本文主要是介绍【CISSP学习笔记】3.通信与网络安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
引言:本章节是整个安全体系中最底层的,会涉及大部分大学期间学习的计算机网络课程知识,如OSI模型、TCP/IP模型、无线网络WiFi等。
该知识领域涉及如下考点,具体内容分布于如下各个子章节:
- 评估和实施网络架构中的安全设计原则
- 安全的网络组件
- 根据设计实施安全通信通道
- 防护或减缓网络攻击
3.1. 网络基础与组件
计算机和网络莎及通信设备、存储设备、处理设备、安全设备、输入/输出设备、操作系统、软件、服务、数据和人员。
3.1.1. OSI 模型
ISO在20世纪70年代晚期开发了开放系统互连OSI参考模型,实话并未广泛彩,但其背后理论很容易被接受。当前广泛在用的TCP/IP协议是在20世纪70年代早期开发。
3.1.1.1. OSI 功能
OSI模型分为7层,每一层通过逻辑信道与另一台计算机上的对等层进行通信。
3.1.1.2. 封装/解封
3.1.1.2.1. 封装
1、应用层创建一条消息并将其传给表示层;
2、表示层通过添加信息头来封装消息,依次向下传递消息并添加特定层的信息直到物理层;
3、物理层消息被软的为用比特表示的电脉冲,并通过物理连接进行传输。
3.1.1.2.2. 解封
1、物理层将接收到的比特重建为消息,并将消息从位转换为数据链路帧发送到数据链路层;
2、数据链路层剥离其信息并将其发送到网络层;
3、执行解封过程直到消息到达应用层。
表:模型数据名称
层 | 数据类型 |
---|---|
应用层 | 数据流(Protocal Data Unit,PDU) |
表示层 | 数据流(Protocal Data Unit,PDU) |
会话层 | 数据流(Protocal Data Unit,PDU) |
传输层 | 段(TCP) / 报文 (UDP) |
网络层 | 数据包 |
数据链路层 | 帧 |
物理层 | 比特 |
3.1.1.3. 层次划分
3.1.1.3.1. 物理层
授受来自数据链路层的帧,并将其转换为比特,以便通过物理连接介质进行传输。
物理层包含设备驱动程序,用来让硬件传输和接收比特,相关规范、协议和标准有:
- EIA/TIA-232 、TIA/TIA-449
- X.21
- 高速串行接口 (HSSI)
- 同步光纤网络 (SONET)
- V.24 和V.35
通过设备驱动程序+标准来:
- 控制吞吐率
- 处理同步
- 管理线路噪声
- 介质访问
网络硬件设备: - 网卡
- 集线器
- 中继器
- 放大器
3.1.1.3.2. 数据链路层
将来自网络层的数据包转为适当的传输格式(帧)。格式由网络硬件和技术决定,如
- 以太网 (IEEE 802.3)
- 令牌网(IEEE 802.5)
- 异步传输模式(ATM)
- 光纤分布式数据接口 (FDDI)
- 铜线分布式数据接口(CDDI)
只有以太网是现在网络中常用的数据链路层技术。对数据链接层内的数据处理包括将硬件源和目标地址添加到帧。
相关协议:
- 串行线路互联网协议 (Serial Line Internet Protocol,SLIP)
- 点对点协议(Point to Point Protocol,PPP)
- 地址解析协议(ARP)
- 第二层转发(L2F)
- 第二层隧道协议 (L2TP)
- 点对点隧道协议 (PPTP)
- 综合业务数字网(Integrated Services Digital Network,ISDN)
网络设备(基于MAC的流量路由):
- 交换机:在一个端口接收帧,并根据目标MAC地址将其发送到另一个端口
- 网桥
MAC(Media Access Control)地址,6字节48位,如00-13-02-1D-22-F2, 前面3个字节表示网卡制造商,称为组织唯 一 标识 (organizationally unique identifier,OUI), 可以在 IEEE查询。
3.1.1.3.3. 网络层
接收来自传输层的段,添加路由和寻址信息以创建数据包,数据包包括源和目标IP地址。
— 网络层负责提供路由或传递信息,但它不负责验证信息是否传递成功。
- 管理错误检测
- 流量控制
相关协议:
- 互联网控制消息协议 (ICMP)
- 路由信息协议(Routing Information Protocol,RIP)
- 开放最短路径优先(Open Shortest Path First,OSPF)
- 边界网关协议(BGP)
- 互联网组管理协议 (IGMP)
- 互联网协议 (IP)
- 互联网协议安全 (Internet Protocol Security,IPsec)
- 网络数据包交换(IPX)
- 网络地址转换 (NAT)
- IP 简单密钥(Simple Key. Management For IP,SKIP)
非IP协议:指在OSI网络层角来替代IP的协议,如IPX、AppleTalk和NetBEUI, 一般只用于专用网络。
网络设备:
- 路由器:根据速率、跳数等确定数据包传输的最佳路径。
路由协议有两类:
- 距离矢量协议 使用包括跳到远程网络的方向和距离在内的度量来做出决策,如RIP;
- 链路状态协议 维护所有连接网络的拓扑图,考虑到到远程网络的最短距离,如OSPF。
3.1.1.3.4. 传输层
负责管理连接的完整性并控制会话,它将来自会话层的数据单元PDU 转换为段。
传输层在两个设备之间建立逻辑连接,并提供端到端的传输服务以确保数据传输,此层包含用于分段、排序、错误检查、控 制数据流、纠错、多路复用等机制。
相关协议:
- 传输控制协议(TCP)
- 用户数据报协议 (UDP)
- 顺序数据包交换(Sequenced Packet Exchange,SPX)
- 安全套接字层(SSL)
- 传输层安全(TLS)
3.1.1.3.5. 会话层
负责建立、维护和终止两台计算机之间的通信会话。它管理对话规则或对话控制(单工、半双工、全双工),建立分组和恢复的检查点,并重传自上次验证点以来失败或丢失的 PDU。
相关协议:
- 网络文件系统 (NFS)
- 结构化查询语言 (SQL)
- 远程过程调用(RPC)
3.1.1.3.6. 表示层
从应用层接收的数据转换为通用或标准化的结构和格式,可负责加密和压缩,允当了网络和应用程序之间的接口。 大多数文件或数据格式在此层运行:
- 美国信息交换标准码 (ASCII)
- 扩展二进制编码十进制交换模式 (EBCDICM)
- 标签图像文件格式(TIFF)
- 联合图像专家组 (JPEG)
- 动态图像专家组 (Moving Picture Experts Group,MPEG)
- 乐器数字接口(Musical Instrument Digital - Interface,MIDI)
3.1.1.3.7. 应用层
负责将应用程序、网络服务或OS 与协议栈连接。
相关协议:
- HTTP
- FTP
- 行打印后台程序 (Line Print Daemon,LPD)
- SMTP
- Telnet
- 普通文件传输协议 (Trivial File Transfer - Proctocol,TFTP)
- 电子数据交换 (EDI)
- POP3(Post Office Protocol version 3,POP)
- Internet消息访问协议 (IMAP)
- 简单网络管理协议(SNMP)
- 安全远程过程调用 (S-RPC)
- 安全电子交易(SET)
相关设备:
- 网关:充当协议转换工具,比如从IP到IPX。
3.1.2. TCP/IP 模型
TCP/IP 模型只有四层
- 应用层(进程)
- 传输层(主机到主机)
- 网络层
- 链路层(网络接口或网络访问)
记忆:中间两层不变,上下合并。
TCP/IP几乎支持所有OS, 但会消耗大量系统资源并且容易被入侵,因为它的设计初衷是易用性而非安全性。可使用 VPN 来保护TCP/IP。常用VPN 协议有PPTP、L2TP、SSH、OpenVPN(SSL/TLS VPN) 和IPsec。
3.1.2.1. 传输层协议
TCP/IP 两个主要传输层协议是TCP (面向连接的全双工协议)和UDP (无连接单工协议)。TCP、UDP都有65536个端口。端口允许单个IP 地址同时支持多个通信,每个通信占用不同的端口:
- 0-1023 众所周知的端口
- 1024-49151 已注册的软件端口
- 49152-65535随机、动态或临时端口
IP + 端口号 = 套接字Socket
图:TCP三次握手建立通信会话
3.1.2.2. 网络层协议和IP网络基础
3.1.2.2.1. IP
与UDP类似, IP 是无连接的,是一种不可靠的数据服务。
1. 默认字网分类:
A 类网络的127为回环地址,如127.0.0.0
2. 无类别域间路由(Classless Inter-Domain Routing,CIDR)
CIDR使用掩码位而非完整的点分十进制表示子网掩码。如255.255.0.0的网段172.16.0.0可用172.16.0.0/16表示。
