CISSP官方学习指南第7版#第12章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第12章 安全通信和网络攻击

本章中覆盖的CISSP考试大纲包含:
4) 通信与网络安全(设计和保护网络安全)
•C.设计和建立安全通信信道
C.1 语言
C.2 多媒体协助(例如,远程会议技术、即时通信)
C.3 远程访问(例如,VPN、屏幕截取、虚拟应用/桌面、远程办公)
C.4 数据通信(例如,VLAN、TLS/SSL)
C.5 虚拟网络(例如,SDN、虚拟SAN、访客操作系统、端口隔离)
•D.阻止和缓解网络攻击

12.1 网络与协议安全机制

TCP/IP是在大多数网络和互联网上使用的主要协议。但是,这种健全的协议也存在许多安全缺陷。在改善TCP/IP安全性的努力中,人们开发了很多子协议、机制或应用程序,从而能够保护传输数据的机密性、完整性和可用性。记住下面这一点十分重要:即使是TCP/IP的单个基础协议,也仍然存在数百个(否则数千个)单独的用于互联网的协议、机制和应用程序,它们中的某些被设计用于提供安全性服务。某些能够保护完整性,某些能够保护机密性,其他一些则可以提供身份认证和访问控制。接下来,我们将讨论一些较常见的网络和协议安全机制。

12.1.1 安全通信协议

为特定应用通信信道提供安全服务协议被称为安全通信协议。下面列出了一些常见的安全通信协议:

  • IP简单密钥管理(Simple Key Management for Internet Protocol,SKIP)这是一种用于保护无会话数据报协议的加密工具。SKIP被设计为与IPS民相结合,并且在OSI模型的第3层上工作。SKIP能够对TCP/IP协议族的任何子协议进行加密。SKIP在1998年被互联网密钥交换(Internet Key Exchange,lKE)代替。
  • 软件IP加密(SoftWare IP Encryption,SWIPE)这是另一种第3层IP安全协议。它通过使用封装协议来提供身份认证、完整性和机密性。
  • 安全远程过程调用(S-RPC)这是一种身份认证服务,并且只是防止在远程系统上在未经授权的情况下执行代码的手段。
  • 安全套接字层(SSL)这是一种由Netscape开发的加密协议,目的是保护Web服务器和Web浏览器之间的通信。SSL可以被用于保护Web、电子邮件、FTP甚至Telnet通信的安全。SSL是一个面向会话的协议,提供了机密性和完整性。SSL使用40位密钥或128位密钥进行部署。
  • 传输层安全(TLS)TLS的功能类似于SSL,但使用更健壮的认证和加密协议。SSL和TLS都有以下功能特性:
    •支持在不安全的网络中提供安全的客户端-服务器通信,并防止篡改、欺骗和窃听。
    •支持单向认证。
    •使用数字证书支持双向认证。
    •通常实现为一个TCP包的初始载荷,允许它封装所有的更高层协议的有效载荷。
    •可以应用在低层,比如在第3层(网络层)作为VPN,这被称为OpenVPN。
    此外,TLS能用于加密UDP和会话初始协议(Session Initiation Protocol,SIP)连接(SIP是一个和VoIP有关联的协议)。
  • 安全电子交易(Secure Electronic Transaction,SET)这是一种在互联网上进行交易传输时所使用的安全协议。SET的基础是RSA加密以及数据加密标准(DES)。主要的信用卡公司都支持SET,例如Visa和MasterCard。然而,SET没有被互联网广泛接受;相反,由SSL/TLS加密的会话是安全电子商务的首选机制。

12.1.2 身份认证协议

在远程系统和服务器(或网络)之间开始建立连接之后,第一个进行的操作应当是验证远程用户的身份,这个操作被称为身份认证。下面列出了一些身份认证协议,这些协议能够控制如何交换登录凭证以及在传输过程中是否对登录凭证进行加密:

  • 挑战握手身份认证协议(Challenge Handshake Authentication Protocol,CHAP)这是在PPP连接上使用的一种身份认证协议CHAP对用户名和密码进行加密,通过使用不能重放的挑战,响应对话来执行身份认证操作。在建立的通信会话持续期间,CHAP也会定期对远程系统重新进行身份认证,从而认证远程客户端的持久性身份。这个活动对用户是透明的。
  • 密码身份认证协议(Password Authentication Protocol,PAP)这是一种用于PPP的标准身份认证协议PAP以明文的形式传递用户名和密码。PAP没有提供任何形式的加密;也只是简单地提供了一种从客户端向身份认证服务器传输登录凭证的手段。
  • 可扩展身份认证协议(Extensible Authentication Protocol,EAP)这是一个身份认证架构,而不是一种实际的协议。EAP允许自定义身份认证安全解决方案,例如支持智能卡、令牌和生物测定学(参见下方”EAP、PEAP和LEAP”中关于基于EAP的其他协议)。

上述三种身份认证协议最初用在拨号PPP连接上。现在,大量的远距离连接技术(包括宽带和VPN)都应用了这些协议与其他很多较新的身份认证协议和概念。

12.2 安全的语音通信

语音通信的脆弱性与IT系统安全无关。然而,随着语音通信解决方案开始通过使用数字设备和IP语音(VoIP)技术在网络上加以应用,保护语音通信的安全就变成了日益重要的问题。当语音通信在IT基础设施上发生时,实现能够提供身份认证和完整性的机制就十分重要。要维护机密性,就必须在传输时采用加密服务或协议来保护语音通信。

常规的专用分支交换(PrivateBranchExchange,PBX)或POTS/PSTN语音通信容易遭受截获、偷听、分机窃听和其他利用。对组织物理位置范围内的语音通信的控制往往要求维护物理安全性。组织外部的语音通信安全通常是提供租用服务的电话公司的职责。如果语音通信的脆弱性对于支撑安全策略来说是个重要的问题,就应当部署语音通信专用的加密通信机制。

12.2.1 互联网语音协议(VoIP)

VoIP是一种将语音封装成IP数据包,并支持音频电话通过TCP/IP网络进行连接的技术。VoIP己经成为企业和个人一种流行和廉价的电话解决方案。

12.2.2 社会工程学

怀有恶意的个人可以通过名为社会工程学的技术来利用语音通信。社会工程学是不认识的人获得组织内部某个人信任的一种方式。

12.2.3 伪造与滥用

对语音通信的另一种威胁是PBX伪造和滥用。许多PBX系统都会被恶意的攻击者用于收费和隐藏自己的身份。被称为飞客(phreaker)的恶意攻击者滥用电话系统的方式与攻击者滥用计算机网络的方式几乎完全相同。飞客可能能够获得对个人语音信箱的未授权访问,也可能重定向消息、阻止访问以及重定向入站和出站呼叫。

