CISSP官方学习指南第7版#第11章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第11章 网络安全架构与保护网络组件

4) 通信与网络安全(设计和保护网络安全)
• A.应用安全设计原则到网络架构中(例如,IP和非IP协议、分段)
A.1 OSI和TCP/IP模型
A.2 IP网络
A.3 应用多层协议(例如,DNP3)
A.4 汇聚协议(例如,FCoE、MPLS、VoIP、iSCSI)
A.5 软件定义网络
A.6 无线网络
A.7 使用密码学维护通信安全
• B.保护网络组件
B.1 硬件的操作(例如,调制解调器、交换机、路由器、无线接入点、移动设备)
B.2 传输介质(例如,有线、无线、光纤)
B.3 网络接入控制设备(例如,防火墙、代理)
B.4 终端安全
B.5 内容分发网络
B.6 物理设备

计算机和网络由于通信设备、存储设备、处理设备、安全设备、输入设备、输出设备、操作系统、软件、服务、数据和人融合而产生。CISSP/CBK指出,深入地了解这些硬件和软件知识是实现和维护安全性的基本要素。本章将讨论在网络连接、线缆连接、无线连通性、TCP/IP及相关协议、网络设备、防火墙中作为指导原则的OSI模型。

11.1 OSI模型

通过协议使得网络上的计算机之间通信成为可能。协议是一组规则和约束,它们定义了数据在网络介质上(例如,双绞线、无线传输等)如何传输。在网络发展的初期,许多公司都曾具有自己的专有协议,这意不同供应商的计算机之间的交互常常非常困难,甚至无法进行交互。在努力解决这个问题的过程中,国际标准化组织(lSO)在20世纪80年代初开发了针对协议的OSI参考模型。明确地说,ISO7498定义了OSI参考模型(更常用的名称是OSI模型)。理解OSI模型及其与网络设计、部署和安全性的关系对于准备CISSP考试来说必不可少。

11.1.1 OSI模型的历史

OSI模型不是第一个,或许也不是唯一一个试图简化网络互连协议或建立通用通信标准的模型。事实上,作为今天得到最广泛使用的协议,TCP/IP(基于DARPA模型,这种模型现在也被称为TCP/IP模型)早在20世纪70年代初期就己被开发出来而OSI模型直到20世纪70年代末期才被开发出来OSI协议的开发为所有计算机系统建立了一个通用的通信结构或标准。实际的OSI协议从来没有得到过广泛采用,但是OSI协议背后的理论,也就是OSI模型,却被大家很容易接受了。作为一个抽象的架构或理论模型,OSI模型说明了在理想硬件上的理想环境中协议应该怎样工作。因此,OSI模型已经成为一个所有协议都可以与其比较和对照的通用参考点。

11.1.2 OSI功能

  • 应用层
  • 表示层
  • 会话层
  • 传输层
  • 网络层
  • 数据链路层
  • 物理层

11.1.3 封装/解封装

基于OSI模型的协议采用了一种被称为封装的机制。通过每一层从上一层接收到数据后,封装会给数据添加一个报头,井且还可能添加一个报尾,然后才将数据传输到下一层。随着报文在每一层的封装,报文的大小也在不断增长。数据从OSI模型的应用层向下移动至物理层时,在每一层都会发生封装。数据从OSI模型的物理层向上移动至应用层时,在每一层发生的逆向操作称为解封装。

11.1.4 OSI分层

1.物理层(传输比特流)
物理层(第1层)从数据链路层接收帧,并把帧转换为可以通过物理连接介质传送的比特。物理层还负责接收来自物理连接介质的比特,并且将比特转换为数据链路层所使用的帧。

2.数据链路层(传输帧)
数据链路层(第2层)负责将来自网络层的数据包格式化为可以进行传输的适当格式。这种适当的格式由网络硬件和网络技术决定,并且存在多种可能性,如以太网(IEEE802.3)、令牌环(IEEE802.5)、异步传输模式(AsynchronousTransferMode,ATM)、光纤分布式数据接口(FiberDisibutedDataInterce,FDDI)和铜线分布式数据接口(CopperDDI,CDDI)。

3.网络层(传输IP数据报)
网络层(第3层)负责向数据中添加路由和寻址信息。网络层接收来自于传输层的数据段,并且通过添加信息创建数据包。数据包包括源IP地址和目的IP地址。

4.传输层
传输层(第4层)负责管理连接的完整性并控制会话。

5.会话层
会话层(第5层)负责在两台计算机之间建立、维护和终止通信会话。会话层管理对话模式或对话控制(单工、半双工、全双工),并为分组和恢复建立检查点,以及重新传输上一次验证检查点以来失败或丢失的PDU。下面列出了一些在会话层上运行的协议:
•网络文件系统(NFS)
•结构化查询语言(SQL)
•远程过程调用(RPC)

6.表示层
表示层(第6层)负责将从应用层接收的数据转换为遵从OSI模型的任何系统都能理解的格式。它向数据中强行添加通用的或标准的结构和格式化规则。表示层还负责加密和压缩。因此,它成为网络和应用程序之间的接口。

