第4章 通信和网络安全
2023-03-26 18:23:22 2 举报
AI智能生成
CISSP考试 第四章 通信和网络安全
作者其他创作
大纲/内容
2.安全通信和网络攻击
2.1 协议安全机制
身份认证协议
PPP-点对点协议,是数据链路层协议,是一种封装协议
PAP:密码身份认证协议,明文传输数据,不提供任何形式的加密,只提供简单的传输途径
CHAP:征询握手身份认证协议;采用无法重放的挑战-应答机制进行验证,CHAP基于MD5,不再安全
EAP:可扩展身份认证协议;一种身份认证框架,非真实协议,EAP支持可定制的身份认证解决方案,如智能卡、令牌和生物身份认证
802.1X不是一种无线技术(IEEE 802.11),它是一种认证技术,可以在需要认证的任何地方使用。
802.1X、LEAP、PEAP与无线网络相关
端口安全
RJ-45墙壁插孔或设备端口--使用智能配线架
管理TCP和UDP端口--对端口进行身份认证
服务质量
吞吐量、比特率、数据包丢失、延迟、抖动、传输延迟和可用性
通过监控和管理QoS,基本通信和相关业务操作、流程和任务的可用性得以维护和保护
2.2 语音通信的安全
公共交换电话网 PSTN
VoIP
VOIP加密广泛可用,但很少实现端到端加密
语音钓鱼和电话飞客
专用交换机PBX欺骗和滥用
2.3 远程访问安全管理
远程访问与远程办公技术
特定服务
远程控制
远程节点操作
抓屏/录屏
远程连接安全
规划远程访问安全策略
2.4 多媒体协作
远程会议
即时通信和聊天
2.5 负载均衡
虚拟IP和负载持久性
主动-主动与主动-被动
2.6 管理电子邮件安全
电子邮件安全目标
理解电子邮件安全问题
电子邮件安全解决方案
S/MIME 安全/多用途互联网邮件扩展
PGP 良好隐私
DKIM 域名关键字标识邮件
SPF 发件人策略框架
DMARC 域消息身份认证报告和一致性
STARTTLS
隐式SMTPS
2.7 虚拟专用网
隧道技术
是一种网络通信过程,通过将协议数据包封装到另一种协议报文中,对协议数据内容进行保护。
VPN的工作机理
传输模式
隧道模式
始终在线VPN
分割隧道与全隧道
常用的VPN协议
PPTP
L2TP
SSH
OPEN VPN(即TLS)
IPsec
2.8 交换与虚拟局域网
交换机
所有交换机都围绕四个主要功能运行:学习、转发、丢弃、泛洪
2.9 网络地址转换
私有IP地址
状态NAT
自动私有IP分配
2.10 第三方连接
2.11 交换技术
电路交换
分组交换
虚电路
2.12 WAN技术
广域网将远距离、节点或单独的设备连接起来
专用线路
非专用线路
2.13 光纤链路
SDH 同步数字系列
SONET 同步光纤网络
2.14 安全控制特征
透明性
传输管理机制
传输日志
传输错误纠正
2.15 防止或减轻网络攻击
窃听
篡改攻击
1. 安全网络架构和组件
1.1 OSI模型
OSI模型的历史
OSI模型的开发旨在给所有计算机系统建立通用的通信结构或标准
OSI功能
OSI模型将网络任务分为七层。
7 应用层 PDU
6 表示层 PDU
5 会话层 PDU
4 传输层 段(TCP)或数据报(UDP)
3 网络层 数据包
2 数据链路层 帧
1 物理层 比特
封装/解封
封装:指再将每层从上面的层接收到的数据传递到下面的层之前,为其添加头部,也可能添加尾部
解封:数据从物理层到应用层向上移动时的逆操作称为解封
OSI模型层次
应用层
应用层负责将用户应用程序、网络服务或操作系统与协议栈相连接
表示层
负责将数据转换为遵循OSI模型的任何系统都能理解的格式,将通用或标准化的结构和格式规则强加在数据之上
表示层还负责加密和压缩
会话层
负责建立、维护和终止两台计算机之间的通信会话
管理对话规则或对话控制(单工、半双工、全双工)
单工:单向通信
半双工:双向通信,但一次只能向一个方向发送数据
全双工:双向通信,可以同时向两个方向发送数据
建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的PUU
在TCP/IP网络上,没有实际的会话层,会话层功能由TCP在传输层处理,或者UDP根本不处理
传输层
负责管理连接的完整性并控制会话
传输层在节点之间建立通信连接并定义会话规则
会话规则指定每个段可包含多少数据,如何验证消息的完整性,以及如何确定数据是否已丢失
会话过程是通过握手过程建立的
TCP、UDP、TLS协议在传输层运行
网络层
负责逻辑寻址和执行路由
数据包的包头包括源和目标IP地址
网络层负责提供路由或传递导航信息,但不负责验证信息是否传递成功
网络层还管理错误检测和节点数据流量(流量控制)
路由器是在网络层运行的基本网络硬件设备
路由协议
内部路由协议
距离矢量
RIP和IGRP
链路状态
OSPF和IS-IS
外部路由协议
路径向量路由
边界网关协议BGP
数据链路层
负责将数据包格式转化为传输格式
ARP协议运行于此层
在数据链路层运行的网络硬件设备是交换机和网桥,这些设备支持基于MAC的流量路由
物理层
将帧转换为比特,通过物理连接介质进行传输