针对PBX伪造和滥用的对策与许多保护典型计算机网络的预防措施相同,包括逻辑或技术上的控制、行政管理性控制以及物理性控制。

12.3 多媒体协作

多媒体协作是使用不同的多媒体通信解决方案来支持远程协作(人们通过远程在一个项目上一同工作)。

12.3.1 远程会议

远程会议技术用于让任何产品、硬件或软件可以和远程关系人之间相互交互。这些技术和解决方案有许多其他称呼:数字化协作、虚拟会议、视频会议、软件或应用协作、共享白板服务、虚拟培训I[解决方案等。只要是帮助人们进行沟通、交换数据、在材料/数据/文件上进行协同或者在一起工作以执行任务的任何服务,都可以被认为是远程会议技术服务。

无论实施什么形式的多媒体协作,都必须对随之而来的安全影响进行评估。服务是否使用强大的身份认证技术?通信发生于开放的协议还是加密的隧道?方案是否允许真正的内容删除?是否审核和记录用户的活动?多媒体协作和其他形式的远程会议技术可以改善工作环境,允许来自世界各地的广泛多样的工作者投身进来,但这个好处仅存在于通信解决方案的安全性得以保证的情况之下。

12.3.2 即时消息

即时消息(Instant Messaging,IM)是一种机制,允许两个用户在互联网上的任何位置进行实时文字聊天。一些工具允许文件传输、多媒体、语音和视频会议以及更多的功能。有些形式的IM是基于点对点的服务,而另一些则使用集中控制服务器。基于对等的IM容易让最终用户来部署和使用,但从企业的角度来看却是难以管理的,因为它通常是不安全的。它有很多漏洞:容易遭受数据包监听,缺乏真正的本地安全功能,没有提供隐私保护。

许多形式的即时消息缺乏共同的安全特性,如加密或用户隐私。许多IM客户端都容易通过它们的文件传输功能遭受恶意代码植入或感染。此外,IM用户经常受到各种形式的社会工程学攻击,如模仿或说服受害者泄露应该保护的机密信息(如密码)。

12.4 管理电子邮件的安全性

电子邮件是一种最广泛和最常用的互联网服务。在互联网上使用的电子邮件基础设施主要由电子邮件服务器组成,电子邮件服务器通过使用简单邮件传输协议(SMTP)接收来自客户端的消息,向其他服务器传送这些消息,井且将消息存放到用户的基于服务器的收件箱中。除了电子邮件服务器之外,这个基础设施还包括电子邮件客户端。客户端通过邮局协议版本3(POP3)或互联网消息访问协议(IMAP)从基于服务器的收件箱中检索电子邮件。客户端借助于SMTP与电子邮件服务器进行通信。互联网兼容的所有电子邮件系统都依赖于X.400标准定位和处理邮件。

12.4.1 电子邮件安全性的目标

对于电子邮件来说,在互联网上使用的基本机制提供了有效的消息分发,但是缺乏为机密性、完整性甚至可用性提供的控制。换句话说,基本的电子邮件并不安全。不过,通过很多方式可以增强电子邮件的安全性。增强的电子邮件安全性可能满足下面列出的一个或多个目标:
•提供不可否认性
•限制只有预定的接收者能够访问邮件(例如,隐私性和机密性)
•维护邮件的完整性
•对邮件源进行身份认证和校验
•验证邮件的传输
•对邮件的内容或附件的敏感度进行分类
正如IT安全性的内容一样,电子邮件的安全性首先依赖于由更高级管理人员批准的安全策略。

对于这个安全策略,必须解决下列问题:
•电子邮件可接受的使用策略
•访问控制
•隐私
•电子邮件管理
•电子邮件的备份和保管策略

12.4.2 理解电子邮件的安全性问题

部署电子邮件安全性的第一个步骤是要认识电子邮件特有的脆弱性。用于支持电子邮件的协议并不采用加密。因此,所有的邮件都按照向电子邮件服务器提交的形式进行传输,这种形式往往是明文。这个脆弱性使得电子邮件很容易被截获和偷听。不过,在与电子邮件安全性相关的各种问题中,自身缺乏加密是最不重要的。
电子邮件是病毒、蠕虫、特洛伊木马、破坏性宏文件以及其他恶意代码利用的最常用传输机制。

对各种脚本语言、自动下载能力和自动运行特性的支持的增加,己经将电子邮件内容和附件中的超级链接变成了对所有系统的严重威胁。

在源验证方面,电子邮件几乎没有提供任何方法。即使攻击者是新手,对电子邮件的源地址进行欺骗也是轻而易举的。电子邮件头部既可以在源地址处进行修改,也可以在传输过程中的任何位置进行修改。此外,通过直接连接电子邮件服务器的SMTP端口,也能够将电子邮件直接传送至电子邮件服务器上的用户收件箱。至于传输中的修改问题,我们应当认识到:电子邮件本身没有确保邮件在源和目的地之间不被修改的完整性检查。

此外,电子邮件本身也可以作为攻击机制。当足够多的邮件被指向单个用户的收件箱或者通过特定的SMTP服务器时,就可能导致拒绝服务服务(DoS)。这种攻击常常被称为邮件炸弹,并且只是通过邮件使系统槛出的DoS攻击。此时,DoS既可能是存储容量遭到消耗的结果,也可能是处理能力过度使用的结果。无论是哪一种情况,结果都是一样的:合法的邮件无法被发送。

像电子邮件泛洪溢出和恶意代码附件一样,多余的电子邮件也被视为一种攻击。发送多余的、不适当的或无关的邮件被称为垃圾邮件攻击。垃圾邮件攻击常常令人生厌,它不仅消耗本地的系统资源,而且还消耗互联网上的系统资源。由于邮件的源地址通常都是欺骗性的地址,因此垃圾邮件往往很难被阻塞。

12.4.3 电子邮件安全性解决方案

为电子邮件增强安全性是可能的,但是所做的工作都应与正在交换的邮件的价值和机密性相符。可以在不需要对基于互联网的整个SMTP基础设施进行全面修改的情况下,使用某些协议、服务和解决方案(包括S/MIME、MOSS、PEM和PGP)为电子邮件添加安全性。

12.5 远程接入安全管理

远程交换(或远程连接)己成为商业计算的一种常见特征。远程访问使身处远方的客户端能够建立与某个网络的通信会话。客户端可以来用这样的形式建立通信会话:
•使用调制解调器直接拨号登录远程访问服务器
•在互联网上通过VPN连接至某个网络
•通过瘦客户端(thin-client)与某个终端服务器系统相连接
前两个示例使用了功能完备的客户端,这些客户端建立的连接使其就像直接连接到LAN一样。
最后一个示例使用终端服务器建立了来自某个瘦客户端的连接。这种情况下,所有计算动作都在终端服务器系统中发生,而不是在远程客户端上发生。

12.5.1 计划远程接入安全

当列出远程访问安全管理策略时,务必解决以下问题:

  • 远程连接技术每一种远程连接都存在自己特有的安全问题。仔细查看当前连接选项的各个方面,这可能包括调制解调器、DSL、ISDN、无线网络、卫星以及电缆调制解调器。
  • 传输保护加密协议、加密连接系统、加密的网络服务或应用程序存在多种形式。根据远程连接需要组合使用适当的安全服务组合,这可能包括VPN、SSL、TLS、SSH、IPSec以及L2TP。
  • 身份认证保护除了保护数据通信之外,还必须确保所有登录凭证都是安全的。为了保证登录凭证的安全,就需要使用某种身份认证协议,甚至需要授权使用集中的远程访问身份认证系统,这可能包括密码认证协议(PAP)、挑战握手认证协议(CHAP)、扩展认证协议但AP及其扩展的PEAP或LEAP)、远程认证拨号用户服务(RADIUS)以及终端访问控制器访问控制系统(TACACS+)。
  • 远程用户支持远程访问用户可以定期寻求技术支持。必须通过某种途径以提供最有效的技术支持,这可能包括解决软件和硬件问题以及用户的培训问题等。如果组织无法为远程用户的技术支持提供合理的解决方案,就可能导致生产力的损失、远程系统的破坏或整体性违反组织的安全。
  • 如果很难或不可能将安全性保持在与私有LAN远程系统相似的水平,远程访问应当重新考虑。
  • 网络访问控制(NAC)有助于此,但会导致更新和补丁传输速度较慢的连接。
  • 使用远程访问或建立远程连接的权限必须受到严格的控制。通过使用基于用户身份、工作站身份、协议、应用、内容以及时间的过滤器、规则或访问控制,就能够控制和约束远程连接的使用。
  • 为了只允许获得授权的用户进行远程访问,可以使用回叫和呼叫者ID。回叫是一种机制,这种机制在最初联系时断开与远程用户的联系,随后立即使用预定义的电话号码(也就是在用户账户安全数据库中己定义的电话号码)尝试重新连接。回叫有一种用户自定义模式,不过这种模式并未用于安全性,而是被用于将长途话费的收取对象由远程客户端转移至公司。呼叫者ID验证的用途与回叫相同,不过需要通过电话号码来验证授权用户的物理位置(通过电话号码)。
  • 任何安全策略都必须有一个标准的要素,就是与专有网络相连接的所有系统上不能存在未授权的调制解调器。还可能需要进一步指定安全策略,以指示可移植系统必须在连接网络之前去除所有调制解调器,或者必须使用禁用调制解调器设备驱动程序的硬件配置文件进行启动。

12.5.2 拨号协议

在建立远程连接时,必须使用某些协议来管理连接的实际创建方式,并为其他协议建立工作于其上的通用通信基础。重要的是,只要有可能就要选择支持安全性的协议。最低限度,确保身份认证的手段是必要的,增加数据加密也是首选。拨号协议的两个最主要的例子:PPP和SLIP,不仅为真正的拨号连接,也为一些VPN连接提供连接的管理。

点对点协议(PPP)是一种全双工协议,用于在各种非LAN连接上传输TCP/IP数据包,这些连接包括调制解调器、ISDN、VPN和帧中继等。PPP得到了广泛支持,并且是拨号互联网连接的传输协议选项。通过使用各种协议(例如,CHAP或PAP),PPP身份认证能够受到保护。PPP是SLIP的替换协议,并且可以支持任何LAN协议,而不只是支持TCP/IP。

网络串行线路协议(SLIP)是一种较旧的技术,用于支持异步串行连接(例如,串行线缆或调制解调器拨号)上的TCP/IP通信。SLIP己很少使用,不过仍然得到很多系统的支持。SLIP只能够支持IP协议,需要静态的IP地址,不提供差错检测或纠正功能,并且不支持压缩。

12.5.3 集中化的远程身份认证服务

随着远程访问逐渐成为组织商业活动中的一个要素,在远程客户端和专用网络之间添加安全层往往显得十分重要。集中化的远程身份认证服务(例如,RADIUS和TACACS+)就提供了这种额外的保护层。这些机制为远程客户端进行局域网或当地客户端操作提供了一个隔离的认证和授权过程。隔离对于安全是很重要的,因为如果RADIUS或TACACS+服务器受到损害,那么只有远程连接受到影响,而网络的其他部分不受影响。

  • 远程认证拨号用户服务(RADIUS)这种机制用于集中完成远程拨号连接的身份认证。对使用RADUIS服务器的网络进行配置,从而使远程的访问服务器将拨号用户的登录凭证发送至RADIUS服务器进行身份认证。这个过程类似于域客户端向域控制器发送登录凭证以进行身份认证的过程。
  • 终端访问控制器访问控制系统(TACACS+)这种机制能够替换RADIUS。TACACS具有三种可用的版本:最早版本的TACACS、扩展的XTACACS以及TACACS+。TACACS集成了身份认证和授权过程。XTACACS保持了身份认证、授权和记账过程的分离。TACACS+通过增加双因素身份认证增强了XTACACS。TACACS+是这个产品线最流行和相关的版本。
12.6 虚拟专用网络

虚拟专用网(VPN)是一条通信隧道,可以在不可信的中间网络上提供身份认证和数据通信的点对点传输。大多数VPN使用加密技术来保护封装的通信数据,但是加密对于VPN连接而言并非必需的。
VPN在不安全的或不可信的中间网络上提供了机密性和完整性,但是并不提供和保证可用性。

12.6.1 隧道技术

在能真正理解VPN之前,必须先理解隧道技术。隧道技术是网络的通信过程,通过将协议包封装到其他协议包中来保护协议包的内容。封装是在不可信的中间网络上建立通信隧道的逻辑错觉。这条虚拟路径存在于通信两端的封装和拆装实体之间。

如果封装协议的操作涉及加密,那么隧道技术可以提供通过不可信的中间网络传输敏感数据的方法,并且不必担心丢失机密性和完整性。

隧道技术并不是没有问题。由于大多数协议都包含自身的错误检测、错误处理、确认和会话管理功能,因此隧道技术通常不是一种有效的通信方法。正因为如此,在传输单独的报文时,一次使用多个协议会混合额外的开销。而且,隧道技术生成了更大的或者数量更多的信息包,这也会消耗额外的网络带宽。如果没有足够的带宽,那么隧道技术会很快使网络饱和。此外,隧道技术是一种点对点的通信机制,并且设计时没有考虑对广播通信的处理。隧道技术也使得在某些情况下监控流量的内容变得很难,但不是不可能,这为安全从业者制造了不少麻烦。

12.6.2 VPN的工作原理

VPN连接能够被建立在其他任何网络通信连接上,这些连接可以是典型的LAN线缆连接、无线L剧连接、远程访问拨号连接、W剧连接,甚至可以是客户端访问办公室LAN时使用的互联网连接。VPN连接就像一条典型的直接LAN线缆连接,唯一的区别可能是速率,而速率依赖于客户端系统和服务器系统之间的中间网络和连接类型。在一条VPN连接上,客户端可以像通过一条LAN线缆直接连接那样执行完全相同的操作和访问相同的资源。

12.6.3 常用VPN协议

使用软件或硬件解决方案都可以实现VPN。不管采用哪种解决方案,总是存在4种常用的VPN协议:PPTP,L2F、L2TP和IPSec。PPTP,L2F和L2TP在OSI模型的数据链路层(第2层)上工作。PPTP和IPSec被限制在IP网络中使用,而L2F和L2TP则被用于封装任何LAN协议。