7.应用层
应用层(第7层)负责将协议栈与用户的应用程序、网络服务或操作系统连接在一起。它准许应用程序与协议技进行通信。应用层确定远程的通信方是否可用和可访问,还确保有足够的资源用于支持被请求的通信。应用程序并不位于应用层内;相反,传输文件、交换信息和连接远程终端等任务所需的协议和服务都在这一层。

11.2 TCP/IP模型

与OSI参考模型的7层相比较,TCP/IP模型(也称为DA或DOD模型)仅由4层组成。TCPI模型的4层为:应用层、传输层(也称为主机到主机层)、网际层(有时称为互联网层)和网络接入层(然而网络接口层和网络访问层都会被用到)。

11.2.1 TCP/IP协议族概述

TCP是使用最广泛的协议,但它并不是一个单独的协议,而是一个由许多单独的协议组成的协议栈。TCP/IP是一个基于开放式标准的、独立于平台的协议。然而,这既是它的优点,也是它的缺点。TCPP几乎可以在所有可用的操作系统中找到,但是它耗用了相当数量的资源,并且由于其设计目的是便于使用而不是安全,因此容易遭到攻击。

1.传输层协议
TCPI两个主要的传输层协议是TCP和UDP。TCP是一个面向连接的协议,而UDP是一个无连接的协议。
传输控制协议(TCP)在OSI模型的第4层(传输层)上运作。这个面向连接的协议能够支持全双工通信,并且使用了可靠的会话。
用户数据报协议(UDP)也在OSI模型的第4层(传输层)上运作,它是一种无连接的、”尽力而为的”通信协议。UDP不提供错误检测或纠正,不使用序列,不使用流量控制机制,不使用预先建立的会话,并且被认为是不可靠的。UDP具有极低的系统开销,因此能够快速传输数据。不过,只有在数据传输并非绝对必要时,我们才会使用UDP。用于音频和/或视频的实时或流式通信经常会使用UDP。在IP报头协议宇段中,表示UDP的值为17(Ox11)。

2.网络层协议和IP网络基础
TCP/IP协议族中的另一个重要协议在OSI模型的网络层上运作,这种协议就是网际层协议(IP)。IP为数据包提供了路由寻址。路由寻址是全球性互联网通信的基础,这是因为它提供了身份标识手段并规定了传输路径。与UDP类似,IP是无连接的、不可靠的数据报服务。IP不保证传送数据包或以正确顺序传送数据包,并且不保证只进行一次传送。因此,必须在IP上使用TCP,从而获取可靠的和受控的通信会话。

3.常见的应用层协议
在TCP/IP模型的应用层(包括OSI模型的会话层、表示层和应用层)上,驻留着许多特定于应用或服务的协议。

11.2.2 分层协议的应用

TCP/IP的多层设计有许多好处,特别是关系到它的封装机制。

多层协议提供以下好处:
•可以在更高层使用更为广泛的协议
•封装可以和不同的层进行合作
•在更为复杂的网络中支持灵活性和弹性

多层协议有以下几个缺点:
•允许隐蔽信道
过滤机制可被绕行
逻辑上实现的网络段边界可以被逾越

11.2.3 TCP/IP的脆弱性

TCP/IP的脆弱性有很多。在各种操作系统中,不正确地实现TCP/IP堆找很容易遭受缓冲区溢出攻击、SYN泛洪攻击、各种DoS攻击、碎片攻击、过长数据包攻击、欺骗攻击、中间人攻击、劫持攻击以及编码错误攻击。
除了这些侵入式攻击以外,TCP/IP(以及大多数协议)还常常遭受通过监控或嗅探进行的被动式攻击。网络监控是对信息流量模式进行监控,从而获得网络相关信息的行为。数据包嗅探是从网络中捕获数据包井期望从信息数据包内容中抽取出有用信息的行为。有效的数据包嗅探器可以抽取出用户名、密码、电子邮件地址、加密密钥、信用卡号、IP地址和系统名等信息。

11.2.4 域名解析

ARP/RARP/DNS

11.3 汇聚协议

汇聚协议是专业或专有协议和标准协议的融合,例如TCP/IP协议。汇聚协议的主要好处是使用现有的TCP/IP网络基础设施支持特殊或专有主机而不用特殊部署修改后的网络硬件。这能有效地节约成本。然而,作为专有协议的实现,并不是所有的汇聚协议提供相同的吞吐量或可靠性。

  • 以太网光纤通道(FCoE)——光纤通道是网络存储解决方案(存储区域网络(SAN或网络附加存储(NAS))的一种形式,允许高达16Gbps的上行高速文件传输。
  • MPLS(多协议标签交换)——MPLS(多协议标签交换)是一种高通过、高性能的网络技术,它将数据在网络中以基于最短路径的标签而不是更长的网络地址进行传输。
  • 互联网小型计算机系统接口(iSCSI)——互联网小型计算机系统接口(iSCSI)是一个基于E的网络存储标准。这项技术可以用来支持位置独立的文件存储、传输,以及对局域网、广域网的检索,或者公共互联网连接。iSCSI通常被认为是光纤通道的一种低成本替代方案。
  • IP语音(VoIP)——IP语音(VoIP)是用于在TCPI网络上传输语音和/或数据的一种隧道机制。因为VoIP往往更便直并提供了广泛的功能和选项,它己经取代或具备取代PS的潜力。
  • 软件定义网络(SDN)——软件定义网络(SDN)是一种独特的对网络进行操作、设计和管理的方法。
11.4 内容分发网络(CDN)
11.5 无线网络