优点:能将多个不连续的地址组合成一个子网。
3.1.2.2.2. ICMP
ICMP用于确定网络或特定链路的运行情况,可用于ping、traceroute、pathping 等网络管理工具。
ping包含二个重定向函数,允许将回显响应发送到与源系统不同的目的地。
ICMP的IP头协议字段值是1,其次ICMP头中的类型字段定义了其有效载荷中包含的消息类型或目的。常见的7种如下:
类型 | 功能 |
---|---|
0 | 回显应答 |
3 | 目标不可达 |
5 | 重定向 |
8 | 回显请求 |
9 | 路由宣告 |
10 | 路由请求 |
11 | 超时 |
3.1.2.2.3. IGMP
IGMP允许系统支持多播。IGMP的IP报关协议字段值为2。
3.1.2.2.4. ARP
ARP对于逻辑和物理寻址方案至关重要,用于将32位IP地址解析为48位的MAC地址。ARP使用缓存和广播来执行操作,所以攻击者可以将伪造信息插入ARP缓存。
3.1.2.3. 应用层协议
协议名称 | 协议端口 | 协议描述 |
---|---|---|
Telnet | 23 | 终端仿真网络应用程序,支持远程连接以执行命令和运行应用程序,但不支持文件传输 |
FTP | 20、21 | 网络应用程序,支持需要匿名或特定身份验证的文件传输 |
FTTP | 69(UDP) | 网络应用程序,支持不需要身份验证的文件传输 |
SMTP | 25 | 一种协议,用于将电子邮件从客户端传输到电子邮件服务器,以及从一个邮件服务器传输到另一个服务器 |
POP3 | 110 | 将电子邮件从邮件服务器上的收件箱中拉到电子邮件客户端的协议 |
IMAP | 143 | 与 POP3功能类似,但比POP3更安全,并能从电子邮件服务器中提取标头以及直接从电子邮件服务器删除邮 件,而不必先下载到本地客户端 |
DHCP | 67、68(UDP) | DHCP 用于在启动时为系统分配TCP/IP 配置, DHCP 使用67作为服务器上的目标端口来接收客户端,用68将作页户面端元请素求从器传输到Web浏览器的协议 |
SSL | 443 | 一种类似于VPN的安全协议,用于HTTP加密通信 |
syslog | 514(UDP) | 系统日志服务 |
LPD | 515 | 一种网络服务,用于文档打印 |
LPR | 9100 | 打印相关 |
X Window | 6000-6063 | 用于命令行操作系统的GUI API |
NFS | 2049 | 一种网络服务,用于支持不同系统之间的文件共享 |
SNMP | 161、162(UDP) | 一种网络服务,用于通过中央蓝控服务器轮询监控设备来收集网络运行状况和状态信息 |
SSL/TLS LDAP | 636 and 3269 | 安全LDAP |
LDAP | 389 | LDAP |
多层协议
作为协议套件的TCP/IP包含分布在各种协议栈层上的许多单独协议,所以TCP/IP是一种多层协议。比如向通蓿添加SSL/TLS加密将在HITP和TCP之间插入新的封装以太网[IP [TCP [SSL [HTTP]]]]。
优点:
- 可以在更高层使用各种协议;
- 加密可包含在各个层中;
- 支持复杂网络结构中的灵活性和弹性。
缺点:
- 允许隐蔽通道;
- 可以绕过过滤器;
- 逻辑上强加的网段边界可超越。
3.1.2.4. TCP/IP 漏洞
TCP/IP漏洞很多,如缓冲区溢出、SYN洪水攻击、DoS攻击、欺骗攻击、MITM攻击等等
3.1.2.5. DNS及投毒、劫持
3.1.2.5.1. DNS介绍
DNS可将个性化的域名,完全限定域名(Fully Qualified Domain Name,FQDA)解析为对应IP地址,DNA使用了分层命名方案
- 顶级域名(TLD): 如 www.baidu.com中的com,常见的顶级域名有:com,org,edu,mil,gov和net
- 注册域名: 如www.baidu.com中的baidu
- 子域或主机名: 如www.baidu.com中的www
FQDN最左边部分可以是单个主机名,如www、ftp, 或多节子域名称
FQDN的总长不能超过253个字符(包括点)。任何单个部分不能超过63个字符。FQDN只能包含字母、数字和连字符。
Note: 每个注册域名都有一个指定的权威名称服务器。
DNS缓存包含:
- 来自本地HOSTS文件的预加载内容;
- 当前执行的任何DNS查询(尚未超时)
域名系统安全扩展 (DNS System Security Extensins,DNSSEC)对现有DNS基础结构的安 全性作了改进。主要功能是在DNS操作期间在设备之间提供可靠的身份验证,防止DNS滥用。
3.1.2.5.2. DNS投毒
- 部署流氓DNS服务器(DNS欺骗/DNS域欺骗),使用错误的IP信息响应客户端;
- 将错误的信息放入到域文件中;
- 改变HOSTS文件
- 破环IP配置:在客户端或网络上的DHCP服务器上完成;
- 使用代理伪造:攻击者将虚假WEB代理数据植入客户端浏览器,然后操作恶意代理服务器。
防御如下:
- 限制从内部DNS 服务器到外部DNS 服务器的区域传输;
- 限制外部DNS服务从内部DNS服务器中拉取区域传输的外部DNS服务器;
- 部署NIDS监视异常DNS流量;
- 加固专用网络中的所有DNS、服务器和客户端;
- 使用DNSSEC保护DNS基础设施。
3.1.2.5.3. DNS劫持
未经授权更改域名注册的恶意行为。有时当另一个人在原始域名过期后立即注册此域名也称为域名劫持。
3.1.3. 融合协议
融合协议是专有协议与标准协议的结合。比如以太网光纤通道(Fibre Channel over Ethernet,FCoE) 光纤通道是一种网络数据存储解决方案,允许高达128Gbps的文件传输速率。可通过现有网络基础架构支持它,利用这项技术,光纤通道可作为OSI的第3层协议运行,将IP替换为标准以太网网络的有效载荷。
以太网上的光纤通道允许通过以太网进行光纤通道通信,从而允许使用现有的高速网络来承载存储流量。这避免了光纤通道实施的定制电缆工厂的成本。
多协议标签交换(Multiprotocol Label Switching,MPLS) MPLS是一种高吞吐量的高性能网络技术,它基于短路径标 签而不是更长的网络地址来引导网络上的数据。
Internet小型计算机系统接口 (Internet Small Computer System Interface, iSCSI) iSCSI是一种基于IP的网络存储标准,允许在传统网络技术上提供与位置无关的文件服务,通常被视为光纤通信的低成本替代方案。
网络电话(Voice over IP,VoIP) VoIP是一种用于通过TCP/IP网络传输语音/或数据隧道机制。如Skype。
软件定义网络(SDN) SDN是一种独特的网络操作、设计和管理方法。可独立于供应商,防止供应商锁定。
内容分发网络 (CDN) 在互联网上的多个数据中心中部署的资源服务的集合。虽然大多数 CDN 关注服务器的物理分布,但基于客户端的CDN (即P2P)也常用。如BitTorrent。
3.1.4. 无线网络
3.1.4.1. 保护无线接入点
802.1是用于无线网络通信的 IEEE标准,包括802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax。
在部署无线网络是应部署配置为使用基础架构模式而非ad hoc模式的无线访问点。(ad hoc 模式允许任何两个无线网络设 备在没有集中控制权限的情况下进行通信;基础架构模式需要无线接入点,系统上的无线NIC不能直接交互,并且强制执行无线网络访问的无线接入点限制)
基础架构模式有如下变体:
- 独立:无线接入点将无线客户端相互连接但不连接任何有线资源
- 有线扩展:无线接入点充当将无线客户端连接到有线网络的连接点
- 企业扩展:使用多个无线接入点(Wireless Access Points,WAP)将大型物理区域连接到同一有线网络
- 桥接:每个无线接入点使用相同的扩展服务集标识符(Extended Service Set Identifier,ESSID)以便客户端可在保持 网络连接的同时漫游该区域。另一种场景是使用无线连接来连接两个有线网络时就称为桥接模式。
3.1.4.2. 保护SSID
为无线网络分配SSID(即BSSID或ESSID)以将一个无线网络与另一个无线网络区分开。
WAP通过称为信标帧的特殊传输来广播 SSID。这允许范围内的任何无线NIC看到无线网络并使连接尽可能简单。但应禁 用此SID 的默认广播以保持无线网络的安全。即使如此,攻
击者仍可通过无线嗅探器发现 SSID, 因为SSID仍可用于无线客户端和WAP 之间的传输。因此,禁用,SSID 广播不是真正 的安全机制。因此应该使用 WPA2作为可靠的身份验证和加密解决方案,而不是试图隐藏无线网络的存在。
3.1.4.3. 进行现场调查
现场调查是调查环境中部署的无线接入点的位置、强度和范围的过程。此任务通常涉及使用便携式无线设备走动, 记录无线信号强度,并将其映射到建筑物的图纸上。