12.6.4 虚拟局域网

虚拟局域网(VLAN)被用于硬件上以实施网络分隔。VLAN在网络上进行逻辑隔离而不改变其物理拓扑。VLAN由交换机创建。默认情况下,交换机上的所有端口都属于VLAN#1。但随着交换机管理员更改每个端口上的VLAN分配,不同的端口可以组合在一起并且使用各自不同的VLAN端口名称。这样,在同一个网络上可以创建多个逻辑网络分段。

在相同VLAN中的端口之间通信是没有阻碍的。不同VLAN之间的通信可以通过使用路由功能拒绝或支持。路由可以由外部路由器或交换机的内部软件提供(可由多层交换机提供)。

因为安全或性能的原因,VLAN管理使用VLAN控制流量。

12.7 虚拟化

虚拟化技术用来在单一主机的内存中承载一个或多个操作系统。这种机制允许在任意硬件上虚拟任意的操作系统。这样的操作系统也被称为客户端操作系统。从用户的角度看,虚拟化的服务器和服务与传统的服务器和服务没有区别。

12.7.1 虚拟化软件

虚拟化应用程序是一种软件产品,它的部署方式是让它误以为在和一个完整的主机操作系统进行交互。一个虚拟(或虚拟化)应用被打包或封装,使它具备移动性和在不用完整安装原有主机操作系统的情况下运行。虚拟应用能充分利用原始主机操作系统,并包含在封装气泡中(技术上称为虚拟机或VM),它的运作/功能就类似于传统的安装。虚拟应用的一些形式被用于USB驱动器上的移动应用(简称应用)。其他虚拟应用被设计运行在另一个宿主操作系统平台上,例如运行在Linux操作系统上的Windows应用。

“虚拟桌面”这个术语指的是至少三种不同类型的技术:
•一种远程访问工具,允许用户访问远程的计算机系统,并允许他远程查看和控制远程桌面显示、键盘、鼠标等。
•虚拟应用概念的扩展,封装多个应用和一些”桌面”形式,或用于移动性和跨操作系统的外壳。这种技术给用户提供了平台的一些功能效益应用,而无需多台电脑、双启动或虚拟化整个操作系统平台。
•扩展或扩展桌面,它们的尺寸大于使得用户可使用多个应用程序的布局,以方便使用按键或鼠标动作间的切换。

12.7.2 虚拟化网络

操作系统虚拟化的概念已经引发了其他虚拟化的话题,例如虚拟化网络。虚拟化网络或网络虚拟化是将硬件和软件网络组件组合成单一合成实体。由此产生的系统允许软件控制所有网络功能:包括管理、流量整形、地址分配等。单一的管理控制台或接口可以用来监视网络的每一个方面,而在过去,一个任务需要在每个硬件组件里都有硬件的存在。虚拟化网络己经成为全球企业范围内部署和管理的一种流行方式。它们允许组织实施或调整其他有意思的网络解决方案,包括软件定义网络、虚拟SAN、客户端操作系统以及端口隔离。

软件定义网络(SDN)是一种独特的网络操作、设计和管理方法。该概念基于这样一个理论,即传统网络设备配置(如路由器和交换机)的复杂性经常强迫组织依附于单一的设备厂商,如屈、科,从而限制了网络的灵活性而难以应付不断变化的物理和商业条件。SDN旨在从控制层(即网络服务的数据传输管理)分离基础设施层(即硬件和基于硬件的设置)。此外,它消除了IP寻址、子网、路由的传统网络概念,以及以此类推的需要被托管应用进行编程或破译的需求形式。

SDN提供了一种新的直接从中心位置编程的网络设计方式,它是灵活的、厂商无关的并基于开放标准。利用SDN使得组织可以不再从单一供应商采购设备。相反,允许组织混合和匹配需要的硬件,如选择最划算的或最高通过性能的设备,而无论供应商是谁。然后通过集中管理界面控制硬件的配置和管理。此外,应用于硬件的设置可以根据动态的需求进行变更和调整。

对SDN的另一种思考方式是有效的网络虚拟化。它使数据传输路径、通信决策树和流控都在SDN控制层进行虚拟化,而不是在每个设备的基础硬件上进行处理。

虚拟化网络的发展所产生的另一个有趣概念是虚拟SAN(存储区域网络)。SAN是一种网络技术,它将多个单独的存储设备组合成单一综合的网络访问存储容器。虚拟SAN或软件定义共享存储系统是一种虚拟网络或SDN上的SAN虚拟重构。

12.8 网络地址转换

隐藏内部客户端的身份、隐蔽私有网络设计以及使公共IP地址租用成本最低,这些功能都可以通过使用网络地址转换(NAT)方便地实现。NAT是一种将包头中的内部IP地址转换为公共IP地址,从而在互联网上进行传输的机制。

人们开发NAT是为了允许专用网络使用任何IP地址集,并且不会与具有相同IP地址的公共互联网主机发生冲突或抵触。事实上,NAT将内部客户端的IP地址转换为外部环境中的租用地址。

NAT提供了很多优点,包括:
•能够只使用一个(或几个)租用的公共IP地址将整个网络连接到互联网。
•始终能够在与互联网通信的情况下,将RFC 1918中定义的专用IP地址用于专用网络。
•NAT通过互联网隐藏IP地址方案和网络拓扑结构
•NAT还通过限制连接提供了保护,从而使只有来自于内部受保护网络的连接才被准许从互联网返回网络。因此,大多数人侵攻击会被自动击退。

12.8.1 专用IP地址

A类、B类、C类IP地址

12.8.2 状态NAT

进行NAT操作时,会在内部客户端生成的请求、客户的内部IP地址以及联系的互联网服务的IP地址之间维护一个映射。当NAT从客户端接收到请求数据包时,就会将数据包的源地址从客户端的地址修改为NAT服务器的地址。这个变化以及目的地址被记录在N映射数据库中。一旦从互联网服务器接收到应答,NAT就将应答的源地址与存储在映射数据库中的地址进行匹配,然后使用链接的客户端地址将响应数据包重定向至预定的目的地。由于维护了客户端和外部系统之间通信会话的相关信息,因此这个过程被称为状态NAT。

NAT可以在一对一的基础上进行操作,这时一次只有单个内部客户端可以通过其中一个租用的公共IP地址进行通信。如果数量比公共IP地址更多的客户端试图进行互联网访问,那么这种配置类型就会导致瓶颈的出现。例如,如果只有5个租用的公共IP地址,那么第6个客户端必须等到有一个地址被释放后才能在互联网上传输通信数据。其他N形式使用了多路复用技术,此时端口号被用于准许在单个租用的公共IP地址上管理来自多个内部客户端的通信。从技术上讲,这种N必T复用方式被称为端口地址转换伊)或超载的NAT,但似乎行业内仍然使用术语NAT来指这个新的版本。

12.8.3 静态NAT与动态NAT

可以使用的NAT有两种模式:静态NAT和动态NAT。

静态NAT将特定的内部客户端的IP地址永久地映射到特定的外部公共IP地址时,就会使用静态模式的NAT。即使使用盯C1918定义的E地址,静态NAT也会允许外部实体与专用网络内部的系统进行通信。