11.5.1 保护无线接入点

11.5.2 保护SSID

11.5.3 执行现场勘测

11.5.4 使用加密协议

  1. WEP(WEP加密采用RC4流密码算法。
  2. WPA(WPA被设计用来替代WEP;它是一个临时的解决办法,直到新的802.11i修订版完成。WPA基于LEAP和TKIP加密体系并通常使用安全加密用于认证。遗憾的是,使用单个静态的密码将彻底损坏WPA的安全性尽管WPA比WEP更复杂,但WPA不再提供长期可靠的安全。
  3. WPA2(最后,一种新的确保无线安全的方法被开发出来,井且截至目前仍然被认为是安全的。是被称为802.11i或WPA2的修订方案。这是一种新的加密方案,称为计数器模式密码块链接消息认证码协议(CountModeCipherBlockChainingMessageAuthenticationCodeProtocol,CCMP),这是基于AES的加密方案。)
  4. 802.1x/EAP(WPA和WPA2都支持称为企业认证的802.1x/EAP,这是一个标准的基于端口的网络访问控制协议,确保客户端在没有发生正确认证时不能和资源发生通信联系。802.1x是一种有效允许无线网络利用现有的网络基础设施进行认证服务的协议。通过使用802.1x,其他技术和解决方案,如RADIUS、TACACS、证书、智能卡、令牌和生物识别设备,可以被集成到无线网络中并提供包括进行交互和多因子认证的技术。)
  5. PEAP(PEAP(ProtectedEAP,受保护的可扩展认证协议)通过TLS隧道封装EAP方法,提供了认证和潜在的加密功能。)
  6. LEAP(LEAP(LightweightEAP,轻量级可扩展认证协议)是Cisco专有的,用于WPA替代TKIP。)
  7. MAC过滤器(MAC过滤器是一系列授权的无线客户端接口MAC地址,这些地址被无线接入点用来阻断那些未经授权的设备。虽然这是一个有用的特性,但是它难以管理,并且往往只使用在小型、静态的环境中。此外,黑客通过基本的无线黑客工具就可以发现有效客户端的MAC地址,然后伪装成该地址对无线客户端发起攻击。)
  8. TKIP(TKIP(TemporalKeyIntegrityProtocol,临时密钥完整性协议)被设计为替代WEP而不需要更换无线硬件。)
  9. CCMP(CCMP(计数器模式密码块链接消息认证码协议)用于取代WEP和TKIP/WPA。CCMP使用AES(高级加密标准)和128位的密钥。CCMP是802.11i制定的在802.11无线网络中首选的标准安全协议。到目前为止,还没有攻击能成功破解AES/CCMP加密。)

11.5.5 天线位置的确定

11.5.6 天线类型

11.5.7 调整功率水平控制

11.5.8 使用强制门户

11.5.9 一般的Wi-Fi安全措施

(1)改变默认的管理员密码。
(2)关闭SSID广播。
(3)变更SSID到特定的方式。
(4)如果无线客户端比较少且是静态的,启用MAC过滤。
(5)考虑使用静态IP地址,或配置保留的DHCP(仅适用于小型部署)。
(6)开启支持的身份认证和加密的最高形式。如果不提供WPA2,那么使用WPA和WEP提供非常有限的保护也比未加密的网络好得多。
(7)把无线视为远程访问,并使用802.1x进行访问管理。
(8)把无线视为外部接入,把WAP和有线网络用防火墙进行隔离。
(9)把无线视为攻击者的入口,用IDS监控所有WAP到有钱网络的通信流量。
(10)需要对无线客户端和WAP之间的通信进行加密,换句话说,需要VPN连接。

11.6 保护网络组件

内部网是一种专用网络,被设计用于集成与在互联网上的相同信息服务。
外部网是互联网和内部网之间的中间网络。外部网是组织网络中被分离出的一部分,因此对于专用网络来说,它是一个内部网,但是它还为公共的互联网提供信息服务。外部网常常被预留给特定的合作伙伴或客户使用,并且极少依赖于公共网络。供公共消费的外部网通常被标记为隔离区(DMZ)或边界网络。

11.6.1 网络接入控制

网络接入控制(NAC)是一种访问控制环境中通过严格遵守和实施安全策略的概念。NAC领域的目标如下:
•预防/减少0-day攻击
•加强网络通信的安全策略
•使用验证完成访问控制
NAC的目标可以通过使用强大且详细的安全策略来达到。这些措施明确了从客户端到服务器以及所有内部或外部沟通中每台设备的安全控制、过滤、预防、检测和响应。NAC作为一种自动检测和响应系统,可以实时反应,在威胁引起损坏或破坏之前就对其进行阻断。
最初,802.1x(提供基于端口的NAC)被认为体现了NAC,但大多数的支持者认为802.1x仅仅是NAC的一种简单形式或者只是完整NAC解决方案的组成部分。
NAC可以通过进入前评估方式或进入后评估方式,或结合这两种方式进行应用
•进入前评估方式需要系统满足当前的安全要求(如应用补丁和杀毒软件更新)才被允许与网络进行通信。
•进入后评估方式基于用户的活动允许访问或拒绝访问,是预定义的授权矩阵。
其他围绕NAC的问题包括客户端/系统代理与整体网络监控(非代理);带外与带内监测;以及分解任何补救、隔离或强制门户策略。这些和其他的NAC问题必须在实施之前进行考虑和评估。

