CISSP-D4通信与网络安全 - 2/2

一、网络模型安全概述：D4-1~2

二、网络组件和设备安全：D4-3~5

三、网络连接安全：D4-6~8

D4通信与网络安全-2/2

D4-5-无线网络

• 理解无线网络的基本概念

无线技术广泛应用于私人网络、无线LAN、MAN和WAN环境中以及卫星中的应用

通过无线电报经由空气和空间传输信号，它也会改变空气波。

通常以频率和幅度来描述

频率规定传送数据的数量与距离

频率越高，信号运载的数据越多，能够传输的距离却更短，也越容易受到大气层干扰

WLAN

• 无线LAN(Wireless LAN，WLAN)使用一个称为访问点(AP)的收发器连接到以太网线缆，无线设备会使用这条链路来访问有线网络中资源。

• 了解相关的无线标准技术

802.xxx

蓝牙无线技术

• 理解无线网络的相关安全问题

有线等效加密（WEP）

有线等效加密（WEP）协议，它也能对数据传输进行加密。WEP的3个主要缺陷是应用静态加密密钥、初始化向量使用效率低以及缺乏数据包完整性保证。WEP协议使用RC4算法，它是一种流对称密码。

WPA

802.11i (WPA2)

D4-6-远程连接

了解常用的远程连接方法

拨号连接

计算机配备上调制解调器，就可以通过电信线路与其他计算机进行通信

攻击者使用执行战争拨号的程序来标识能被破坏的调制解调器

ISDN

综合业务数字网是一种由电话公司和ISP提供的技术

这种技术和必需的设备使数据、语音和其他类型的流量在介质中以数字的形式传输，而这种介质以前只用于模拟语音传输。

DSL连接

数字用户线路，一种高速连接技术，用于连接家庭（或公司）和服务提供商的交换中心

多种类型

对称DSL

√ 对称DSL(Symmetrical DSL，SDSL) 数据以相同的速率上行和下行。

非对称DSL

√ 非对称DSL(ADSL) 数据下行的速度比上行的速度更快。

高位率DSL

√ 高位率DSL(High-Bit-Rate DSL，HDSL) 在不使用中继器的情况下，可在常规铜电话线上提供T1(1.544Mbps)的速度。

高数据率数字用户线路

√ 高数据率数字用户线路(Very Hight-Data-Rate Digital Subscriber Line，VDSL) VDSL基本上是数据传输速率高的ADSL(下行速度13 Mbps，上行速度2Mbps)。

速率自适应数字用户线路

√ 速率自适应数字用户线(Rate-Adaptive Digital Subscriber Line，RADSL) 速率自适应的功能使其能够根据线路质量和长度来调节传输速度。