动态NAT动态模式的NAT允许多个内部客户端使用较少的租用公共IP地址。因此,即使租用的公共IP地址较少,较大的内部网络也仍然能够访问互联网。这种模式使出现公共IP地址滥用的情况最少,并且将互联网访问成本降至最低。

在动态模式的NAT实现中,NAT系统维护了一个映射数据库,从而使来自互联网服务的所有响应信息正确地路由至最初的内部请求客户端。N常常与代理服务器或代理防火墙相结合,从而提供额外的互联网访问和内容缓存功能。

因为NAT更改了数据包头,而IPSec依赖数据包头来阻止安全违规,所以NAT并不直接与IPSec相容。不过,某些版本的NAT代理被设计为在NAT上支持IPSec。IPSec是一种基于标准的机制,这种机制为点对点TCP/IP通信提供了加密保护。

12.8.4 自动私有IP地址寻址

一旦DHCP分配失败,自动私有IP地址寻址(APIPA),又叫作本地链路地址分配(在RFC 3927中有定义),会为系统指派IP地址。APIPA基本上是一项Windows功能。APIPA为每个失败的DHCP客户端指派位于169.254.0.1到169.254.255.254范围内的一个IP地址(以及默认B类子网掩码255.255.0.0)。这允许系统与同一广播域内其他配置APIPA的客户端进行通信,但是不能跨越路由器与任何系统通信,也不能与正确分配了IP地址的任何系统通信。

12.9 交换技术

两个系统(单独的计算机或LAN)通过多个中间网络连接时,从一个系统向另一个系统传输数据包的任务是非常复杂的过程。为了简化这个任务,交换技术应运而生。下面首先介绍第一种交换技术:电路交换。

12.9.1 电路交换

电路交换最初是为了管理公共电话交换网中的电话呼叫而开发的。使用电路交换技术时,在两个通信方之间会创建一条专用物理路径

12.9.2 分组交换

随着计算机通信的日益增长和语音通信的萎缩,科技人员最终开发了一种新的交换形式。发生分组交换时,报文或通信先被分为若干小段(往往根据所使用的协议与技术分为长度固定的分组),然后通过中间网络发送至目的地。每个数据段都有自己的头部,头部中包含源与目的信息。所有中间系统都会读取数据段头部中的信息,并且使用这些信息将每个分组分发至各自希望到达的目的地。每条信道和通信路径都只能在某个分组确实利用该信道进行传输时才保留供其使用,一旦分组完成发送,这条信道就会被其他通信所使用。

分组交换并不实施通信路径的排他性。因为逻辑寻址指示了通信信息如何穿越通信双方之间的中间网络,所以分组交换可以被视为一种逻辑传输技术。

12.9.3 虚电路

虚电路(也被称为通信路径)是一种在两个指定端点之间的分组交换网上创建的逻辑路径或电路。在分组交换系统中,存在下列两类虚电路:
•永久虚电路(PermanentVirtualCircuit,PVC)
•交换虚电路(SwitchedVirtualCircuit,SVC)

PVC类似于专用租用线,这种逻辑电路始终存在并等待客户发送数据PVC在使用前创建,但在传输结束后拆除。SVC更像是拨号连接,因为虚电路在使用前必须使用可获得的最好的路径,然后在传输完成后进行链路拆解。在任何一种虚电路类型中,当一个数据包进入虚电路连接的点A时,这个数据包会被直接发送至点B或虚电路的另一端。然而,一个数据包的实际路径可能与同一传输中其他数据包的传输路径不同。换句话说,作为虚电路终端的点A和点B之间可能存在多条路径,但是进入点A的所有数据包最终都会被传输至点B。

PVC像是双向无线点或对讲机。无论通信何时需要,按下按钮便可以说话;无线电重新自动打开预设的频率(即虚电路)。SVC更像是一个短波或业余无线电。每一次你想与某人进行通信时,你必须调整发射机和接收机到一个新的频率。

12.10 WAN技术

WAN连接用来把远端网络、节点或单个设备连接在一起。虽然可以提高通信和效率,但也会给数据带来风险。适当的连接管理和传输加密对于确保安全的连接是必要的,尤其是在公共网络上连接时。广域网连接和远程连接技术可以分为两大类:

  • 专线(也叫作租线或点对点连接)是一种长期保留以供指定客户使用的线路。专线始终保持畅通,并且随时等待传输通信数据。客户的LAN与专用WAN链路之间的连接始终是开放和确定的。一条专线连接两个指定终端,并且一共只连接这两个终端。
  • 非专线是一种在发生数据传输前需要建立连接的线路。非专线能够用于连接使用同种非专线的任何远程系统。标准的调制解调器、DSL以及ISDN都是属于非专线的例子。

12.10.1 WAN连接技术

对于在多个地点,甚至包括国外合伙人之间需要通信服务的公司来说,可以使用的WAN连接技术有很多。这些WAN技术在成本与吞吐量方面的差异相当大。不过,大多数WAN技术都具有对所连接LAN或系统透明的共同特征。WAN交换机、专门的路由器或边界连接设备提供了在网络运营商服务与公司LAN之间所需的所有接口。边界连接设备也称为信道服务单元/数据服务单元(Channel Service Unit/Data Service Unit,CSU/DSU)。这些设备将LAN信号转换为WAN运营商网络所使用的格式,反之亦然。CSU/DSU包含数据终端设备/数据电路终端设备(Data Terminal Equipment / Data Circuit-Terminating Equipment,DTE/DCE),这些设备为LAN的路由器(DTE)与WAN运营商网络的交换机(DCE)提供了实际的连接点。CSU/DSU起到了转换器、存储转发设备与链路调节器的作用。WAN交换机只是LAN交换机的特殊形式,也就是针对特定类型的运营商网络在结构中内置了CSU/DSU。运营商网络(或WAN连接技术)存在多种类型,如X.25、帧中继(FrameRelay)、ATM与SMDS。

12.10.2 X.25 WAN连接

X.25是一种出现较早的分组交换技术,并且在欧洲范围内被广泛应用。这种技术使用永久虚电路在两个系统或网络之间建立特定的点对点连接。X.25是帧中继的前身,二者的运作方式几乎一模一样。不过,与帧中继或SMDS相比,X.25自身的性能较低、吞吐速率较慢,因此在逐步走向衰落。

12.10.3 帧中继连接

与X.25一样,帧中继也是一种使用PVC的分组交换技术。然而与X.25不一样的是,帧中继在一条运营商服务连接上支持多条PVC。帧中继是一种使用分组交换技术在通信终端之间建立虚电路的第二层连接机制。专线或租用线的成本主要取决于通信终端之间的距离,而帧中继的成本主要取决于传输的数据量。帧中继网络是一种共享介质,提供点对点通信的虚电路就被创建在这种介质中。所有虚电路都是独立的,并且彼此不可视。

承诺信息速率(Cotted Infomation Rate,CIR)是一个与帧中继相关的重要概念。CIR是服务提供商向客户保证的最小带宽,通常远小于服务提供商网络的实际最大带宽。根据具体约定,每位客户可能使用不同的CIR。在有可用的额外带宽时,服务提供商可以允许客户在短时间内使用超出约定的CIR,这也被称为按需分配带宽。尽管乍听起来似乎是一个显著的优势,然而现实情况是客户占用额外的带宽时需要附加计费。作为面向连接的分组交换传输技术,帧中继在OSI模型的第2层(也就是数据链路层)上运作。