3.1.4.4. 使用安全加密协议
IEEE 802.11标准定义了两种向AP 进行身段验证的方法:
- 开放式系统身份验证 (Open System Authentication,OSA): 只要可在客户端和WAP之间传输无线电信息就可通信,无需真 正的身份验证,通信一般是明文传输;
- 共享密钥身份验证(Shared Key Authentication, SKA): 必须在通信发生前进行身份验证。SKA定义了一种有线等效保密 (Wired Equivalent Privacy,WEP) 技术,后续增加了WPA、WPA2和其他技术。
1. WEP
WEP旨在提供与有线网线相同级别的无线网络安全性和加密。可以:
- 防止对无线传输的数据包嗅探和窃听保护。
- 防止未经授权的无线网络访问(使用了预置共享密钥)
WEP几乎一发布就被破解了,如今可在一分钟内破解WEP, 现在已经毫无价值。
Note:WEP加密使用了Rivest’Cipher~4(RC4) 对称流密码,由于RC4 的设施和实施存在缺陷(静态公共密钥+初始向量IV)。
2. WPA
WiFi 受保护访问(WiFi Protected Access,WPA)用来替代WEP,是802.11i发布前的临时版本。802.11i 正式版本称为WPA2, 实现类似于 IPsec。
WPA基于LEAP和临时密钥完整性协议 (Temporal Key Integrity Protocol,TKIP),虽然比WEP更复杂,但不提供长期可靠的安全性。
TKIP被设计为WEP的替代品,不需要替换传统的无线硬件。TKIP以WPA的名称实施到802.ii’无线网络中。TKIP改进包括密钥混合功能,该功能将初始化向量(即随机数)与秘密根密钥组合,然后使用该密钥与,RC4进行加密;序列计数器用于防止数据包重放攻击;并使用了名为Michael的强大完整性检查
3. WPA2
是一种新的加密方案,称为CCMP, 基于AES加密(128位密钥),用于替换WEP和TKIP/WPA。CCMP是称为802.11i的修正版本,是无线网络的首选标准安全协议。到目前为止,还没有针对AES/CCMP加密的攻击获得成功。
4. 802.1X/EAP
802.1X允许无线网络利用现有网络基础设施的身份验证服务。通过使用802.1X;、可将其他技术和解决方案(如 RADIUS 、 TACACS、 证书、智能卡、令牌设备和生物识别技术)集成到无线网络中提供身份验证。
扩展身份验证协议(EAP) 不是特定的身份验证机制,它只是一个身份验证框架。实际上,EAP允许新的身份验证技术与现有的无线或点对点连接技术兼容。超过40种不同的EAP身份验证方法得到广泛支持。这些包括 LEAP、EAP-TLS 、EAP-SIM、EAP-AKA 和 EAP-TTLS的无线方法。
5. PEAP
保护的可扩展身份验证协议(Protected Extensible Authentication Protocol,PEAP)将EAP方法封装在提供身份验证和可能加密的TLS隧道中。由于EAP最初设计用于物理隔离通道,因此假定为安全通道,因此EAP通常不加密。PEAP可为EAP方法提供加密。
6. LEAP
轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol,LEAP) 是针对WPA的TKIP的思科专有替代方案,解决了802.11i/WPA2系统作为标准之前的TKIP中存在的缺陷。
LEAP不安全,由于自21世纪初以来就有可用的攻击工具,因此不应使用。
7. MAC过滤器
无线接入点使用MAC 地址来阻止对所有未授权设备的访问。虽然这是一个有用的实现功能,但它可能很难管理,并且往往只 在小型静态环境中使用。
3.1.4.5. 天线放置
最佳天线放置原则:
- 使用中心位置。
- 避免固体物理障碍。
- 避免反光或其他扁平金属表面。
- 避免电气设备
3.1.4.6. 天线类型
- 标准直线或极天线是全向天线,可在垂直于天线的所有方向上发送和接收信号。这是在大多数基站和一些客户端设备 上采用的天线类型。
- 多数其他类型的是定向天线,这意味着它们将发送和接收能力集中在一个主要方向上
3.1.4.7. 调整功率电平控制
一些无线接入点提供天线功率电平的物理或逻辑调整
3.1.4.8. WPS
Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。它旨在减少将新客户端添加到无线网络的工作量。当管理员通过按下基站上的WPS按钮触发该功能时,它通过自动连接第一个新的无线客户端来寻找网络。但是,该标准还要求可以远程发送到基站的代码或个人身份识别码(Personal Identification Number,PIN),以便在不需要按下物理按钮的情况下触发WPS协商。这导致了暴力猜测攻击,使得黑客能在数小时内(通常不到6小时)猜测WPS代码,这反过来又使黑客能将自己的未授权系统连接到无线网络。
WPS 是大多数无线接入点默认启用的功能,因为它是设备Wi-Fi联盟认证的必要条件,所以需要手工禁用它。
3.1.4.9. 使用强制门户
强制网络门户是一种身份验证技术,可将新连接的无线 Web 客户端重定向到门户网站访问控制页面。多用于公共用途的无线网络,如酒店、餐馆、机场等。
3.1.4.10. 一般WIFI安全程序
使用WPA2是一种真正的安全功能,步骤如下:
- 更改默认管理员密码
- 根据部署要求决定是否禁用SSID广播
- 将SSID更改为唯一的。
- 如果无线客户端数量很少(通常小于20),请启动MAC地址过滤并使用静态IP地址。
- 请考虑使用静态IP地址,或使用预留配置 DHCP(仅适用于小型部署)。
- 打并支持的最强的身份验证和加密方式,目前是 WPA2, 可能很快就成为 WPA3(2018年年初开发的新安全模式)。如果你的设备上没有WPA2或更强的解决方案,那么需要更换无线设备。
- 将无线视为远程访问,井使用802.1X 管理访问。
- 将无线视为外部访问,并使用防火墙将WAP与有线网络分开。
- 将无线视为攻击者的入口点,并使用IDS 监控所有WAP到有线网络的通信。
- 要求加密无线客户端和WAP之间的所有传输
3.1.4.11. 无线攻击
战争驾驶(war driving) 使用检测工具寻找无线网络信号的行为,如手持式探测器,带WiFi功能的移动设备。
战争粉笔(war chalking),通常用于向他人透露无线网络的存在,以便共享已发现的WAP。
重放攻击通过保持基站固件更新及NIDS,W-NIDS可以监测告警。
IV IV用来降低可预测性和可重复性。IV 攻击的一个例子是破解WEP加密。
恶意接入点流氓WAP将其配置为有效的SSID、MAC地址和无线信息并以更高的额定功率运行,会导致用户无意中选择 其进行连接。
邪恶双胞胎黑客操作虚假接入点,该接入点将根据客户端设备的连接请求自动克隆接入点的身份。(原理:每次设备成功连接到 WAP时,都会保留WAP配置文件。)
3.1.5. 安全网络组件
3.1.5.1. 网络访问控制
网络访问控制(Network Access Control,NAC)指通过严格遵守和实施安全策略来控制对环境的访问。NAC的目标如下:
- 防止/减少零日攻击
- 在整个网络中实施安全策略
- 使用标识执行访问控制
3.1.5.2. 防火墙
防火墙是管理和控制网络流量的重要工具,可阻止来自互联网的恶意流量进入专用网络。
常见防火墙类型:
静态数据包过滤防火墙-第一代防火墙 也可以称为筛选路由器。通过检查消息头中的数据来过滤流量。通常,规则涉及源、目标和端口地址。使用静态过滤,防火墙无法提供用户身份验证或判断数据包是来目私有网络内部还是外部,它很容易被假冒的数据包所欺骗。工作在 OSI 模型的第3层(网络层)。
静态数据包过滤防火墙被称为第一代防火墙,不跟踪连接状态。
应用级网关防火墙-第二代防火墙也称为代理防火墙。代理是一种将数据包丛一个网络复制到另一个网络的机制:复制 过程还会更改源和目标地址以保护内部或专用网络。应用级网关防火墙根据用于传输或接收数据的应用程序过滤流量。每种
类型的应用程序都必须捅着自己唯一的代理服务器。因此,应用级网关防火墙包括许多单独的代理服务器。这种类型的防火墙会对网络性能产生负面影响,因为每个数据包在通过防火墙时都必须进行检查和处理。工作在 OSI 模型的应用层(第7层)。
电路级网关防火墙-第二代防火墙电路级网关防火墙也称为电路代理,管理基于电路的通信,而不是流量的内容,用今在可信赖的合作伙伴之同建立通信会话。它们权根据通信线路的端点名称(即源和目标地址以及服务端口号)允许或拒绝转发。SOCKS(Socket Secure)是电路级网关防火墙的常见实现方式。它们在 OSI 模型的会话层(第5层)上运行。
之所以也称为二代,是因为它代表了对应用级网关防火墙概念的修改。
状态检查防火墙-第三代防火墙也称为动态数据包过滤防火墙,评估网络流量的状态或上下文。通过检查源和目标地址、应用程序使用情况、来源以及当前数据包与同二会话的先前数据包之间的关系,状态检查防火墙能为授权用户和活动授予更广泛的访问权限,并主动监视和阻止未经授权的用户和活动。状态检查防火墙通常比应用级网关防火墙更有效地运行。工作在OSI 的网络层和传输层(第3、4层)。