线缆调制解调器

• 线缆调制解调器提供最高为50Mbps的高速访问，通过现有的同轴电缆或光纤访问互联网。线缆调制解调器还提供了上行和下行之间的转换。

VPN

• 虚拟专用网（VPN）是公共网络或其他不安全环境中的安全专用连接。

• 采用密码学相关协议来确保数据在传输中的机密性与完整性

• VPN技术需要隧道才能运作，同时还会进行加密。

D4-7-网络层攻击

• 理解TCP/IP架构和协议的脆弱性

缓冲区溢出

SYN洪泛攻击

各种DOS攻击

中间人攻击、劫持攻击

编码错误攻击

数据包嗅探

• 理解网络边界的脆弱性

• 理解常见的网络层攻击

拒绝服务攻击

• 拒绝服务(DoS)攻击可以有多种形式，但其本质是对安全三元组中的可用性进行破坏。

两种基本的拒绝服务

利用漏洞：死亡Ping

通过巨量网络流量：SYN防洪

嗅探

对数据机密性的攻击

通过观察、监听、分析数据流和数据流模式，窃取敏感信息

DNS劫持

迫使受害者使用恶意DNS服务器而不是合法的DNS服务器的攻击

分三类

基于主机

基于网络

基于服务器

假冒/伪装

假冒或伪装是假装成某人或某事从而获得对系统的未授权访问

使用一次性填充和令牌身份验证系统，使用Kerberos，使用加密，从而增加从网络通信中提取身份验证凭证的难度

重放攻击

假冒攻击的分支，利用通过偷听捕获的网络通信进行攻击

一次性身份验证机制和序列化会话身份标识来防范重放攻击

地址解析协议（ARP）欺骗

地址解析协议（ARP）欺骗为请求的IP地址系统提供假的MAC地址，从而将通信重定向至另一个目的地。

对付ARP攻击的手段包括: 为关键系统定义静态的ARP映射，监控ARP缓存中的MAC-IP地址映射，或者使用IDS检查系统通信中的异常以及ARP通信中的变化。

超链接欺骗

试图通过滥用URL或超链接来误导合法用户前往恶意站点的攻击活动都视为超链接欺骗

网络钓鱼（phishing）

对链接欺骗的防护包括防止DNS欺骗、保持你的系统更新补丁并在使用互联网时采取同样谨慎的预防措施

D4-8-网络与协议安全机制

• 掌握VPN相关技术

点对点隧道协议（PPTP）

点对点隧道协议（PPTP）成为事实上的标准VPN软件，自从微软把它用于Windows产品中时，它就成为最受欢迎的软件。由于多数互联网通信开始都是通过电信链接进行的，因此业内需要一个方法来保证PPP连接的安全。PPTP的最初目的是提供一个用IP网络隧道连接PPP的方法，但是现在多数实现中也都包括了安全功能，因为提供保护成为网络传输中的一个重要要求。

第二层隧道协议（L2TP）

• 第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）用各种网络类型（IP、ATM、X.25等）来隧道传输PPP流量。• PPTP和L2TP的侧重点非常相似，那就是使PPP流量到达一个与不理解PPP的网络相连接的终点。• 和PPTP一样，L2TP实际在PPP流量的传输过程中并不提供太多保护• PPP流量可以用PAP、CHAP、MS-CHAP或者EAP-TLS进行身份验证

IPSec VPN

IPSec是为专门保护IP流量而开发的一套协议。IPv4没有集成任何安全，所以开发了IPSec来结合IPv4和保护协议传输数据的安全。PPTP和L2TP工作在OSI模型的数据链路层，IPSec工作在网络层。

主要协议及其基本功能如下：

封装安全有效载荷（ESP） 提供机密性、数据源验证和数据完整性。

认证头（AH） 提供数据完整性、数据源验证和免受重放攻击的保护。

互联网安全连接和密钥管理协议（ISAKMP） 提供安全连接创建和密钥交换的框架。

互联网密钥交换（IKE） 提供验证的密钥材料以和ISAKMP一起使用。

在IPSec VPN配置中，既可以分别使用也可以一起使用AH和ESP。AH协议提供数据源验证（系统身份验证）和免受未经授权修改的保护，但是不提供加密功能。如果VPN需要提供机密性，那么必须启用和恰当配置ESP。当两个路由器需要建立一个IPSec VPN连接时，它们会有一个安全属性列表，需要通过握手进程进行约定。这两个路由器必须约定算法、密钥材料、协议类型和使用模式，所有这些都用于保护在它们之间传输的数据。

安全联盟（SA）

安全参数索引（SPI）

传输模式

隧道模式

TLS VPN

TLS门户VPN

TLS隧道VPN

每个协议的特点、工作机制和工作方式：

点对点隧道协议（PPTP）：● 工作在客户端/服务器模型中● 延伸和保护了PPP的连接● 在数据链路层上工作● 只能通过IP网络传输第二层隧道协议（L2TP）：● 是L2F和PPTP的混合● 延伸和保护了PPP的连接● 在数据链路层上工作● 能在多种网络中传输，而不仅仅是IP网络● 为了提高安全，还可以和IPSec相结合IPSec 协议：● 能同时处理多个VPN连接 ●能够提供安全的身份验证和加密●● 关注LAN网络间通信，而非用户之间的通信● 在网络层上工作，实现IP安全，但只支持IP网络传输层安全（TLS）：● 在传输层工作，主要保护Web和e-mail流量● 提供细粒化的访问控制和配置● 由于TLS已经嵌入Web浏览器中，所以容易部署● 仅仅能保护少数协议类型，因此不是基础设施级别的VPN解决方案VPN解决方案各有千秋，各有侧重点，例如：● 当一个PPP连接需要通过IP网络延伸时则使用PPTP。● 当一个PPP连接需要通过非IP网络延伸时则使用L2TP。● IPSec用于保护IP流量，常用于网关之间的连接。● 当特定的应用层流量类型需要保护时则使用SSL VPN。

