D4-06 8–10 分钟 重要程度:中
DNS、邮件、语音与多媒体安全
通信安全不只网络设备,还包含 DNS、邮件、VoIP、PBX 和协作工具。重点是明文协议、伪造、投毒和加密补强。
一、必须记住
- DNS 把 FQDN 解析为 IP,DNSSEC 提供 DNS 身份验证和完整性保护。
- DNS 投毒是篡改域名到 IP 的映射,DNS 欺骗是发送虚假回复击败真实 DNS 回复。
- SMTP、POP3、IMAP 原生缺少端到端保密性。
- S/MIME 用公钥加密和 X.509 证书保护邮件。
- SPF、DKIM、DMARC 用于降低邮件欺骗和域名冒用。
- SRTP 是 RTP 的安全版本,用于保护 VoIP 媒体流。
二、核心概念
DNS 风险
DNS 缓存可能来自 HOSTS 文件或查询结果。DNSSEC 改进 DNS 身份验证,DNS 区域传输应限制在授权服务器之间。
邮件安全
邮件安全目标包括保密性、完整性、身份验证、不可否认性和传递验证。S/MIME、PGP、MOSS、PEM 可提供加密或签名能力;SPF/DKIM/DMARC 关注域名发信验证。
VoIP 与 PBX
VoIP 把语音封装进 IP 包;SRTP 可降低窃听风险。PBX 欺诈可能导致盗打、语音信箱滥用和呼叫重定向。
三、CISSP 判断规则
- 问 DNS 可信和完整性,优先 DNSSEC。
- 问邮件内容保密和签名,优先 S/MIME 或 PGP。
- 问发信域名授权,优先 SPF/DKIM/DMARC。
- 问 VoIP 媒体流保护,优先 SRTP。
四、常见陷阱
- DNSSEC 不加密 DNS 查询内容,重点是验证。
- SMTP/POP/IMAP 原生明文,不代表邮件默认安全。
- SPF/DKIM/DMARC 不等于邮件内容加密。
五、英文关键字
FQDN (完全限定域名) 定义:完整域名,例如主机名加注册域和顶级域。 DNSSEC (DNS 安全扩展) 定义:为 DNS 记录提供身份验证和完整性保护。 DNS poisoning (DNS 投毒) 定义:篡改域名到 IP 的映射,将流量导向错误地址。 DNS spoofing (DNS 欺骗) 定义:发送虚假 DNS 回复击败真实回复。 SMTP (简单邮件传输协议) 定义:邮件发送和服务器间转发协议。 POP3 (邮局协议第 3 版) 定义:从邮件服务器下载邮件到客户端。 IMAP (互联网消息访问协议) 定义:从邮件服务器读取和管理邮件。 S/MIME (安全多用途互联网邮件扩展) 定义:使用公钥加密和 X.509 证书保护邮件。 SPF (发送方策略框架) 定义:检查发信主机是否被域名授权。 DKIM (域名密钥识别邮件) 定义:用域名签名验证邮件来源。 DMARC (域名消息认证报告与一致性) 定义:结合 SPF/DKIM 策略降低邮件欺骗。 SRTP (安全实时传输协议) 定义:RTP 的安全版本,用于保护 VoIP 媒体流。 PBX (专用交换机) 定义:组织内部电话交换系统。
小测验
1. 用于改进 DNS 身份验证和完整性的机制是?
DNSSEC 主要提供 DNS 资料的身份验证和完整性保护。
2. 验证发信主机是否被域名授权发送邮件,最相关的是?
SPF 检查发送主机是否被域名拥有者授权。
3. 保护 VoIP RTP 媒体流,优先使用?
SRTP 是 RTP 的安全版本,用于保护 VoIP 媒体流。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成