11.6.2 防火墙

  1. 静态的数据包过滤防火墙——静态的数据包过滤防火墙通过检查报文头部的数据进行通信过滤。通常,过滤规则关注于源地址、目的地址和端口地址。使用静态过滤时,防火墙不能为用户提供身份认证,也不能告知数据包来自专用网络内部还是外部,并且很容易受到虚假数据包的欺骗。静态的数据包过滤防火墙被称为第一代防火墙,在OSI模型的第3层(网络层)上工作。此外,这种防火墙也被称为屏蔽路由器或常用路由器。
  2. 应用级网关防火墙——应用级网关防火墙也被称为代理防火墙。代理是一种可以将数据包从一个网络复制到另一个网络的机制:为了保护内部或专用网络的身份,复制过程还改变了源地址和目的地址。应用级网关防火墙基于用于传送或接收数据的网络服务(也就是应用)来过滤通信。每种应用类型都必须具有自己唯一的代理服务器。因此,应用级网关防火墙包括很多独立的代理服务器。由于每个信息数据包在通过防火墙时都必须经过检查和处理,因此这种类型的防火墙对于网络的性能会产生负面影响。应用级网关防火墙被称为第二代防火墙,并且在OSI模型的应用层(第7层)上工作
  3. 电路级网关防火墙——电路级网关防火墙用于在可信合作伙伴之间建立通信会话,在OSI模型的会话层(第5层)上工作。SOCKS(来自安全套接字,就像TCP/IP端口一样)是电路级网关防火墙的通用实现。电路级网关防火墙也称为电路代理,在电路的基础上管理通信,而不是基于通信的内容管理通信。这种防火墙只基于通信电路的终点名称(也就是源地址、目的地址以及服务端口号)来许可或拒绝转发决策。因为它们代表对应用级网关防火墙概念的更改,所以电路级网关防火墙仍然被视为第二代防火墙
  4. 状态检测防火墙——状态检测防火墙(也被称为动态包过滤防火墙)对网络通信的状态或环境进行评估。通过查看源地址和目的地址、应用习惯、起源地以及当前数据包与同一会话先前数据包之间的关系,状态检测防火墙就能够为己授权的用户和活动授予广泛的访问权限,并且能够积极地监视和阻止未授权的用户和活动。状态检测防火墙通常比应用级网关防火墙更有效。状态检测防火墙被视为第三代防火墙,并且在OSI模型的网络层和传输层(第3层和第4层)上工作

11.6.3 终端安全

11.6.4 其他网络设备

11.7 布线、无线、拓扑和通信技术

11.7.1 网络布线

1.同轴电缆
2.基带和宽带线缆
3.双绞线
4.导线

11.7.2 网络拓扑

计算机和网络连接设备的物理布局和组织被称为网络拓扑结构。逻辑拓扑结构指的是通过网络连接在一起的系统被分组在一个可信集合内。物理拓扑结构并不总与逻辑拓扑结构相同。网络的物理布局存在4种基本的拓扑结构:环型、总线型、星型和网状型。

11.7.3 无线通信与安全性

11.7.4 LAN技术

LAN(局域网)技术存在三种主要类型:以太网令牌环FDDI。虽然还存在其他少数局域网技术,但是它们的使用不如这三种类型广泛。此外,CISSP考试仅涉及这三种主要类型。LAN技术之间的大多数差别存在于数据链路层及其以下层。

1.以太网
以太网是一种共享介质的LAN技术,也称为广播技术。

2.令牌环
令牌环来用令牌传递机制来控制哪些系统可以在网络介质上传输数据。令牌在LAN所有成员形成的逻辑环上进行传递。令牌环可以来用环型或星型网络拓扑。由于令牌环的性能有限,比起以太网来说成本又高,而且会增加部署和管理的难度,今天己极少使用。

3.光纤分布式数据接口(FDDI)
光纤分布式数据接口(FDDI)是一种使用两个环的高速令牌传递技术,其中信息流在两个环上沿相反的方向传输。FDDI常用作大型企业网络的主干,它的双环设计允许实现自愈,即从环中去除故障网段,并且利用剩下的部分内部环和外部环建立单个环。

4.辅助技术
大多数网络并非只包含一种技术,而是包含众多技术。例如,以太网并不只是一个单独的技术,而是支持其通用以及预期活动和行为的多个辅助技术的超集。

5.模拟和数字
在长距离传输或存在干扰时,数字信号比模拟信号更可靠。这是因为数字信号的既定信息存储方法利用了直流电压,其中有电压代表值1无电压代表值0。这些开关脉冲创建了一个二进制数据流。由于长距离传输和干扰所造成的衰减,模拟信号会发生变化和讹误。与数字信号只有两种状态相比,模拟信号具有无限多的变化被用于信号编码,因此在衰减增长时,对信号的多余更改会导致数据抽取工作更加困难。