下一代防火墙 (Next-Generation Firewalls,NGFWs)) 下一代防火墙是一种多功能设备(MFD), 除防火墙外,还包含多 种安全功能,集成组件可包括 IDS、IPS、TLS/SSL VPN、Web过滤、QoS管理、带宽限制、 NAT转换、VPN和反病毒。
内网隔离防火墙(Internal Segmentation Firewall,ISFW)
部署在内部网段或公司部门之间的防火墙。其目的是为了防止已经存在的恶意代码或有害协议的进一步传播专用网络。
度数据包检测(Deep Packet Inspection,DPI) 是一种过滤机制,通常在应用程序层运行,以便过滤通信的有效内容 (而不仅是报头值)。DP也可称为完整的数据包检查和信息提取(IX)。DPI过滤能够阻正有效通信负载中的域名、恶意软件、垃圾邮件或其他可识别元素。DPI通常与应用层防火墙和/或状态检测防火墙集成在一起。
应用程序级网关防火墙为其筛选的每个服务使用代理。每个代理都被设计用于分析其特定流量类型的流量,使其能够更好地了解有效流量并防止攻击。静态数据包过滤器和电路级网关只需查看使用中的源、目的地和端口,而有状态的数据包检查防火墙可以跟踪通信状态,并基于这种理解允许或拒绝流量。
3.1.5.3. 端点安全
中继器、集中器和放大器 用于加强电缆通信信号以及连接使用相同协议的网段。这些设备可用于沿着冗长线路部署一 个或多个中继器来扩展特定电缆类型的最天传输距离。中继器、集中器和放大器在OSI 第1层运行。中继器、集中器或放大 器两侧的系统是同一冲突域和广播域的一部分。
集线器 用于连接多个系统并连接使用相同协议的网段。集线器是多端口中继器。集线器在OSI 第 1 层运行。集线器两 侧的系统是相同冲突和广播域的一部分。这可确保流量将到达其预期的主机,但代价是同一冲突域和广播域的所有成贫也将 接收通信。太多数组织都采用无中心安全策略来限制或降低嗅探攻击的风险,会首选交换
机,因为集线器是过时技术。
调制解调器 传统的landline 调制解调器是一种通信设备,它覆盖或调制模拟载波信号和数字信息,以支持公共交换电 话网 oublic Switched Telephone Network,PS白。线路的计算机通信。从大约1960年到1995年,调制解调器是 WAN 通信的常用手段。调制解调器通常被数字宽带技术所取代,包括ISDN、 电缆调制解调器、 DSL 调制解调器、802.11无线以 及各种形式的无线调制解调器。
在任何实际不执行调制的设备上使用调制解调器这个术语都是不正确的。标记为调制解调器(电缆、 DSL、ISDN、 无线等) 的大多数现代设备走路由器,而不是调制解调器
网桥 用于将两个网络(甚至是不同拓扑结构、布线类型和速率的网络)连接在一起,以便连接使用相同协议的网段。桥 接器将流量丛一个网络转发到另一个网络。使用不同传输速度连接网络的网桥可能具有缓冲区来存储数据包,真到它们可转 发到较慢的网络。这称为存储转发设备。网桥在OSI 第2层运行。网桥两侧的系统是同一广播域的一部分,但位于不同的冲 突域中。
交换机 你可考虑用交换机或智能集线器来替代集线器。交换机知道每个出站端口上连接的系统的地址。交换机不是在 每个出站端口上重复流量,而仅在己知目的地的端口重复流量。交换机为流量传输提供更高效率,创建单独的冲突域,并提高数据的整体吞吐量。交换机在创建VLAN 时,可创建单独的广播域。在这样的配置中,允许在单个VLAN内进行广播,但 不允许从一个VLAN, 到另一个 VLAN 不受阻碍地进行广播。交换机主要在 OSI、第2层运行。如果交换机具有其他功能(如路由),它们也可在 OSI 第3层运行(例如在 VLAN 之间路由时)。在第2层操作的交换机两侧的系 统是同一广播域的一部分,但处于不同的冲突域中。在第3 层操作的交换机两侧的系统是不同广播域和不同冲突域的一部 分。交换机用于连接使用相同协议的网段。
路由器 用于控制网络上的流量,通常用于连接类似的网络并控制两者之间的流量。它们可使用静态定义的路由表运行, 也可使用动态路由系统。有许多动态路由协议,例如 RIP、OSPF 和 BGP。路由器在OSI 3层运行。路由器任一侧的系统是 不同广播域和不同冲突域的一部分。路由器用于连接使用相同协议的网段。
桥路由器 包括路由器和桥接器的组合设备。桥路由器首先尝试路由,但如果失败,则默认为桥接。因此,桥路由器主要 在第3层运行,但在必要时可在第2层运行。在第3层运行的桥路由器两侧的系统是不同广播域的一部分,并且是不同的 冲突域。在第2 层运行的桥路由器两侧的系统是同一广播域的一部分,但在不同的冲突域中。桥路由器用于连接使用相同 协议的网段。
网关 连接使用不同网络协议的网络。网关负责通过将该流量的格式转换为与每个网络使用的协议或传输方法兼容的形式,将流量从一个网络传输到另一个网络。网关,也称为协议转换器,可以是独立的硬件设备或软件服务(例如,IP, 到IPX网关)。网关两侧的系统是不同广播域和不同冲突域的一部分。网关用于连接使用不同协议的网段。有许多类型的网关,包括 数据、邮件、应用程序、安全和互联网。网关通常在OSI 第7层运行。
代理 是一种不跨协议转换的网关形式。相反,代理充当网络的调解器、过滤器、缓存服务器甚至NATIPAT服务器。代 理执行功能或代表另一个系统请求服务,并连接使用相同协议的网段。代理最常用于在私有网络上为客户端提供互联网访问;同时保护客户端的身份。代理接受来自客户端的请求,更改请求者的源地址,维护请求到客户端的映射,并发出更改的请求 包。这种机制通常称为网络地址转换(NAT)。一旦接收到回复,代理服务器通过检查其映射
来确定它要去往哪个客户端,然后将数据包发送到客户端。代理的任何一边的系统都是不同广播域和不同的冲突域的一部分;
LAN 扩展器 一种远程访问的多层交换机,用于在广域网链路上连接远程网络。这是一个奇怪的设备,因为它创建广域 网,但是这个设备的营销人员避开术语广域网,只使用局域网和扩展的局域网。这个设备背后的想法是使术语更容易理解, 从而使产品比具有复杂概念和术语的常规 WA1 叫设备更容易销售。最终,它是与广域网交换机或广域网路由器相同的产品。 >汇总成表格:硬件、工作层、描述、冲突
3.1.6. 布线、无线、拓扑、通信和传输介质技术
网络上建立安全性不仅涉及管理操作系统和软件。你还必须解决物理问题,包括布线、无线、拓扑和通信技术
3.1.6.1. 传输介质
1. 同轴电缆
同轴电缆也称为coax, 具有由一层绝缘层包围的铜线芯,该绝缘层又由导电编织屏蔽层包围并封装在最终绝缘护套中。由于双绞线普及,coax已经不再使用。
2. 基带和宽带电缆
用于标记大多数网络电缆技术的命名约定遵循语法 XXyyyyZZ。例如10Base2电缆10Mbps。
- XX表示电缆类型提供的最大速度;
- yyyy代表电缆的基带或宽带方面,例如10Base2电缆的基带。基带电缆一次只能传输一个信号,宽带电缆可以同时传输多个信号;
- ZZ代表电缆可使用的最大距离或表示电缆技术的简写。
3. 双绞线
与同轴电缆相比,双绞线布线非常轻便灵活。它由四对彼此缠绕在一起的电线组成,然后套在PVC绝缘体中。如果外部护套下面的导线周围有金属箔包装,则该导线称为屏蔽双绞线(Shielded twisted Pair,STP),否则称为非屏蔽双绞线(Unshielded Twisted Pair,UTP)。UTP最常用于10BaseT、100BaseT和1000BaseT。
双绞线布线的最常见问题如下:
- 使用错误类别的双绞线电缆进行高吞吐量网络连接;
- 部署双绞线长度超过其建议的最大长度(100米);
- 在具有显著干扰的环境中使用UTP。
4. 导线
基手导体的网络布线的距离限制源于用作导体的金属的电阻。铜是最受欢迎的导体,是目前市场上最好、最便宜的室温导体之一。通常可通过使用中继器或集中器来延长电缆。
3.1.6.2. 网络拓扑
计算机和网络设备的物理布局和组织称为网络拓扑。网络的物理布局有四种基本拓扑:环形、总线、星形和网状。
环形拓扑:
环形拓扑将每个系统连接为圆上的点。连接介质用作单向传输回路。 一次只有一个系统可传输数据。流量管理由令牌执行。 总线拓扑:
总线拓扑:
将每个系统连接到干线或主干电缆。总线上的所有系统都可以同时传输数据,这可能导致冲突。当两个系统同时传 输数据时会发生冲突:信号相互干扰。为避免这种情况,系统采用冲突避免机制。
星形拓扑:
来用集中式连接设备,该设备可以是简单的集线器或交换机。每个系统通过专用段连接到中央集线器。如果任何一个段失败: 真他段可以继续送行。但是,中央集线器存在单点故障。通常,星形拓扑比其他拓扑使用更少的布线,并直更容易识别损坏 的电缆。
网状拓扑:
网状拓扑使用多个路径将系统连接到其他系统。网状拓扑将每个系统连接到网络上的其他所有系统。网状拓扑提供与系统的
冗余连接,即使多个段出现故障,也不会严重影响连接。
3.1.6.3. 无线通信与安全
3.1.6.3.1. 通用无线概念