• 理解通信传输加密方式

身份验证

密码身份验证协议（PAP）

挑战握手身份验证协议（CHAP）

可扩展身份验证协议（EAP）

加密技术

链路加密

由服务提供商提供，所有的信息都被加密。

路由器必须解密数据包的头部，读取头部内的路由和地址信息，然后重新加密井继续向前发送。

链路加密的优点包括如下：● 所有的数据（包括数据包的头部、地址和路由信息）都被加密。● 用户除了启动之外不需要做任何事情。它在OSI模型中的较低层运作。链路加密的缺点包括如下：● 因为每个跳设备都必须接收一个密钥，而且密钥改变时必须更新每一个密钥，所以密钥分发和管理更为复杂。● 数据包在每一跳都进行解密，因此存在更多脆弱点。

端到端加密

数据包的头部和尾部没有进行加密，仅加密数据包内容。

起点和终点之间的设备只是读取所需的路由信息，然后将数据包向前继续发送。

之所以将其称为“端到端\"，原因在于消息从一端传送到另一端时一直保持加密状态，而链路加密的数据包在经过两端之间的每一台设备时都需要进行解密。

端到端加密的优点包括如下：● 为用户提供了决定哪些数据被加密以及如何加密的更大灵活性。● 因为每一个应用程序或用户都可以选择特定的配置，所以可以获得更高的功能细粒度。● 网络中每一跳的计算机都不需要拥有解密数据包的密钥。端到端加密的缺点包括如下：● 数据包的头部、地址和路由信息未被加密，因此缺乏保护。

• 掌握电子邮件加密标准

• 多用途互联网邮件扩展（Multipurpose Internet Mail Extensions，MIME）

多用途互联网邮件扩展（MIME）是一种说明多媒体数据和电子邮件如何传输的技术规范。互联网具有规定邮件怎样格式化、怎样封装、怎样传输以及怎样打开的邮件标准。如果消息或文档包含二进制附件，那么MIME会规定应该怎样处理消息的这一部分。

• 安全MIME（Secure MIME，S/MlME）

安全MIME（S/MlME）是一种对电子邮件进行加密和数字签名以及提供安全数据传输的标准。通过允许对电子邮件及其附件进行加密，S/MlME扩展了MIME。加密和散列算法可以由邮件包的用户决定，而不是向他们指定具体的规范。S/MIME遵循公钥密码学标准（PKCS）。通过加密算法提供机密性，通过散列算法提供完整性，通过使用X.509公钥证书提供身份验证，并且通过加密签名消息摘要提供不可否认性。

• 可靠加密（Pretty Good Privacy，PGP）

可靠加密（PGP）作为一种免费电子邮件保护程序而设计，它是第一个广泛使用的公钥加密程序。PGP是一个完整的密码系统，它使用加密来保护电子邮件和文件。尽管用户可以选择各种不同的算法来进行加密，但PGP主要使用RSA公钥加密来实现密钥管理，使用IDEA对称密码来完成批量数据的加密。PGP可以通过使用IDEA加密算法来提供机密'性，通过使用：MD5散列算法来提供完整性，通过使用公钥证书来提供身份验证，以及通过对消息进行加密签名来提供不可否认性。PGP使用自己的数字证书类型，而不是PKI中使用的数字证书类型，不过两者的目的相似。PGP并不使用CA层次结构或任何类型的正式信任证书，而是在其密钥管理方式中依赖于“信任Web”。每个用户都生成和分发自己的公钥，并且对彼此的公钥进行签名，从而建立了一个彼此信任的用户团体。这一点与CA方式不同。在CA方式中，没有人互相信任，他们只信任CA。

• 了解常见的互联网安全技术

HTTP安全（HTTPS）

安全套接字层（SSL）

传输层安全（TLS）

Cookies

安全外壳（SSH）