D4-06 8–10 分钟 重要程度:中

DNS、邮件、语音与多媒体安全

通信安全不只网络设备,还包含 DNS、邮件、VoIP、PBX 和协作工具。重点是明文协议、伪造、投毒和加密补强。

一、必须记住

  • DNS 把 FQDN 解析为 IP,DNSSEC 提供 DNS 身份验证和完整性保护。
  • DNS 投毒是篡改域名到 IP 的映射,DNS 欺骗是发送虚假回复击败真实 DNS 回复。
  • SMTP、POP3、IMAP 原生缺少端到端保密性。
  • S/MIME 用公钥加密和 X.509 证书保护邮件。
  • SPF、DKIM、DMARC 用于降低邮件欺骗和域名冒用。
  • SRTP 是 RTP 的安全版本,用于保护 VoIP 媒体流。

二、核心概念

DNS 风险

DNS 缓存可能来自 HOSTS 文件或查询结果。DNSSEC 改进 DNS 身份验证,DNS 区域传输应限制在授权服务器之间。

邮件安全

邮件安全目标包括保密性、完整性、身份验证、不可否认性和传递验证。S/MIME、PGP、MOSS、PEM 可提供加密或签名能力;SPF/DKIM/DMARC 关注域名发信验证。

VoIP 与 PBX

VoIP 把语音封装进 IP 包;SRTP 可降低窃听风险。PBX 欺诈可能导致盗打、语音信箱滥用和呼叫重定向。

三、CISSP 判断规则

  • 问 DNS 可信和完整性,优先 DNSSEC。
  • 问邮件内容保密和签名,优先 S/MIME 或 PGP。
  • 问发信域名授权,优先 SPF/DKIM/DMARC。
  • 问 VoIP 媒体流保护,优先 SRTP。

四、常见陷阱

  • DNSSEC 不加密 DNS 查询内容,重点是验证。
  • SMTP/POP/IMAP 原生明文,不代表邮件默认安全。
  • SPF/DKIM/DMARC 不等于邮件内容加密。

五、英文关键字

FQDN (完全限定域名) DNSSEC (DNS 安全扩展) DNS poisoning (DNS 投毒) DNS spoofing (DNS 欺骗) SMTP (简单邮件传输协议) POP3 (邮局协议第 3 版) IMAP (互联网消息访问协议) S/MIME (安全多用途互联网邮件扩展) SPF (发送方策略框架) DKIM (域名密钥识别邮件) DMARC (域名消息认证报告与一致性) SRTP (安全实时传输协议) PBX (专用交换机)

小测验

1. 用于改进 DNS 身份验证和完整性的机制是?

DNSSEC 主要提供 DNS 资料的身份验证和完整性保护。

2. 验证发信主机是否被域名授权发送邮件,最相关的是?

SPF 检查发送主机是否被域名拥有者授权。

3. 保护 VoIP RTP 媒体流,优先使用?

SRTP 是 RTP 的安全版本,用于保护 VoIP 媒体流。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成