无线通信使用无线电波在一定距离上传输信号。无线电波频谱数量是有限的,无线电波的频率在3Hz和300GHz,之间。900MHz、2.4GHz和5GHZ频率是无线产品中最常用的,因为它们是未经许可的分类。为管理有限的无线电频率的同时使用,开发了九 种频谱使用技术,包括
- 扩频 (Spread Spectrum)
- 跳频扩频(Frequency Hopping Spread Spectrum,FHSS)
- 直接序列扩频 (Direct Sequence Spread Spectrum,DSSS)
- 正交频分复用(Orthogonal Frequency-Division Multipiexing,OFDM)。
3.1.6.3.2. 手机
蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与蜂窝电话运营商的网络以及其他蜂窝电话设备或 互联网进行交互。相关术语UMTS、CDMA、LTE等。
ESN(Electronic Serial Number)及MIN(Moblie Identification Number)甚至SIM(Subscriber Identification Module)可烧录至空白手机。克隆手机使用中产生的话费都会计入被克隆的用户账上。使用无线频率扫描器,能拦截手机通信及数据传输。
- 2G技术 CDMA、GSM和IDEN
- 3G技术 EDGE、DECT和UTMS
- 4G技术 包括WiMax、LTE和IEE 802.20移动宽带
3.1.6.3.3. 蓝牙(802.15)
蓝牙或IEEE 802.15个人局域网(PAN)是无线安全问题的另一个领域。用于手机、鼠标、键盘、全球定位系统(GPS)设备以及许多其他接口设备和外围设备的耳机通过蓝牙连接。
由于蓝牙不提供强加密,因此只能用于非机密活动。蓝牙PIN码是四位代码,通常默认为0000。关闭它并确保您的设备不处于发现模式可以帮助防止蓝牙攻击。
3.1.6.4. RFID
射频识别(Radio Frequency Identification,RFID)是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技 术。
3.1.6.4.1. NFC
近场通信(Near-field communication,NFC)是在非常接近的设备之间建立无线电通信的标准。
3.1.6.4.2. 无线电话
无线电话代表了一个经常被忽视的安全问题。无线电话设计为使用任何一种未经许可的频率,换言之,900Hz、2.4GHz 或 5GHz。 这三种未经许可的频率范围被许多不同类型的设备使用,如完线电话、婴儿监视器、蓝牙和无线网络设备。经常被忽 视的问题是有人可以轻易地窃听无线电话上的对话,因为它的信号很少被加密。使用频率扫描仪,任行人都可收听你的对话。
3.1.6.5. 局域网技术
3.1.6.5.1. 以太网
太网是一种共享介质 LAN 技术(也称为广播技术)。这意味着它允许多个设备通过相同的质进行通信,但要求设备轮流通信 并检测冲突和避免冲突。以长网采用广播域和冲突域。严播域是系统的物理分组,其中该组中的所有系统都接收出该组中的单个系统发送的广播。冲突域由系统分组组成,如果两个累统同时发送,则在这些系统中发生数据冲突。
3.1.6.5.2. 令牌环
令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。令牌在 LAN的所有成员之间以逻辑循环行进。令牌环可 角芋环形或星形网络拓扑。令牌环性能有限,与以太网相比成本较高,部署和管理难度较大,因此很少使用。
3.1.6.5.3. 光纤分布式数据接口(FDDI)
FDDI 是一种高速令牌传递技术,它采用两个环,其流量方向相反。 FDDI 通常用作大型企业网络的主干。
五种LAN介质访同技未用孕避免或防正传输冲突。这些技术定义了同一冲突域内的多个系统如何进行通信。其中一些技术可主动防止冲突,而其他技术可应对冲突。
载波侦听多路访问(Carrier-Sense Multiple Access,CSMA) 通过以下步骤执行通信的LAN介质访问技术:
(1)主机侦听LAN介质以确定它是否正在使用中。
(2)如果LAN 介质未被使用,则主机发送其通信。
(3)主机等待确认。
(4)如果在超时后没有收到确认,则主机从步骤1 重新开始。
CSMA 不未置接解决冲奖。如巢发生冲笑,则通信不会成功,因此不会收到确认。这导致发送系统重新发送数据并再次执行 CSMA过程。
载波侦听多路访问/冲突避免(Carrier-Sense Multiple Access with Collision Avoidance,CSMNCA) 通过以下步骤执行通信的 LAN 介质访问技术:
(1)主机有两个到 LAN 介质的连接:入站和出站。主机侦昕入站连接以确定 LAN 介质是
否正在使用中。
(2)如果未使用 LAN 介质,则主机请求传输权限。
(3)如果在超时后未授予权限,则主机将从步骤1 重新开始。
(4)如果授予了权限,则主机通过出站连接发送其通信。
(5)主机等待确认。
(6)如果在超时后未收到确认,则主机在步骤1 重新开始。
载波侦听多路访问/冲突检测 (Carrier-Sense Multiple Access with Collision Detection,CSMA/CD) 通过以下步骤执行通信的 LAN 媒体访问技术:
(1)主机侦听 LAN 介质以确定它是否正在使用中。
(2)如果LAN 介质未被使用,则主机发送其通信。
(3)在发送时,主机侦听冲突(即两个或多个主机同时发送)。例如果检测到冲突,则主机发送阻塞信号。
(5)如巢收到阻塞信号,则所有主机都停止发送。每个主机等待一段随机时间,然后灰步骤1开始
以太网采用CSMA/CD技术。CSMA/CD 逼过让冲突域的每个成员在开始该过程之前等待一段短暂但随机的时间来响应冲突。 不華的是,究许冲突发生对冲突做出响应或发应会导致传输延迟以及董复传输。这将导致约40%的潜在春吐量损失。
3.2. 安全通信与网络攻击
3.2.1. 网络与协议安全机制
3.2.1.1. 安全通信协议
安全通信协议指为特殊应用的通信通道提供安全服务的协议。常用如下:
IPsec 使用公钥加密算法,为所有基子D 的协议提供加密、访问控制、不可否认及信息身份验证等服务。IPsec可工作在传输模式或隧道模式,主要用于VPN。
Kerberos 提供了单一登录解决方案,并对登入证书提供保护。
SSH 可充当协议加密工具(如 SFTP) 或VPN
信令协议(Signal Protocal) 是一种为语音通信、视频会议以及广西信息服务提供E2E 加密服务的加密协议。
安全远程过程调用S-RPC,是一种身份验证服务,用于防止非法代码在远程系统上执行。
SSL Netscape 公司开发的加密协议,用于保护Web服务器与浏览器之间的通信。采用40位或128位密钥,现在已经被 TLS 取代。
TLS TLS与 SSL 类似,但安全性更高。
3.2.1.2. 身份验证协议
当远程系统与服务器或网络建立初始连接后,第一步工作应是验证远端用户的身份,称为身份验证。如下几种身份验证协议 来控制登录证书的交换,以及确定在传输过程中这些证书是否需要加密。
CHAP(Challenge Handshake Authentication Protocol) 用于PPP连接上的身份验证协议。CHAP加密用户名和密码,采用无法重放的挑战-应答对话进行验证。
PAP(Password Authentication Protocol) 用于PPP标准化身份验证协议。 PAP 使用明文传输用户名与密码,不提供任何加密,只提供简单传输路径,把登录证书从客户端传递到身份验证服务器。
EAP(Extensible Authentication Protocol) 是一种身份验证框架而不是真实协议。EAP支持可定制的身份验证安全解 决方案,如智能卡、令牌和生物身份验证("EAP、PEAP及LEAP"中提供有关其他基于EAP 的协议信息)。
上述三个身份验证协议最初都应角于拨号 PPP连接中。现在,它们与许多新验证协议(如 penID、OAuth及 Shibboleth)及SAML等一起,都应角于大量的远程连接技术中,如宽带及VPN,同时扩展了对传统身份验证服务(如Kerberos、RADIUS及TACACS+)的支持与使用。
RADIUS用于为远程拨号连接提供中心化的身份验证服务。网络中部署一台RADIUS服务器,远程访问服务器会将拨号用户的 登录凭据传递给 RADIUS服务器进行身份验证。这个过程类似于域用户传递登录证书给域控制器进行验证。
TACACS+是RADIUS的一种替代方案,TACACS有三个版本:
- 原始TACACS:整合了身份验证和授权过程
- 扩展TACACS(XTACACS): 实现了身份验证、授权和记账过程的分离。
- TACACS+: 对XTACACS+进行了改进,加入了双因素身份验证,用了TCP 49端口。
3.2.2. 语言通信安全
3.2.2.1. VoIP
VoIP (互联网语音协议1网络电话)是一种将语音封装在IP包中的技术,该技术支持在 TCP/IP网络中打电话。在世界范围 内,VoIP己经成为公司及个人大众化的、廉价的电话解决方案。