6.同步和异步
某些通信使用时钟或定时活动进行同步。通信既可以是同步的,也可以是异步的。

7.基带和宽带
在一个线缆段上能够同时发生的通信数取决于使用的是基带技术还是宽带技术。

8.广播、多播和单播

9.LAN介质访问
最后要介绍的是,至少有5种LAN介质访问技术用来避免或阻止传输冲突。这些技术定义了所有位于相同冲突域内的多个系统如何进行通信,其中一些技术主动防止冲突,另外一些技术则对冲突做出响应。

  • 载波侦昕多路存取(CSMA)。
  • 带有冲突避免的载波侦听多路存取(CSMA/CA)。
  • 带有冲突检测的侦听多路存取(CSMA/CD)。
  • 令牌传递——这是一种使用数字令牌进行通信的LAN介质访问技术。
  • 轮询——这是一种使用主从配置进行通信的LAN介质访问技术。
11.8 本章小结
  • 在网络中设计、部署和维护安全性需要熟悉涉及网络连接的各种技术,这些技术包括协议、服务、通信机制、拓扑结构、线缆、端点和网络连接设备。
  • OSI模型是一个对所有协议进行评估的标准。理解OSI模型是如何运用的以及如何应用于现实中的协议,有助于系统设计者和系统管理员改善系统的安全性。TCP/IP模型直接起源于协议并大致对应OSI模型。
  • 大多数网络采用TCP/IP作为主要的协议。然而,在TCP/IP网络中还存在许多子协议、支持协议、服务和安全机制。对于这些不同实体的基本理解有助于设计和部署安全的网络。
  • 除了路由器、集线器、交换机、中继器、网关和代理之外,防火墙也是网络安全性的重要组成部分。防火墙有4种主要类型:静态数据包过滤、应用级网关、电路级网关以及状态检测。
  • 汇聚协议在现代网络中是很常见的,包括FCoE、MPLS、VoIP和iSCSI。软件定义网络和内容分发网络己经扩大了网络的定义,还扩大了网络的使用。广泛的硬件组件可以用来构建网络,而不仅仅是通过布线来将所有设备绑定到一起。了解每种布线类型的优点和缺点是设计安全网络的一部分。
  • 无线通信有许多形式,包括手机、蓝牙(802.15)和无线网络(802.11)。无线通信更容易受到干扰、窃听、拒绝服务、中间人攻击。
  • 有三个局域网技术在CISSP CIB中提到:以太网、令牌环和FDDI。每个都可以被用来部署安全的网络。也有几个常见的网络拓扑结构:环型、总线型、星形型和网格型。
考试要点:
  • 了解OSI模型的各层和每一层所使用的协议。OSI模型的7层以及各层所支持的协议如下:
    •应用层:HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP3、IMAP,SNMP、NNTP、S-RPC和SET。
    •表示层:加密协议(例如,RSA和DES)与格式化类型(例如,ASCII、EBCDICM、TIFF、JPEG、MPEG和MIDI)。
    •会话层:NFS、SQL和RPC
    •传输层:SPX、SSL、TLS、TCP和UDP。
    •网络层:ICMP,RIP、OSPF,BGP、IGMP,IP、IPSec、IPX、NAT和SKIP。
    •数据链路层:SLIP、PPP、ARP,RARP、L2F、L2TPPPTP,FDDI和ISDN。
    •物理层:EIA/TIA-232、EIA/TIA-449、X.21、HSSI、SONET、V.24和V.35。
  • 全面了解TCP/IP。了解TCP和UDP之间的差异。熟悉4个TCP/IP层及其与OSI模型的对应关系。此外,还要理解知名端口的使用,并且熟悉相关的子协议。
  • 了解不同的线缆类型及其长度和最大吞吐率。线缆连接类型包括STP、10Base-T(UTP)、10Base2(细览)、10Base5(粗缆)、100Base-T、1000Base-T和光纤。还应当熟悉从1类到7类的UTP。
  • 熟悉常用的LAN技术。常用的LAN技术是以太网、令牌环和FDDI。此外还应当熟悉:模拟通信与数字通信;同步通信与异步通信;基带通信与宽带通信;广播、多播和单播通信;CSMA、CSMA/CA和CSMA/CD;令牌传递;轮询。
  • 了解安全的网络体系结构和设计。网络安全应考虑IP和非IP协议、网络访问控制使用安全的服务和设备、管理多层协议以及实现端点安全。
