNS: имя сначала разрешается в адрес сервера атакующего, а затем — во внутренний IP, обходя same-origin policy.
DNS-блоклист (DNSBL)Механизм на базе DNS (RFC 5782), позволяющий почтовым системам обращаться к списку IP-адресов или доменов, известных рассылкой спама или вредоносного ПО, и принимать решения о блокировке, оценке или маршрутизации.
DNS-туннелированиеСкрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации.
DNSSECНабор расширений DNS, который использует цифровые подписи, чтобы резолверы могли проверить подлинность и целостность DNS-записей.
FTPУстаревший протокол передачи файлов (RFC 959), использующий TCP-порт 21 для управления и порт 20 для данных и передающий учётные данные и файлы в открытом виде, поэтому в основном выведен из эксплуатации.
GnuPG (GPG)Свободная реализация стандарта OpenPGP (RFC 4880, RFC 9580), используемая для подписи, шифрования и расшифровки данных, включая письма и пакеты ПО.
HTTP Strict Transport Security (HSTS)Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS.
HTTP/3 / QUICHTTP/3 (RFC 9114) — отображение HTTP на QUIC (RFC 9000), UDP-транспорт со встроенным TLS 1.3 и потоковым мультиплексированием без head-of-line блокировки.
HTTPSHTTP, передаваемый поверх соединения, защищённого TLS, что обеспечивает конфиденциальность, целостность и аутентификацию сервера в веб-трафике.
ICMPСетевой протокол управления и диагностики (RFC 792 для IPv4 и RFC 4443 для IPv6), которым узлы и маршрутизаторы сообщают об ошибках и состоянии пути.
IEEE 802.1XСтандарт портового контроля доступа, который аутентифицирует устройство или пользователя до того, как пропустить трафик через проводной или беспроводной порт.
IP-адресЧисловой идентификатор, назначаемый сетевому интерфейсу для маршрутизации в IP-сетях: 32 бита в IPv4 (RFC 791) или 128 бит в IPv6 (RFC 8200).
IPsecНабор протоколов IETF, аутентифицирующий и шифрующий IP-пакеты и обеспечивающий безопасную связь на сетевом уровне.
MAC-адрес48-битный аппаратный идентификатор (IEEE 802), записанный в сетевой интерфейс и используемый для доставки кадров внутри одного канального сегмента.
MTA-STSМеханизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
Network Access Control (NAC)Набор политик и технологий, которые аутентифицируют устройства и пользователей перед предоставлением сетевого доступа и непрерывно контролируют их состояние.
Network Address Translation (NAT)Техника, при которой маршрутизатор переписывает IP-адреса и порты при прохождении пакетов, позволяя многим внутренним узлам использовать один или несколько публичных адресов.
OCSP (Online Certificate Status Protocol)Протокол поверх HTTP, позволяющий клиенту в реальном времени запросить у респондера УЦ статус конкретного сертификата X.509: действителен, отозван или неизвестен.
OpenVPNОткрытый VPN, работающий в пользовательском пространстве и использующий TLS/OpenSSL для аутентификации пиров и туннелирования произвольного IP- или Ethernet-трафика.
PGPPretty Good Privacy — система сквозного шифрования и цифровых подписей для почты, файлов и сообщений, созданная Филом Циммерманом в 1991 году.
Port KnockingМетод, при котором сервисные порты по умолчанию закрыты и открываются только после того, как клиент посылает заранее заданную последовательность попыток соединения.
RADIUSШироко распространённый протокол AAA, который сетевые устройства используют для аутентификации, авторизации и учёта доступа пользователей и устройств.
S/MIMEСтандарт IETF для сквозного подписания и шифрования MIME-сообщений с использованием сертификатов X.509, выданных публичным или корпоративным CA.
SASESASE — облачная архитектура, предложенная Gartner в 2019 году, объединяющая SD-WAN с сервисами безопасности (SWG, CASB, ZTNA, FWaaS) на сетевой границе.
SFTPБезопасная подсистема передачи файлов, работающая внутри SSH-сессии на TCP-порту 22 и обеспечивающая аутентифицированные шифрованные операции с файлами и каталогами.