安全实时传输协议(SRTP)。是RTP时间传输协议的安全改进版本,也应用于VoIP中,尽可能降低VoIP 遭受DoS 攻击的风险。
3.2.2.2. 社会工程
3.2.2.3. 欺骗与滥用
另一个语音通信威胁是专用交换机(Private Branch Exchange, PBX)欺诈和滥用,目的是想逃避电话费用或隐藏身份。专用小交换机(PBX)是一种部署在私人组织中的电话交换或交换系统以便能够多站使用少量的外部PSTN线路。例如,PBX可以允许办公室中的150部电话共享访问20条租用的PSTN线路。
1、传统的PBX系统很容易被窃听,因为语音通信是直接通过铜线进行的。
2、Phreakers可能能够获得对个人语音信箱的未经授权的访问、重定向消息、阻止访问以及重定向入站和出站呼叫。
3.2.3. 多媒体协作
3.2.3.1. 远程会议
3.2.3.2. 即时通信 (Instant Messaging,IM)
3.2.3.3. 管理邮件安全
互联网中邮件基础设施主要是邮件服务器(如 Exchange,Sendmai), 使用 SMTP(SimpleMail Transfer Protocol, 简单邮件传输协议)接收来自客户的邮件,并将这些邮件传送给其他服务器,这些邮件最后被存储到服务器的用户收件箱中。除了邮件 服务器,还有邮件的客户端。客户端使用POP3 或IMAP, 从鄙件服务器的收件箱中查收邮件。客户端使用SMTP 与邮件服务器 问通信。
3.2.3.4. 邮件安全目标
- 提供不可否认性
- 消息只限制收件人可以访问(即隐私与保密性)
- 维护消息的完整性
- 身份验证和验证消息源
- 验证消息的传递
- 对消息或附件中的敏感内容进行分
3.2.3.5. 邮件安全问题
- 拦截和窃听 邮件的标准协议(如SMTP、POP、IMAP)都未采用本地加密措施。因此,信息以原始形式提交给邮件服务器 进行传输,通常都是明文。
- 篡改 缺乏本地完整性检查机制
- Dos 攻击
- 垃圾邮件
- 病毒、蠕虫、木马、文档宏病毒等恶意代码形式
3.2.3.6. 邮件安全解决方案
S/MIME(Secure Multipurpose Internet Mail Extensions ) S/MIME是一种邮件安全标准,通过公钥加密(PKCS,Public Key Cryptography
Standard) 和数字签名 (X.509 数字证书)为邮件提供身份验证及保密性保护。
MOSS(MIME"Object Security Service) 为邮件提供身份验证、保密性、完整性及不可否认保护。
PEM(Privacy Enhanced Mail) PEM 是一种邮件加密技术,能提供身份验证、完整性、保密性及不可否认保护。 PEM使用RSA、DES 及 X.509.
PGP(Pretty Good Privacy) PGP是一种对称密钥系统,使用大师的加密算法加密文件及邮件消息。
DKIM(Domain keys Identified Mail) DKIM 通过验证域名标识,确定来自组织的邮件是否有效。
SPF(Sender Policy Framework).组织可通过为SMTP服务器配置 SPF来防正垃圾邮件及邮件欺骗。 SPF 通过检查发送 消息的主机是否获得 SMTP域名拥有者的授权,来确定消息的有效性。
DMARC(Domain Message Authentication Reporting and Conformance)
SMTPS SMTP的 TLS 加密形式,使用TCP 465端口。
3.2.4. 远程访问安全
传输保护 包括 VPN、SSL、TLS、SSH、IPsec 以及第二层隧道协议(L2TP)。
除了要保护数据流量,还要确保所有登录凭据的安全。
身份验证保护 采用身份验证协议以及必要的中心化远程访问身份验证系统。包括:
- 密码身份验证协议(password Authentication Protocol,PAP);
- 征询握手身份验证协议(Chalienge Handshake Authentication Protocol,CHAP);
- 可扩展身份验证协议(EAP或其扩展PEAP或LEAP);
- 远程身份验证拨入用户服务(Remote Authentication Dial-In iser Service,RADTUS);
- 终端访问控制器访问控制系统+(Terminal Access Controller Access-Control System Plus, TACACS+)。
3.2.5. 虚拟专用网VPN
VPN能在不安全或不可信的网络上提供保密性及完整性保护,但不保证可用性。
使用IPSec VPN的一种方法是通过公共网络创建一个专用的加密网络(或隧道),允许用户成为雇主内部网络的虚拟部分。IPSec不同于TLS,它为机密性和完整性提供加密。
3.2.5.1. 隧道技术
通过采用中间网络(不可信),对合法通过的协议进行封包(即将协议数据包封装在另一种协议报文中),来保护内部协议及 流量数据的安全。如果主要协议不要路由,也可以使用隧道技术将网络中支持的协议数量降至最低。
优点:
1、隧道技术可防止流量控制装置阻挡或丢弃数据,因为这些装置不知道数据包内容。
2、低成本
缺点:
1、低效:增加了报文大小,消耗了更多带宽;
2、是点对点的通信机制,不支持处理广播流量
3、 受到中间网络的速度以及客尸系统与服务器系统间连接类型的限制。
记忆:将邮件(数据包)放入信封(隧道协议)中,通过邮局服务(不可信的中间网络)送到收件人手中。其实隧道技术 是通信系统内的常用据动,如使用TLS 连接防简web 网站,明文通信就用了隧道技术封茬TLS 会话中。
3.2.5.2. 常用VPN协议
四种常用的VPN协议:PPTP、L2F、L2TP和IPsec。
- PPTP、L2F、L2TP工作在OSI 2;
- PPTP和IPsec仅限在IP网络中使用;
- L2F、L2TP可用来封装任何LAN协议。
3.2.5.2.1. PPTP
点对点隧道协议PPTP是一种在拨号点对点协议基础上开发的封装协议,工作在OSI2 层,用于 IP网络。PPTP不支持TACACS+及RADIUS。
PPTP的初始隧道协商过程是不加密的,在建立会话的数据包中包含发送者和接收者的地址,“也可能包含用户名和散列的密码。现在已经被L2TP取代,L2TP使用IPsec为VPN提供流量加密功能。
3.2.5.2.2. L2F、L2TP
思科开发了自己的 VPN 协议,称为L2F (从名字可以看出工作在 OSI2), 是一种互相身份验证隧道机制,不提供加密,很快被L2TP取代。L2TP是PPTP"和L2F的结合,在通信端点间创立点对点隧道,采用IPsec作为安全机制。支持TACACS+及RADIUS。
GRE(Generic Routing Encapsulation) 也是思科的专有隧道可用于建立VPN 的协议。GRE提供封装但不是加密。
3.2.5.2.3. IPsec
IPsec即是单独的VPN协议,也是L2TP的安全机制(两者结合称为L2TP/IPsec), 能够提供身份验证及数据传输加密,工作在IP网络中,并只能用于IP流量。IPsec是以下协议的集合:
- 身份验证头(Authentication Header,AH):提供身份验证、完整性及不可否认性保护。
- 封装安全载荷 (Encapsulation Security Payload,ESP):提供加密,保护传输数据安全性,也提供有限的身份验证功能。工作在OSI 3, 可用于传输模式或隧道模式。
- HMAC(Hash-based Message Authentication Code)
- IPComp(IP Payload Compression) IP 有效负载压缩(IPComp)是IPsec用来在ESP加密数据之前压缩数据的压缩工具,以便尝试跟无线网络传输
- IKE IPsec 管理加密密钥的机制是互联网密钥交换 (Internet Key Exchange,IKE)。IKE 由三个元素组成: OAKLEY、SKEME和ISAKMP。、OARLE,是一种类似于 Diffie-hellman 的密钥生成和交换协议。安全密钥交换机制”(SKEME) 是一种安全地交换密钥的方法,类似于数字信封。互联网安全关联和密钥管理协议(ISAKMP) 用子组织和管理OAKLEY和SKEME 生成和交换的加密密钥。
传输模式下IP报文数据进行加密,报文头不加密;隧道模式下,整个IP 报文都加密,并添加新的报文头部来管理报文在隧道中的传输。
3.2.5.3. 虚拟局域网VLAN
VLAN(Virtual Local Area Network) 即虚拟局域网,是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交 换机上配置VLAN, 可以实现在同一个vLAN内的用户可以进行二层置访,而不同VLAN 间的角户被二层隔离。这样既能够隔禽 产播域,受能够提升网络的安全性。默认情况下,交换机上的所有端口都属于VLAN.1。