在磁层运行的网络硬件设备有NIC、集线器、中继器、集中器和放大器
1.2 TCP/ip模型
应用层
传输层
互联网层
链路层
1.3 网络流量分析
协议分析器是用于检查网络流量内容的工具
1.4 通用应用层协议
Telnet TCP23端口 是一个终端仿真网络应用程序,支持远程连接以执行命令和运行应用程序,但不支持文件传输。不应使用telnet,应用ssh替代
FTP TCP20端口(活动数据连接)/短暂(被动数据连接)和21(控制连接)端口。支持需要匿名或特定身份认证的文件传输,不应使用FTP,应用SFTP或FTPS
TFTP UDP69端口,是一个支持不需要身份认证的文件传输的网络应用程序,用于承载网络设备配置文件,支持多播,不应使用TFTP
SMTP TCP25端口,是一种用于将电子邮件从客户端传输到电子邮件服务器以及从一个电子邮件服务器传输到另一个电子邮件服务器的协议,仅在使用TLS加密创建SMTPS时使用
POP3 TCP110端口,是一种用于将电子邮件从电子邮件服务器上的收件箱中拉到电子邮件客户端的协议,仅在使用TLS加密创建POPS时使用
IMAP TCP143端口
DHCP UDP67端口
HTTP TCP80端口
HTTPS TCP443端口
LPD TCP515端口 ,是一种网络服务,用于将假脱机打印作业以及将打印作业发送到打印机
SNMP UDP161端口,用于从中央监控服务器收集网络运行状况和状态信息,仅SNMP v3是安全的
NFS TCP2049端口,是一种网络服务,用于支持不用系统之间的文件共享
X WINDOW TCP6000-6063 ,是用于命令行操作系统的GUI API
1.5 传输层协议
TCP/IP的两个主要传输层协议是TCP和UDP
TCP是一种面向连接的全双工协议
通过三次握手建立可靠的会话
客户端将SYN(同步)标记的数据包发送到服务器
服务器以SYN/ACK(同步和确认)标记的数据包响应客户端
客户端以ACK(确认)标记的数据包响应服务器
UDP是一种无连接单工协议
无连接的“尽力而为”的通信协议,不提供错误检测或纠正,不使用排序,不使用流量控制机制,不使用预先建立的会话,被认为是不可靠的
UDP具有非常低的开销,因此可以快速的传输数据
只有在传输不重要的数据时才使用UDP
UDP通常用于音视频的实时或流通信
1.6 域名系统
域名
临时约定
顶级域名
注册域名
子域或主机名
域名劫持
IP
临时逻辑地址
MAC
永久物理地址
DNS
将人性化的域名解析为对应的IP地址
通过TCP和UDP端口53运行
DNS中毒
1.7 互联网协议网络
IP 为数据包提供路由寻址,提供一种身份识别手段并规定了传输路径
与UDP类似,IP是无连接的,是一种不可靠的通信服务,不保证数据包一定能被传送或数据包以正确顺序传送,也不保证数据包只被传送一次
必须在IP上使用TCP来建立可靠和受控的通信会话
IPv4--使用32位寻址方案和IPv6--使用128位寻址方案
IP分类
A类:1-126 为环回地址留出整个A类网络的127个地址
子网掩码:255.0.0.0 /8
B类:128-191
子网掩码:255.255.0.0 /16
C类:192-223
子网掩码:255.255.255.0 /24
D类:224-239 用于多播
E类:240-255 供将来使用
ICMP
用于确定网络或特定链路的运行状况,可用于ping、traceroute、pathping等网络管理工具
IGMP
允许系统支持多播,多播将数据传输到多个特定接收者
IGMP用于管理主机的动态多播组成员资格
1.8 ARP关注点
ARP用于将IP地址(用于逻辑寻址的32位二进制数)解析为MAC地址(用于物理寻址的48位二进制数)
ARP承载以太网的有效载荷,是一个从属的第2层协议
ARP使用缓存和广播来执行其操作,第一步检查本地ARP缓存,如果所需信息存在于ARP缓存中,则使用它;如果ARP缓存不包含必要信息,则发送广播形式的ARP请求
1.9 安全通信协议
IPsec
Kerberos
SSH
信令协议
安全远程过程调用S-RPC
传输层安全TLS
1.10 多层协议的含义
融合协议
存储区域网络SAN
以太网光纤通道FCoE
多协议标签交换MPLS
互联网小型计算机系统接口iSCSI
网络电话
VoIP
软件定义网络 SDN
1.11 微分网络
网络被分割或细分为更小的组织单元网络,而不是被配置为单个大型系统集合,这些较小的单元、分组、段或子网可用于改善网络的各个方面
提高性能
减少通信问题
提供安全
1.12 无线网络
802.11是用于无线网络通信的IEEE标准
802.11x有时用于将所有这些特定实现统称为一个组
为无线网络分配SSID以将一个无线网络与另外一个无线网络区分开
无线信道
无线安全
WEP
WPA
WPA2
WPA3
802.1X/EAP
LEAP
PEAP
1.13 其它通信协议
LIFI
卫星通信
窄带无线通信
1.14 蜂窝网络
1.15 内容分发网络
1.16 安全网络组件
两种基本类型的专用网段
内联网
外联网
硬件的安全操作
常用网络设备
网络访问控制
防火墙
0 条评论
下一页