  • 了解网络分段的各种类型和目的。网络分段可以用来管理流量、提高性能并加强安全性。网络分段或子网的例子包括内部网、外部网和DMZ。
  • 了解不同的无线技术。手机、蓝牙(802.15)和无线网络(802.11)都称为无线技术,即使它们是完全不同的。了解它们的差异、优势和弱点。了解安全802.11网络的基础知识。
  • 了解光纤通道。光纤通道是一种网络数据存储解决方案(例如SAN(存储区域网络)或NAS(网络附加存储)),允许高速文件传输。
  • 了解FCoE。FCoE(以太网光纤通道)用来封装光纤通道中的以太网网络通信。
  • 了解iSCSI。iSCSI(互联网小型计算机系统接口)是一个基于IP的网络存储标准。
  • 了解802.11和802.11a、b、g、n和ac。802.11是IEEE标准的无线网络通信。版本包括802.11(2Mbps)、802.11a(54Mbps)、802.11b(11Mbps)、802.11g(54Mbps)、802.11n(600Mbps)和802.11ac(1.3+Mbps)。802.11标准定义了有线等效保密(WEP)。
  • 了解现场勘测。现场勘测是调查环境中的位置和信号强度以达到部署无线接入点所需条件的过程。这个任务通常涉及利用便携式无线设备进行步行探寻以观测无线信号的强度,并映射这一场景或建筑的示意图。
  • 了解WPA。WEP的早期选择WPA。这种技术虽有改进但本身仍是不完全可靠的。它基于LEAP和TKIP密码体系并使用一个密码短语。
  • 理解WPA2。WPA2是一种新的加密方案,称为计数器模式密码块链接消息认证码协议(CCMP),是基于AES的加密方案。
  • 了解WEP。有线等效保密协议(WEP)是由IEEE802.11定义的标准,目的是在无线网络上提供等同于有线或有线网络同一水平的安全和加密。WEP提供对抗数据包嗅探和窃听攻击的无线传输保护。WEP的第二个好处是能够防止未经授权的无线网络访问。WEP使用预定义的共享密钥。
  • 了解EAP。EAP(可扩展认证协议)不是一个特定的认证机制;它是一个认证框架。实际上,EAP允许新的认证技术与现有的无线或点对点连接技术相兼容。
  • 了解PEAP。PEAP(受保护的可扩展认证协议)通过TLS隧道封装EAP,提供了认证和加密的可能性。
  • 了解LEAP。LEAP(轻量级可扩展认证协议)是Cisco专有的,用于WPA替代TKIP。协议的设计是为了在802.11i/WAP2被批准为标准之前以应对TKIP的不足。
  • 了解MAC过滤。MAC过滤器是一个授权的无线客户端接口MAC地址列表,用于无线接入点以阻止所有非授权设备的访问。
  • 了解SSID广播。无线网络定期在一个称为信标帧的特殊数据包内公布它们的SSID。当SSID进行广播时,具有自动检测和连接的任何设备不仅能够看到网络,也可以主动与网络进行连接。
  • 了解TKIP。TKIP(临时密钥完整性协议)被设计用于替代WEP且不需要更换传统的无线硬件。TKIP在802.11无线网络中得到应用并被称为WPA(Wi-FiProtectedAccess)。
  • 了解CCMP。设计CCMP(计数器模式密码块链接消息认证码协议)是为了取代WEP和TKIP。CCMP使用AES(高级加密标准)和128位的密钥。
  • 了解强制门户。强制门户是一个认证技术,它将一个新的无线Web客户端连接重定向到一个访问控制接口页面。
  • 了解天线的类型。各种类型的天线可用于无线客户端和基站。这些天线包括全向天线以及许多定向天线,如Yagi天线、cantenna天线、面板天线和抛物线天线。
  • 了解现场勘测。现场勘测使用RF信号探测器对无线信号的强度、质量和干扰进行正式评估。
  • 了解标准的网络拓扑结构。有环型、总线型、星型和网状型几类。
  • 了解常用的网络设备。常用的网络设备包括防火墙、路由器、集线器、桥、中继器、交换机、网关和代理。
  • 理解不同类型的防火墙。防火墙有4种基本类型:静态的数据包过滤、应用级网关、电路级网关以及状态检测防火墙。
  • 了解用于连接LAN和WAN通信技术的协议服务。它们是帧中继、SMDS、X.25、ATM、HSSI、SDLC、HDLC和ISDN。
参考链接:

=END=


《 “CISSP官方学习指南第7版#第11章” 》 有 10 条评论

  1. `
    11.7.2 网络拓扑

    计算机和网络连接设备的物理布局和组织被称为网络拓扑结构。逻辑拓扑结构指的是通过网络连接在一起的系统被分组在一个可信集合内。物理拓扑结构并不总与逻辑拓扑结构相同。网络的物理布局存在4种基本的拓扑结构:环型、总线型、星型和网状型。

    环型拓扑结构——环型拓扑结构将每个系统像圆周上的点一样连接在一起。连接介质像一条单向的传输环。每次只有一个系统可以传输数据。传输管理通过一个令牌实现。令牌是一个数字通行证,它绕着环运动,直至被系统捕获。拥有令牌的系统能够传输数据。数据和令牌被传送到特定的目的地。在数据绕环传递时,每个系统都要查看自己是否就是数据的预定接收者。如果不是,则继续传递令牌。如果是,则读取数据。一旦数据被接收,令牌即被释放,并且返回到环中继续绕行,直到被另一个系统捕获。如果环中的任意一段出现故障,那么所有的绕环通信都将终止。为了防止单点故障,某些环型拓扑结构的实现采用了容错机制,例如反向运行的双环。

    总线型拓扑结构——总线型拓扑结构将每个系统都连接到一条主干线或骨干线。总线上所有的系统都可以同时传输数据,这样就可能导致冲突。当两个系统同时传输数据时,就会出现冲突,信号会相互产生干扰。为了避免这种情况的发生,系统采用冲突避免机制,这种机制主要对当前其他任意的通信进行”侦听”。如果侦听到通信,那么系统会等待片刻并再次进行侦听。如果没有侦听到通信,那么系统就传输其数据。当数据在总线型拓扑结构上进行传输时,网络上的所有系统都在侦听这些数据。如果数据的目的地址不是某个特定的系统,那么该系统就会忽略这个数据。总线型拓扑结构的好处在于,如果单个网段出现了故障,那么其他所有网段上的通信仍然能够继续进行而不被中断。不过,中央干线仍然存在着单点故障隐患。总结型拓扑结构有两种类型:线型和树型。线型总线型拓扑结构采用单条主干线路,所有的系统都直接连接到干线上。树型总线型拓扑结构采用单条主干线路,其分支可以支持多个系统。

    「总线型拓扑结构在今天很少使用的主要原因是:它必须在两端有终接器并且在整个网络中容易出现断网的情况。」
    「一条逻辑总线和一个逻辑环可以被实现为一个物理的星型拓扑结构。」

    星型拓扑——星型拓扑结构采用了一个集中式连接设备,这个设备可以是一台简单的集线器或交换机。每个系统都通过一个专用的网段连接到中央集线器。如果任意一个网段出现故障,那么其他网段仍然可以继续运作。然而,中央的集线器却是一个单点故障点。总的来说,星型拓扑结构使用了比其他拓扑结构更少的线缆连接,并且更容易确定受损的线缆。
    以太网是基于总线的技术,它可以被部署为一个物理的星型拓扑结构,但是集线器设备实际上是逻辑总线连接设备。同样,令牌环是基于环的技术,它可以通过使用多站访问部件(Multistation Access Unit,MAU)被部署为一个物理的星型拓扑结构。MAU准许线缆段被部署为星型,同时以内部的设备形成逻辑环连接。

    网状型拓扑结构——网状型拓扑结构使用很多路径将一个系统与其他系统连接在一起。全交叉拓扑结构将每个系统与网络中的其他所有系统都连接在一起。部分交叉拓扑结构将很多系统连接到其他很多系统。网状型拓扑结构为系统提供了冗余连接,这样,即使多个网段出现故障,也不会对连通性造成严重的影响。
    `

  2. 威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践
    https://mp.weixin.qq.com/s/g_x_xpbyKKQkLNpYnMqaXg
    `
    今天我的分享主要有三个内容:腾讯这样一个体量的互联网企业日常面临的安全风险和挑战都有哪些,在座的各位专家是否也有共鸣。腾讯经过十几年的安全建设,应对这些挑战的时候实践的理念是什么,这些理念和思路在有些企业没有办法快速落地,腾讯通过自己的技术积累有什么成熟的产品可以输出给行业帮助到大家。

    腾讯通过大概十五年的安全建设经验沉淀出了比较重要的四款产品:
    1、iOA,腾讯内网的PC上面都安装了IOA,它可以支持Windows和Mac,支持终端的防黑加固和APT入侵检测。同时可以和杀毒软件管家进行有效联动,当然也可以跟其他的杀软联动;iOA也是国内首家自研支持MAC入域、安全加固和入侵检测的客户端,可以比较好地满足企业员工的自带Mac设备办公的需求。
    2、我们还有一款MDM的产品ITlogin,它是以SDK的形式嵌入到移动办公APP当中,它不需要安装高权限的证书,所以企业的管理者不必担心员工有这种隐私的顾虑,每天通过ITlogin登录的设备有十五万台,它除了可以进行统一的权限验证外,还可以对设备进行远程管理,比如设备丢了以后可以把上面的企业数据远程抹掉,同时回收用户的登录权限,保护企业数据不丢失。
    3、第三款是企业云盘,为了公司资料的安全,我们推出企业云盘,即满足员工云存储的需求,也可以满足员工在职场内、外,在PC和移动端进行便利获取云端工作文件的需求。
    4、在腾讯内部有一个具备丰富安全大数据的云端,叫TSOC。它收集企业终端、内部网络、应用,以及行为数据,数据进到TSOC以后,里面有对抗模式、专家规则、机器学习,发现问题和风险。通过态势感知将我们的风险可视化,第一时间给到企业安全人员去收敛风险,帮助企业高层管理者对安全风险进行决策。

    我们认为腾讯这4款产品对腾讯的企业安全,有非常重要的意义。
    `

  3. 802.1X的故事
    https://www.sec-un.org/802-1x%E7%9A%84%E6%95%85%E4%BA%8B/
    `
    基于证书的802.1X认证体系,避免用户频繁输入口令密码。
    回到微软的怀抱,结合域认证体系,改善准入用户体验。
    使用网络厂商的解决方案,放弃客户端,在内网进入之后,再进行提升。
    使用关怀政策,加检测手段,给予一定的宽松期,再通过IAM配合权限控制。
    应用级准入,权限控制交给IAM和PIM系统,同时配合行政管理制度。
    Zero Trust ,有条件,可以试试。
    局部使用,分区管理。避免全局一盘棋。
    `

  4. 有关WiFi安全
    https://www.netspotapp.com/cn/all-about-wifi-security.html
    `
    WEP vs WPA vs WPA2
    iOS上的WiFi安全建议是什么
    常见WiFi家庭安全漏洞
    最有用的WiFi安全提示
    * 选择一个强密码
    * 不要忘记更新您的路由器
    * 监控您的无线安全
    `