帧中继要求在每个连接点上都使用DTE/DCE。客户拥有DTE(类似于路由器或交换机,并且为客户的网络提供对帧中继网络的访问)。帧中继服务提供商拥有DCE,从而完成数据在帧中继网络上的实际传输以及为客户建立和维护虚电路。

12.10.4 ATM

与诸如帧中继之类的分组交换不同,异步传输模式(ATM)是一种信元交换WAN通信技术。这种技术将通信分片为若干长度固定为53字节的信元。通过使用长度固定的信元,ATM更有效率,并且能够提供更高的吞吐量。ATM既可以使用PVC,也可以使用SVC。ATM提供商保证租用服务的最小带宽与指定的质量等级。只要再付一定的费用,客户就可以在服务网络可用的情况下根据需要占用额外的带宽;与前面介绍帧中继时提到的一样,这种方式被称为按需分配带宽。ATM是一种面向连接的分组交换技术。

12.10.5 SMDS

交换式多兆位数据服务(SMDS)是一种无连接的分组交换技术。通常,SMDS用于连接多个LAN,从而组成城域网(MAN)或WAN。如果需要连接极少通信的远程LAN,那么也在SMDS往往是首选的连接机制。SMDS支持高速的突发通信量,并且支持按需分配带宽。SMDS机制将数据分片为若干小的传输信元。考虑到使用了相似的技术,所以可以将SMDS视为ATM的前身。

12.10.6 专门的协议

某些WAN连接技术需要使用其他专门的协议来支持各种各样特殊的系统或设备。下面列出了其中三种协议:SDLC、HDLC与HSSI。

12.10.7 拨号封装协议

点对点协议(PPP)是一种封装协议,被设计用于支持在拨号或点对点连接上传输IP通信数据。

PPP允许通过WAN设备的多供应商互用性来支持串行连接。所有拨号连接与大多数点对点连接在本质上都属于串行连接(与井行连接相对)0PPP包含众多通信服务,这些通信服务包括IP地址的分配与管理、同步通信的管理、标准化封装、复用、连接配置、连接质量测试、差错检测以及特性或选项协商(例如,对压缩的协商)。

PPP最初被设计用于支持针对身份认证的CHAP和PAP协议。不过,最新版本的PPP也支持MS-CHAP、EAP以及SPAP协议。此外,PPP还可以用于支持网际包交换协议。IPX和DECnet协议。PPP在RFC 1661文档中被记录为互联网标准。PPP替代了串行线路互联网协议(SLIP)。SLIP只支持半双工通信,没有提供身份认证,不存在差错检测能力,并且要求人工建立与关闭链路。

12.11 各种安全控制特性

在为网络通信选择或部署安全控制时,需要根据现实环境、性能和安全策略来评估许多特性,接下来我们将详细讨论这些问题。

12.11.1 透明性

顾名思义,透明性是服务、安全控制或访问机制的一种特性,这种特性确保服务、安全控制或访问机制对于用户来说是不可见的。就安全控制而言,透明性往往是一种必要的特征。安全机制越透明,用户就越难避开安全机制,甚至无法察觉到安全机制的存在。借助于透明性,某个功能、服务或约束存在的痕迹难以被直接发现,其对性能的影响也是极小的。
在某些情况下,例如当管理员在检测、评估或调整系统的配置时,透明性可能需要更多地作为可配置特征而非固定特征。

12.11.2 验证完整性

为了验证数据传输的完整性,可以使用称为散列总数的检验和。

12.11.3 传输机制

传输日志是一种关注于通信的审计形式。传输日志记录了源端、目的端、时间标记、标识码、传输状态、数据包数量、消息长短等的相关细节。这些信息有助于解决故R毒和跟踪未授权通信,在系统中,还可以用来提取相应的数据,从而了解系统的工作方式。
传输错误校正是面向连接的或面向会话的协议和服务内置的一种能力。如果确定某条消息全部(或部分)出现损坏、被更改或丢失,那么可以请求消息源重新发送整条或部分消息。在传输差错校正系统发现通信存在问题时,重发控制确定是重发整条消息还是重发部分消息。重发控制还可以确定是发送散列总数的多个副本还是CRC值的多个副本,以及确定是使用多条数据路径还是使用多条通信信道。

12.12 安全边界

安全边界是任何两个具有不同安全要求或需求的区域、子网或环境之间的交线。安全边界存在于高安全性区域和低安全性区域之间,例如某个L和互联网之间。识别网络上和现实世界中的安全边界十分重要。一旦确定了安全边界,就需要部署某些控制和机制,从而控制跨越这些安全边界的信息流。

12.13 网络攻击与对策

与IT基础设施的其他方面易受攻击非常类似,通信系统也容易受到攻击。理解威胁以及可能的对策对于保护运行环境来说是很重要的部分。如果可能的话,那么能够导致对数据、资源或个人产生危害的任何行为或环境都必须得到解决和缓解。需要记住的是,损害不仅包括破坏或损坏,还包括泄漏、访问延迟、拒绝访问、伪造、资源浪费、资源滥用和损失。针对通信系统安全性的常见威胁包括拒绝服务、偷听、假冒、重放和修改。

12.13.1 DoS和DDoS

拒绝服务攻击是一种资源消耗型攻击,以阻碍受害系统上的合法活动为主要目标。拒绝服务攻击将使目标无法响应合法流量。

12.13.2 偷听

顾名思义,偷听是为了复制目的而对通信信息进行简单的侦听。复制采用的形式是:将数据记录到存储设备中,或者将数据记录到尝试动态从通信流中提取出原始内容的提取程序中。一旦通信内容的副本落入攻击者手中,他们就常常会从中提取出很多类型的机密信息,例如用户名、密码、处理过程、数据等。

偷听通常需要对IT基础设施进行物理的接入,从而将物理的记录设备连接到开放的端口或电缆接头,或者在系统中安装软件记录工具。偷听常常很容易通过网络通信捕获或监控程序实现,或者通过协议分析系统(常被称为嗅探器)实现。由于使用的是被动攻击方式,因此检测偷昕设备和软件通常较为困难。如果偷昕或窃听变成更改通信数据或在其中添加数据,就成了主动攻击。

维护物理接入的安全性,从而防止未授权的人员访问你的IT基础设施,这种方法能够对付偷听。

为了保护来自网络外部的通信或者防范来自内部的攻击,对通信传输使用加密(例如,IPSec或SS田和一次’性身份认证方法(即一次性填充或令牌设备)将极大地降低偷听的有效性和及时性。

12.13.3 假冒/伪装

假冒或伪装是指假装成某人或某事,从而获得对系统的未授权访问。这通常意味着认证证书被窃取或遭受篡改以满足(即成功地绕过)认证机制。这不同于欺骗,欺骗是提出了一个虚假的身份但没有任何证据(如错误地使用IP地址、MAC地址、电子邮件地址、系统名称、域名等)。假冒往往可以通过捕获网络服务会话设置中的用户名和密码加以实现。