如果任何网段不写其他网段进待通信,節可完成工作,它行之间就没必要进行通信。使用VLAN,保证必要的通信。
不同VLAN 的计算机即便IP地址设置成一个网段,也不能通信了。要想实现VLAN间通信,必须经过路由器(三层设备)转爱, 这就要求不同VLAN 分配不同网段的IP 地址
举例:企业公司出于安全考虑,几乎都会将同一个部门的计算机放在同一个网段,或将安全要求一致的计算机放置到一个网段。
VLAN可以为网络提供以下作用:
- 广播控制:限制网络上的广播,将网络划分为多个VLAN可减少广播影响的设备数量。
- 带宽利用
- 降低延迟
- 安全性:增强局域网的安全性,同一部门的计算机放到一个VLAN, 不 同VLAN 中的计算机必须通过网络设备才能通信
VLN 类似字网但文不是子网,VLAN 是工作在2层的交换机创建的,子网是通过第3层IP地址及子网掩码配置的。
3.2.6. 虚拟化
虚拟化技术用于在单个计算机系统内存中创建一个或多个操作系统。常见的有VMware/vSphere、 微软Hyper-V、VirtualBox 及苹果公司的Parallels。典型安全问题是虚拟机逃逸,即容器或虚拟机中的软件破坏了管理系统”的隔离保护或渗透进入了宿主机;
使用虚拟接口的服务器和系统之间的通信可能发生在虚拟环境的“内部”。IDS只能监测到在VM环境之外发送的流量。
虚拟化网络
传统网络由于设备内配置(如路由器、交换机)的复杂性,经常迫使组织只能依靠单一设备制造商,如思科,使得网络很难适 应物理及业务条件的改曼。SDN 的目标是将基础设施层(硬件及硬件设置)从控制层(数据传输管理的网络服务)中分离出来。 筒时,这也消除丁P 地址、子网、路由等传统的网络概念,就像是通过编程或苗应用解密来完成一样。
3.2.7. 网络地址转换NAT
NAT (网络地址转换)可解蔽私有网络的设计、降低公网 IP地址的租用费用。 NAT 是一种地址转换技术,工作在网络层,能将 报文头中的内部IP 地址,转换为司在互联网正传输的公网IP 地址。
NAT带来了很多好处:
- 整个网络可通过共享一个(或一些)公网IP地址接入互联网;
- 可在内网中使用RFC 1918中定义的私有IP地址,与互联网进行通信;
- 向外部隐藏了内部 IP 地址的划分及网络拓扑;
- NAT对连接做了限制:来自互联网的流量中,只有网络内部受保护连接中的流量才允许通过。这样,大多数人侵攻击会被自动拦截。
3.2.7.1. 私有IP 地址
IPv4地址约40亿个(2的32次方),世界上的连网设备远多于此,设计者早期也有预见性,将一些IP地址保留作为私有的、不受限的用途,这些IP 地址通常称为私有 IP 地址:
- 10.0.0.0-10.255.255.255 (全A 类地址段)
- 172.16.0.0-172.31.255.255 (16个B 类地址段)
- 192.168.0.0-192.168.255.255(256个C 类地址段)
所有公用可达的路由器,都会丢弃源地址或目的地址来自RFC 1918定义地址的数据包。
3.2.7.2. 有状态 NAT
NAT维护了一张内部用户请求及内部用户IP 地址到互联网服务 IP地址的映射表。当收到一个来自内部用户的请求报文时,NAT会将该报文的源地址更改为NAT 的服务器地址,所做的更改信息与目的地址一起记录到NAT 数据库中。丛互联网服务器 上接收到回复信息后,NAT将回复信息中的源地址,与存储在映射数据库中的地址进行对比,确定该信息所属的用户地址, 再将该回复信息转发给接收者。该过程称为”有状态 NAT",因为维护了用户与外部系统之间的通信会话信息。
二个外部公网IP 地址一次只用于一个内部用户通信。当用户数大于公网 IP时会产生性能瓶颈。其他形式的NAT采用了多 路复用技术,使用端口号为多个用户提供共用单个公网IP 地址的方法,称为端口地址转换PAT。
3.2.7.3. SNAT与DNAT
NAT 有两种工作模式:
- SNAT(Source Network Address Translation): 修改数据包中的源IP 地址,可以实现局域网共享上网。
- DNAT(Destination Network Address Translation):修改数据包中的目标IP 地址,用于在企业局域网中的服务器进行服 务 发 布 。
NAT 并不能直接与IPsec 兼容,因为它需要修改报文头部,可通过NAT代理支持NAT基础上的IPsec。
3.2.7.4. 自动私有IP分配
自动化私有IP 地 址(Automatic Private IP Addressing;APIPA)也称为本地链路地址分配,是在动态主机配置协议DHCP分 配失败的情况下,继续为系统分配 IP 地址。不同 IP地址有不同应用场合:
- 公有地址
- 私有地址
- APIPA 地址
- 回环地址:用于进行自发自收通信,可用于本地网络测试。整个127.x.x.x地址段都保留作为回环使用。
3.2.8. 交换技术
交换技术是为了解决数据包从一个系统传输到另一个系统的复杂性问题。
3.2.8.1. 电路交换
起源于公用电话交换网络中对电话呼叫的管理,电路交换中,两个通信实体之间需要建立专门的物理通道, 一旦电话接通, 两个实体间的链路一真保持到通话结束。
优点:保证了通话质量高,几乎不会中断。
现状:几乎不在使用了。
3.2.8.2. 分组交换
分组交换技术将信息分为很小的段(分组),并通过中间网络将这些分组传送到目的地。
在安全方面,在同二个物理连接中可能会传输来自不同地址的数据,存在泄露、破坏、窃听风险。
电路交换 | 分组交换 |
---|---|
持续流量 | 突发流量 |
固定时延 | 可变时延 |
面向连接,对连接丢失敏感 | 无连接,对数据丢失敏感 |
主要用于语音 | 可用于任何类型的流量 |
3.2.8.3. 虚电路
虚电路的概念来源于电话领域,它采用了真正的电路,使用VC号转发分组。分组交换系统中存在两种类型的虚电路:
- PVC(Permanent Virtual Circuits,永久虚电路):类似于一台双向电台或对讲机,需要通信时,按下按钮即可开始对话。
- SVC(Switched Virtual Circuits, 交换式虚电路):类似一台短波或业余电台,每次都必须将发送器和接收机调到相同频率才能与其他人通信。
3.2.9. WAN 技术
WAN(Wide Area Network)将远距离网络、节点或单独设备连接起来。连接技术分为两大类:专线和非专用线路(标准调整解调器、DSL、ISDN)。
Note:Digital subscriber line(DSL),Integrated Services Digital Network (ISDN)
3.2.9.1. WAN连接技术
边界连接设备(通道服务单元/数据服务单元,Channel/Data Service Unit,CSU/DSU)将 LAN 信号转换为WAN 网络能识别 的格式。
3.2.9.1.1. X.25 WAN连接
X.25 是一种较老的分组交换技术,使用PVC 在两个系统或网络间建立专门的点对点连接, X.25 是帧中继的前身。当前X.25 和帧中继都已经被光纤及无线通信协议取代。
3.2.9.1.2. 帧中继
类似X.25, 帧中继也是一种分组交换技术,使用PVC。 但帧中继在单一WAN运营商服务连接上无拘无束多条PVC。 帧中继是第二层技术。
帧中继支持多个专用虚拟电路(PVC),与X.25不同。它是一种提供承诺信息速率(CIR)的分组交换技术,这是服务提供商向客户提供的最低带宽保证。最后,帧中继在每个连接点都需要一个DTC(WAN 网络的交换机)/DCE(LAN 网络的路由器),由DTE提供对帧中继网络的访问,以及由提供商提供的DCE,后者通过网络传输数据。
3.2.9.1.3. ATM
ATM(Asynchronous Transfer Mode, 异步传输模式)是一种信元交换 WAN 通信技术,与帧中继那样的分组交换技术不同, ATM 将通信内容分为固定长度为.53 字节的信元。使用固定长度的信元,能保证~ATM 传输非常高效,实现高吞吐率。ATM 既可使用 PVC, 也可使用SVC。 也是一种过时技术,被光纤通信取代。
3.2.9.1.4. SMDS
SMDS(Switched Multimegabit Data Service,交换式多兆位数据服务)是一种无连接的分组交换技术。 SMDS 常用于连接多 个LAN组建MAN 或WAN。SMDS支持高速的突发流量以及按需分配带宽。该技术也是将通信内容分为较小的传输信元。
3.2.9.1.5. SDH和SONET
SDH(Synchronous Digital Hierarchy, 同步数字系列)与 SONET(Synchronos Optical Network, 同步光纤网络)是光纤高 速网络标准。 SDH是国际电信联盟(ITU) 标准,而SONET是美国国际标准化研究所 (ANSI) 标准。 SDH与SONET 主要是硬件 及物理层标准,定义了基础设施及线速需求。SDH与SONET 使用同步时分复用(TDM) 技术,实现了高速全双工通信,同时将日常的控制及管理需求降至最低.
