Page 3 - StudyBook.pdf

P. 3

Contents ix

Summary of Security+ Exam Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
Exam Objectives Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
Exam Objectives Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
Self Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162
Self Test Quick Answer Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166
Chapter 4 Communication Security: Wireless . . . . . . . . . . . . . . . . . . . . . . . . . 167
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
Wireless Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
Understanding Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
Overview of Wireless Communication in a Wireless Network . . . . . . . . . . . . . . . . . .169
Radio Frequency Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
Spread Spectrum Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Wireless Network Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
CSMA/CD and CSMA/CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
Wireless Local Area Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
WAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
WTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178
IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178
IEEE 802.11b . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
Ad-Hoc and Infrastructure Network Configuration . . . . . . . . . . . . . . . . . . . . . . . . . .181
WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183
Creating Privacy with WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
Common Exploits of Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
Passive Attacks on Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
Active Attacks on Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
MITM Attacks on Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
Wireless Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
WAP Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
WEP Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
Security of 64-Bit vs. 128-Bit Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206
Acquiring a WEP Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206
Addressing Common Risks and Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211
Finding a Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211
Finding Weaknesses in a Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
Exploiting Those Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
Sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217
Protecting Against Sniffing and Eavesdropping . . . . . . . . . . . . . . . . . . . . . . . . . .221
Spoofing (Interception) and Unauthorized Access . . . . . . . . . . . . . . . . . . . . . . . . . . .221
Protecting Against Spoofing and Unauthorized Attacks . . . . . . . . . . . . . . . . . . . .223
Network Hijacking and Modification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .223
Protection against Network Hijacking and Modification . . . . . . . . . . . . . . . . . . .225
Denial of Service and Flooding Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Protecting Against DoS and Flooding Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . .227
IEEE 802.1x Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .228
Site Surveys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Additional Security Measures for Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . .229
Using a Separate Subnet for Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . .230
Using VPNs for Wireless Access to Wired Networks . . . . . . . . . . . . . . . . . . . . . .230
Temporal Key Integrity Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .232
Message Integrity Code (MIC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233
IEEE 802.11i Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
Implementing Wireless Security: Common Best Practices . . . . . . . . . . . . . . . . . . . . . . . . . .235
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
Exam Objectives Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
Exam Objectives Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
Self Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Self Test Quick Answer Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252
Chapter 5 Communication Security: Web Based Services . . . . . . . . . . . . . . . 253
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
Web Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
Web Server Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Managing Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256
Handling Directory and Data Structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
Eliminating Scripting Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
Logging Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262

1 2 3 4 5 6 7 8