对付假冒攻击的解决方案包括:使用一次性填充和令牌身份认证系统,使用Kerbose,使用加密,从而增加从网络通信中提取身份认证凭证的难度。

12.13.4 重放攻击

重放攻击是假冒攻击的分支,可以利用通过偷听捕获的网络通信进行攻击。重放攻击企图通过对系统重放被捕获的通信来重建通信会话。可以使用一次性身份认证机制和序列化会话身份标识来防范重放攻击。

12.13.5 修改攻击

修改攻击能够更改捕获的数据包,然后将其放回系统中。被修改的数据包被设计为能够避开改良的身份认证机制和会话排序的限制。针对修改重放攻击的对策包括数字签名验证与数据包校验与
验证。

12.13.6 地址解析协议欺骗

地址解析协议(ARP)是TCP/IP协议族的一个子协议,工作在OSI模型的网络层(第3层)上。ARP用于通过轮询使用系统的IP地址来发现系统的MAC地址。ARP通过广播含有目的地IP地址的请求数据包进行运作,具有这个IP地址的系统(或其他一些已经具有该地址的ARP映射的系统)就会使用相关联的MAC地址进行应答。被发现的-MAC映射会被存储在ARP缓存中,并且被用于指示数据包的传输方向。

12.13.7 DNS技毒、欺骗和劫持

DNS投毒和DNS欺骗也被称为解析攻击。当攻击者更改DNS系统中域名到IP地址的映射并将流量重定向到假冒系统或简单地执行拒绝服务时,DNS投毒就发生了。当攻击者发送一个虚假响应给请求系统,并抑制来自有效DNS服务器的真正响应时,DNS欺骗就发生了。这也是技术上竞争条件的利用。为阻止因投毒和欺骗而引起虚假DNS结果的措施包括:仅允许授权的DNS修改、限制传输区域和记录所有DNS特权活动。

2008年,一个相当重大的漏洞被DanKasky发现并向全世界公开。该漏洞存在于本地或缓存DNS服务器从权威身份的根服务器获取特定域信息的方式中。通过发送不存在的子域虚假应答给缓存DNS服务器,攻击者可以劫持整个域解析的详细信息。关于解释DNS如何工作,以及解释这个漏洞如何威胁当前DNS架构,可访问”AnllIusatedGuideto也eKaminskyDNSVulnerability”,具体链接为 http://unixwiz.netltechtips/iguide-kaminsky-dns-vuln.html

关于DNS劫持漏洞,唯一能解决的办法就是升级DNS到域名系统安全扩展(DNSSEC)。

12.13.8 超链接欺骗

此外,与相关联的另一种攻击是超链接欺骗。这种类似于DNS欺骗的攻击用于将通信重定向至欺诈系统或冒名系统,或者简单地将通信发送至预定目的地之外的任何地方。超链接欺骗既可以来用DNS欺骗的形式,也可以只是简单地在发送给客户端的文档的町代码中修改超链接。因为大多数用户并不通过DNS验证中的域名,而是认定超链接是合法的并进行单击,所以超链接欺骗攻击往往都会成功。