3.2.9.1.6. 专用协议
一些WAN 连接技术需要额外的专用协议,来支持各类专用系统或设备。其中两个协议是SDLC和HDLC:
- SDLC(Synchronous Data Link Control,同步数据链路控制)SDLC 应用在专线的永久物理连接上,用于连接大型机,如 IBM 的系统网络架构(SNA)系统。SDLC.使用轮询技术,工作在OSI的第2层(数据链路层),是一种面向比特的同步协议。
- HDLC(High-Level Data Link Control,高级数据链路控制) HDLC 是 SDLC的改进版本专门用于串行同步连接。 HDLC 支持全双工通信,既支持点对点也支持多点连接。HDLC 与 SDLC类似,也使用轮询,工作在 OSI 第 2 层(数据链路层)。HDLC 支持流量控制、错误检测与纠正。
3.2.9.2. 拨号封装协议
点对点协议(PPP)是一种封装协议,用于在拨号或点对点链路上支持 IP 流量的传输。 PPP支持多厂商的串行链路 WAN 设备 间的互操作。所有拨号及大多数点对点连接,在本质上都是串行的(相对于并行)。PPP 覆盖广泛的通信设备,支持IP 地址的 分配写管理、同步通信的管理、标准化封装、多路复用、链路配置、链路质量测试、错误检测以及特征或选项协商(如压缩)。 PPP 最初是为了支持 CHAP,及 PAP 身份验证。
3.2.10. 多种安全控制特征
3.2.10.1. 透明性
安全机制越透明,用户就不可能绕过它,甚至察觉不到其存在。
3.2.10.2. 验证完整性
为验证传输的完整性,可采用称为hash值的校验和技术(hash total)。 消息或报文在通信通道上传输前,先进行 hash 计 算。计算得到的Hash 值附加到消息尾部。与循环冗余校验值 (CRC) 类似,两者都充当完整性验证工具
3.2.10.3. 传输机制
传输日志是一种专注于通信的审计技术。传输日志记录源地址、目的地址、时间戳、识别码、传输状态、报文数量、消 息大小等详细信息。对于故障定位、追踪非法通信十分有用
传输错误检测 是面向连接、面向会话协议及服务的内置功能。该功能要求在确定一条消息的整体或部分受到了破坏、 更改或丢失时,能够向信源发送请求,要求重新发送消息的整体或部分。传输错误纠正系统发现通信中存在向题时,由重传 控制来确定是消息的整体还是部分需要重新传输。重传控制也用于确定是否多次重复发送 hash 值或CRC值,以及是否使 用多数据路径或通信通道
3.2.11. 安全边界
安全边界”是在荷两个具有不同安全需求的区域、子网或环境的交界线。安全边界存在于高安全区域与低安全区域之间,例如AN与互联网之间。不论在网络还是物理世界中,能够准确识别出安全边界是菲常重要的。只要发现了安全边界,就需要部署安全机制来控制信息的跨界流动。
3.2.12. 网络攻击
3.2.12.1. Dos与DDoS
有一些针对此类攻击的应对措施和保护手段:
- 增加防火墙、路由器及入侵检测系统(IDS), 用于检测 DoS 流量,并自动封锁特定端口
或针对特定的源地址、且的地址进行流量过滤; - 与服务提供商保持沟通,以便茬发生 Dos ”攻击时及时请求过滤服务;
- 禁用外部系统的 echo 回复;
- 在边界系统上禁用广播功能;
- 阻止欺骗报文进入或流出网络;
- 保持所有系统都能及时得到厂商的补丁更新;
- 考虑采用商业花"DoS 保护/响应服务,例如CloudFlare的DDoS mitigation或 Prolexic。这些产品可能较昂贵,但通常很有效。
出站筛选扫描出站流量以查找潜在的违反安全策略的情况:
- 以私有IP地址为目的地的流量;
- 以广播地址为目的的流量;
- 以及具有不属于组织的伪造源地址的流量。
3.2.12.2. 窃听
防止窃听的常用方法是维护通信的可靠与安全。
3.2.12.3. 假冒/伪装
防假冒的方法包括:使用一次性密码及令牌身份验证系统,使用Kerberos身份验证,使用加密来提高在网络流量中提取身份验证凭据的难度
3.2.12.4. 重放攻击
重放攻击是假冒攻击的衍生物,攻击可能来自通过窃听获取的网络流量。攻击的手法是:通过重放抓取的流量,与被攻击系统建立通信会话。预防方法有:使用一次性身份,验证机制和顺序会话标识
3.2.12.5. 修改攻击
在“修改攻击”中,捕获的报文经过修改后又被发送给系统。修改报文主要是为了绕过改进型身份验证机制与会话序列的限制。 修改重放攻击的应对措施包括使用数字签名验证及报文校验和验证。
3.2.12.6. ARP欺骗
ARP映射也会受到欺骗攻击。ARP"欺骗"通过为请求的IP 地址提供虚假的MAC地址,将流量重定向到更改后的目的地址。ARP攻击也经常是中间人攻击的要素之一。
该攻击的手法是,入侵者系统用本机的MAC地址与目的系统IP地址欺骗构成映射对 存入源系统的ARP缓存中。这样,所有来自源系统的报文,都会先经过入侵者系统检查后才会转发给目的系统。能采取一些措施来防范ARP攻击,例如为关键系统设置静态的ARP映射表,监视ARP缓存的MAC-to-IP映射,或使用IDS来检测系统流量中的异常事件以及ARP流量中的变化。
3.2.12.7. DNS投毒、欺骗
DNS投毒”(DNS Poisoning)与 "DNS 欺骗"DNS Spoofing)都称为解析攻击。域名系统(DNS)投毒是由于攻击者更改了DNS系统中的域名与IP 地址的映射信息,将流量重定向到流量系统或用于执行拒绝服务攻击。
DNS欺骗是攻击者屏蔽了来自有效DNS服务器的真实回复信息,而将虚假回复信息发送给请求系统。这也是一种技术上的角 逐。为防正因毒化或欺骗产生的虚假DNS信息,主要方法有:只有获得授权才能更改DNS信息,限制分区传送并记录所有的特权DNS活动。
当攻击者更改系统的域名到IP地址映射以将流量重定向到备用系统时,就会发生DNS中毒。当攻击者向请求系统发送虚假回复,击败来自实际DNS服务器的有效回复时,就会发生DNS欺骗。
前期章节回顾:
- 【CISSP学习笔记】2.资产安全
- 【CISSP学习笔记】1.安全与风险管理
- 【CISSP学习笔记】0.开篇
这篇关于【CISSP学习笔记】3.通信与网络安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!