    无线安全协议:WEP, WPA, WPA2, 和 WPA3
    https://www.netspotapp.com/cn/wifi-encryption-and-security.html
    `
    这里是从优到劣的适用于现代化(2006年之后)路由器的现代WiFi安全方法的基本排名:

    WPA2 + CCMP
    WPA + CCMP
    WPA + TKIP/CCMP (TKIP在这里是作为回退方法)
    WPA + TKIP
    WEP
    开放网络 (一点也不安全)

    最好的方法是停用Wi-Fi保护设置(WPS)并将路由器设置为WPA2 + CCMP。

    WPA2是WPA的增强版本;
    WPA只支持TKIP加密,而WPA2支持AES;
    从理论上讲,WPA2无法被攻击,而WPA则不然;
    WPA2相比WPA需要更多的处理功率。
    `

  5. 入网指南 01 | 一文读懂你身边的「网络」
    https://sspai.com/post/64074
    `
    本文作者是 Ubiquiti 上海公司无线网络工程师,拥有思科 CCIE R&S 方向认证。她在工作中发现,大家都受到过网络的困扰,但是并不是所有人都能够通过有效的方法快速定位问题所在。相信对于绝大多数非计算机相关专业的人来说,网络还是一个比较神秘的存在。市面上讲网络的书籍大多枯燥或者是需要长时间系统性的学习。于是结合这些年的工作经验和所学的知识,查阅了多方资料,才写下了这个系列的文章,在这个系列的文章里,她会向大家介绍网络是什么,当你发消息的时候发生了什么,生活中见到的网络设备在这个过程中充当着什么角色,最后会带大家搭建一个常规的网络——旨在帮助大家了解网络,敲响网络世界的大门。

    「网」是什么?
    家里是如何上网的?
    LAN、MAN、WAN 是什么意思?
    数据通讯和资源共享
    指挥中心:操作系统、管理软件、通信协议
    传输介质和网络设备
    网线和同轴电缆
    光纤:远距传输理想之选
    电磁波:突破网线限制
    路由器、交换机和 AP
    `

  6. 入网指南 02 | 当你发消息的时候,发生了什么
    https://sspai.com/post/64142
    `
    # 网络互连模型
    # 参考模型的优点
    # OSI 七层模型
    # TCP/IP 参考模型
    # 消息要经历什么才能送到你面前呢?

    以手机发消息为例,
    1. 首先要打开一个沟通软件,当我们执行打开软件这个操作的时候,就是由应用层来完成和我们的交互。
    2. 然后输入信息,输入的信息叫做用户数据,然后这个数据会在表示层被“翻译”成计算机可识别的 ASCII 码。
    3. 当我们按完了发送按钮,剩下来就是机器的事情了,在传输之前,需要先建立会话连接才能传输数据,这就是会话层的工作了。会话层建立会话,产生相应的主机进程传给传输层。
    4. 传输层将以上信息加上端口号以便目的主机辨别,得知具体应由本机的哪个任务来处理。这时候信息还没有发出去,被交给了网络层。
    5. 在网络层加上 IP 地址使数据能确认应到达具体某个主机,选路也发生在这一层,确认应发给谁之后我们还要知道该怎么去,也就是会查地图,选一条最优的路。
    6. 到了数据链路层后,数据前面会再被加上 MAC 地址,用于在局域网内部寻找具体主机,最后数据被转成比特流信息,从而在网络上传输。比特流长什么样呢?其实就是 010101010…… 这种,因为我们手机、电脑还有上文提到的网络设备,里面都是电路板,而电路板只有开合两个状态,对应着 0 和 1,所以只有这样的比特流才可以通过硬件传播。
    7. 数据被网络上的各个主机接收之后,主机会看一眼是不是找自己的,如果不是就丢掉,如果是找自己的就会查看端口号,判断由哪个进程来处理该信息。比如说微信发的消息就会去找微信,不会说 QQ 收到了微信的消息。
    `

  7. 入网指南 03 | 交换机在交换什么?
    https://sspai.com/post/64302
    `
    上篇文章为大家介绍了 OSI 参考模型,OSI 参考模型自下而上分别是,物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。我们想要了解互联网,就必须按照模型顺序,自下而上理解每一层的功能。本篇文章会介绍最下面两层——物理层和数据链路层。

    # 「二层」前面有什么
    通过第一篇文章我们了解到,想要组网,首先要把计算机连接在一起,无论是使用有形的光纤、电缆或网线,还是使用电磁波,都一定要实现计算机物理层面的连接,这也就是我们上一篇所讲到的 OSI 参考模型中的物理层。它的作用就是负责物理连接和传输比特流。

    比特流就是 010101010……这样的字符串,表示的是电路的开合。但电路的开合本身无意义,我们只有给这些电信号造一个密码本,就像摩斯电码那样,每组信号表示一个字母,这样才能翻译出来,以太网就干了这样的事情——规定解读方式。以太网规定解读方式后,就需要有专门的设备来解读信息,这就轮到以太网交换机上场了。

    # 二层交换机的「二层」是什么意思?
    # 发送方和接受者是如何互相识别
    # 交换机的一个端口就是一个冲突域
    # 广播:向网络中所有主机发送数据
    # 交换机 MAC 地址数据库建立过程
    # 二层交换机如何寻找 MAC 地址
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注