Site-to-Site VPNПостоянный зашифрованный туннель между двумя сетями — филиалами, ЦОДами или облачными VPC, — позволяющий хостам по обе стороны прозрачно общаться друг с другом.
SPF (Sender Policy Framework)Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM.
SSESSE — это «безопасностная» часть SASE: облачный набор SWG, CASB, ZTNA и часто DLP и FWaaS, защищающий трафик пользователей к интернету, SaaS и частным приложениям.
SSHКриптографический сетевой протокол (RFC 4251, порт 22), обеспечивающий аутентифицированный, зашифрованный и целостный удалённый вход, выполнение команд и туннелирование через недоверенную сеть.
SSL (Secure Sockets Layer)Исторический предшественник TLS, разработанный Netscape в 1990-х для шифрования веб-трафика и формально объявленный устаревшим.
SSL StrippingАтака «человек посередине», незаметно понижающая HTTPS-соединение жертвы до открытого HTTP, чтобы злоумышленник мог читать и изменять трафик.
SSL VPNVPN, который туннелирует трафик поверх TLS (исторически SSL), позволяя удалённый доступ через стандартные веб-порты без отдельного VPN-протокола.
STARTTLSРасширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты.
Stateful-межсетевой экранМежсетевой экран, отслеживающий состояние активных соединений в таблице соединений и автоматически пропускающий обратный трафик, соответствующий установленной сессии.
Stateless-межсетевой экранМежсетевой экран, оценивающий каждый пакет независимо по статическим правилам и не отслеживающий состояние соединений.
SWGSecure Web Gateway (SWG) — это прокси, локальный или облачный, который инспектирует веб-трафик пользователей, применяет политики допустимого использования и блокирует вредоносное ПО, фишинг и утечки данных.
TACACS+Протокол AAA от Cisco, который разделяет аутентификацию, авторизацию и учёт и шифрует всю полезную нагрузку пакета между клиентом и сервером.
TCPТранспортный протокол с установлением соединения (RFC 9293), доставляющий по IP упорядоченный, надёжный поток байтов с управлением перегрузкой между двумя конечными точками.
TCP/IPЧетырёхуровневый набор интернет-протоколов, определяющий, как пакеты адресуются, маршрутизируются, фрагментируются и надёжно доставляются между узлами связанных сетей.
TLS (Transport Layer Security)Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
UDPТранспортный протокол без установления соединения (RFC 768), доставляющий отдельные датаграммы между портами с минимальными накладными расходами, без гарантий надёжности и порядка.
VLANВиртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN.
VPN (виртуальная частная сеть)Технология, создающая зашифрованный и аутентифицированный туннель поверх публичной сети, чтобы трафик казался идущим по частной сети.
VPN Kill SwitchЗащитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу.
WAAPWAAP (Web Application and API Protection) — современная эволюция WAF, объединяющая защиту API, управление ботами и митигацию DDoS в единый облачный сервис.
WEP (Wired Equivalent Privacy)Первоначальный протокол конфиденциальности Wi-Fi 1997 года, ныне считающийся взломанным и непригодным для любого продуктивного использования.
Wi-Fi 6EРасширение Wi-Fi 6 (802.11ax) на диапазон 6 ГГц. Wi-Fi Alliance требует от сертифицированных устройств и сетей в нём использовать только WPA3.
Wi-Fi 7Маркетинговое название IEEE 802.11be: каналы 320 МГц, 4K-QAM и Multi-Link Operation; в качестве обязательной основы безопасности используется WPA3.
Wildcard-сертификатСертификат X.509, в имени субъекта которого звёздочка покрывает любую одиночную метку под заданным доменом, например *.example.com.
WireGuardСовременный минималистичный VPN-протокол с фиксированным набором актуальных криптопримитивов, работающий как часть ядра Linux.
WPA2Второе поколение Wi-Fi Protected Access на основе AES-CCMP и IEEE 802.11i, де-факто стандарт безопасности Wi-Fi с 2004 года.
WPA3Третье поколение Wi-Fi Protected Access с аутентификацией на основе SAE, прямой секретностью и усиленной защитой для домашнего и корпоративного Wi-Fi.
ZTNAZTNA — это модель, которая предоставляет пользователю доступ только к конкретным частным приложениям после непрерывной проверки идентичности, устройства и контекста, без сетевого доступа по умолчанию.