对超链接欺骗攻击的防护手段包括防止DNS欺骗、保持系统更新补丁并在使用互联网时采取同样谨慎的预防措施。

12.14 本章小结
  • 远程访问安全管理需要安全系统设计者提出解决与策略、工作任务和加密相关问题的硬件、软件组合的实现方案,这包括部署安全通信协议。本地和远程连接的安全认证是整体安全的一个重要基本元素。
  • 对于网络、语音和其他形式的通信而言,保持对通信路径的控制是维护保密性、完整性和可用性的关键。许多攻击都集中于侦听、拦截,或以其他方式干扰数据从一个位置传输到另一个位置。幸运的是,有合理的对策可以帮助减少或消除这些威胁。
  • 隧道封装,意味着使用一个协议的消息可以通过另一个协议在网络或通信系统中进行传输。隧道可以结合加密技术,以安全地发送消息。VPN正是基于加密隧道。
  • VLAN是由交换机产生强加的网络分段。VLAN用于将网络逻辑分隔成网段而不改变网络的物理拓扑。VLAN用于通信流量管理。
  • 远程办公或远程连接,己成为商业计算的一个共同的特点。当在任何环境中部署远程访问能力时,必须考虑、安全性以便为私人网络提供保护,应对远程访问难题。远程访问用户应在授予访问权限前进行严格认证,可以使用RADIUS或TACACS实现认证。远程访问服务包括IP语音(VoIP)、多媒体协作和即时通信。
  • NAT用来隐藏专用网络的内部结构以及让多个内部客户通过少数几个公网IP地址访问互联网。NAT通常是边界安全设备的默认功能,如防火墙、路由器、网关和代理。
  • 在电路交换中,一条专用物理路径将在两个通信方之间建立。把消息或通信分解成小的分段(通常是固定长度的数据包,这取决于采用的协议和技术),并发送到中间网络,最终到达目的地时,分组交换就发生了。分组交换系统内有两种类型的通信:路径和虚电路。虚电路是在两个指定节点之间,创建在分组交换网络上的逻辑路径或电路。有两种类型的虚电路:永久虚电路(PVC)和交换虚电路(SVC)。
  • WAN链路或远程连接技术,可以分为两个主要类别:专线和非专线。专线连接两个特定的端点并且只有这两个端点。非专线在需要数据传输时才进行连接。非专线可以用同样的非专线连接任何远程系统。W剧连接技术类型包括X.25、帧中继、ATM、SMDS、SDLC、HDLC和HSSI。
  • 当选择或部署网络通信的安全控制时,需要按照所在环境、能力和安全策略评估诸多特性。安全控制应该对用户透明。哈希和CRC校验可用于验证消息的完整性。记录序列用来保证传输序列的完整性。传输日志有助于检测通信滥用。
  • 虚拟化技术用来在一台主机的内存中启动和运行一个或多个操作系统。这个机制允许几乎任意操作系统在任意硬件上运行,还允许多个操作系统同时在同一硬件上工作。虚拟化提供了几个好处,例如,能够在需要的情况下启动单个服务器或服务的实例、实时的可扩展性,并且能够运行应用程序所需的操作系统版本。
  • 基于互联网的电子邮件是不安全的,除非采取措施以确保它的安全。为了电子邮件的安全,应该提供不可否认性、限制用户访问权限、确保完整性得到维护、验证消息来源、核实交付,甚至对敏感内容进行分类。这些安全措施在实施解决方案之前必须在安全政策中全部声明。它们经常以可以接受的使用政策、访问控制、隐私声明、电子邮件管理程序、备份和保留政策的形式出现。
  • 电子邮件是一种常见的恶意代码传递机制。过滤附件、使用防病毒软件,并对用户进行教育是有效对抗攻击的对策。垃圾邮件或邮件泛滥是一种形式的拒绝服务攻击,可以通过过滤器和IDS进行阻断。电子邮件可以使用S/MIME、MOSS、PEM和PGP来改善安全性。
  • 通过使用加密保护文件的传输并防止窃听,可以提高传真和语音的安全性。有效培训用户是对抗社会工程学攻击的对策。
  • 安全边界是一个安全区域和另一个安全区域之间的边界划分,也可以是安全区域和非安全区域之间的边界划分。两者都必须在安全策略中加以应对。
  • 通信系统容易受到许多攻击,包括分布式拒绝服务(DDoS)、窃听、假冒、重放、篡改、欺骗、ARP和DNS攻击。幸运的是,存在有效的对策应对以上这些问题。PBX欺骗和滥用,以及盗用电话线也是必须解决的问题。
12.15 考试要点
  • 理解围绕远程访问安全管理的问题。远程访问安全管理需要安全系统设计者连同策略、工作任务和密码学等问题一起,提出硬件和软件组合的解决方案。
  • 熟悉各种可能在LAN和WAN中用于数据通信的协议和机制。这些协议和机制包括SKIP、SWIPE、SSL、SET、PPP、SLIP,CHAP、PAP,EAP和S-RPC,还包括VPN、TLS/SSL和VLAN。
  • 了解什么是隧道技术。隧道技术利用另一个协议封装可以使用某个协议传输的消息。此处所讲的另一个协议常常通过加密来保护消息内容的安全。
  • 理解VPN。VPN建立在加密隧道技术的基础上,能够作为点对点方案提供身份认证和数据保护。常见VPN协议包括PPTP,L2F、L2TP以及IPSec。
  • 能够解释NAT。NAT保护专用网络的寻址方案,准许专用IP地址的使用,并且使多个内部客户端能够利用有限的几个公共IP地址访问互联网。NAT得到许多安全边界设备的支持,这些边界安全设备包括防火墙、路由器、网关和代理。
  • 理解分组交换和电路交换之间的差异。电路交换中,通信双方之间会创建一条专用物理路径发生分组交换时,消息或通信先被分为若干小段,然后通过中间网络发送至目的地。分组交换系统内存在两种逻辑路径或虚电路:永久虚电路(PVC)和交换虚电路(SVC)。
  • 理解专线和非专线之间的差异。专线是一种长期保留以供指定客户使用的线路。专线示例包括T1、T3、E1、E3以及线缆调制解调器。非专线是一种在发生数据传输前需要建立连接的线路。非专线能够用于连接使用同种非专线的任何远程系统。非专线示例包括标准的调制解调器、DSL以及ISDN。
  • 了解和远程访问安全相关的问题。熟悉远程访问、拨号连接、屏幕截取、虚拟应用/桌面和一般远程办公的安全关注点。
  • 了解各种WAN技术。了解大多数WAN技术都需要信道服务单元/数据服务单元(CSU/DSU),它们也被称为WAN交换机。运营商网络和WAN连接技术存在多种类型,例如X.25、帧中继、ATM与SMDS。某些WAN连接技术需要使用其他专门的协议来支持各种各样特殊的系统或设备,其中三种协议是SDLC、HDLC和HSSI。
  • 理解PPP和SLIP之间的差异。点对点协议(PPP)是一种封装协议,被设计用于支持在拨号或点对点连接上传输IP通信数据。PPP包含众多通信服务,这些通信服务包括IP地址的分配与管理、同步通信的管理、标准装、复用、链路配置、链路质量测试、差错检测以及特性或选项协商(例如,对压缩的协商)。PPP最初被设计用于支持针对身份认证的CHAP和PAP。不过,最新版本的PPP也支持MS-CHAP、EAP以及SPAP。PPP代替了串行线路网络协议(SLIP)。SLIP只支持半双工通信,没有提供身份认证,不存在差错检测能力,并且要求人工建立与关闭链路。
  • 理解安全控制的常见特征。安全控制应当对用户透明。散列总数和CRC校验可以用于验证消息的完整性。记录序列用于确保传输的序列完整性。传输日志记录能够帮助检测通信的滥用情况
  • 理解如何实现电子邮件的安全性。互联网电子邮件基于SMTP、POP3和IMAP,其本身是不安全的。电子邮件可以受到保护,但是必须在安全策略中说明所使用的保护方法。电子邮件的安全性解决方案包括S/MIME、MOSS、PEM或PGP的使用。
  • 了解如何实现传真的安全性。传真的安全性主要基于使用加密的传输或通信线路来保护通过传真发送的内容,主要目标是防止截获。活动日志和异常报告能用于检测传真中表现为攻击征兆的异常活动。
  • 了解与PBX系统相关联的威胁以及针对PBX伪造的对策。针对PBX伪造和滥用的对策与许多保护典型计算机网络的预防措施相同,包括逻辑或技术性控制行政管理性控制以及物理性控制
  • 理解与VoIP相关的安全问题。VoIP协议的风险包括呼叫者ID欺骗、语音钓鱼、SPIT、呼叫管理软件/硬件攻击、电话硬件攻击、DoS、MitM、欺骗和交换机跳跃等。
  • 识别什么是飞客。飞客行为是一种针对电话系统的特定攻击类型。飞客使用各种技术回避电话系统,从而获得免费的长途呼叫、更改电话服务的功能、窃取特殊的服务甚至导致服务中断。常用的飞客工具包括黑盒、红盒、蓝盒和自盒。
  • 理解语音通信的安全性。语音通信系统容易受到很多攻击,特别是当语音通信成为网络服务的重要部分时。使用加密通信可以获得机密性。为了防止受到拦截、偷听、分机窃听和其他形式的利用,必须部署相应的对策。熟悉各种语言通信类型,例如POTS、PSTN、PBX和VoIP。
  • 能够解释什么是社会工程学。社会工程学是不认识的人获得组织内部某个人信任的一种方式。擅长社会工程学的人可以使员工相信他们是上层管理人员、技术支持人员或服务台人员等。受害者常常会被怂恿在系统中修改他们的用户账户,例如重新设置密码。对付这种类型攻击的主要对策是对用户进行培训。
  • 解释安全边界的概念。安全边界可以是受保护区域之间的分界,也可以是受保护区域和非受保护区域之间的分界。二者都必须在安全策略中加以说明。
  • 理解与通信安全性相关联的各种攻击和对策。通信系统容易受到很多攻击,包括拒绝服务攻击(DDoS)、偷听、假冒、重放、修改、欺骗以及ARP和DNS攻击。要能够列出每种攻击的有效对策。
参考链接:

=END=


《“CISSP官方学习指南第7版#第12章”》 有 15 条评论

  1. 企业安全建设实践之邮件安全
    https://mp.weixin.qq.com/s/xCeae-I0juo8JfMZjbdoYQ
    `
    第一个阶段:满足业务需要
      相应的解决方案,SPF、DKIM、DMARC、RDNS等等。
    第二阶段:统计分析优化与应急处置阶段
      针对exe、dll等可执行文件直接在邮件网关上进行过滤,凡是附件是可执行文件的直接隔离,以暴制暴!
      如果发现附件是加密了但同时又在邮件正文中出现密码、password等关键字,则可以在邮件网关上做进一步的处理。
    第三阶段:接入沙箱查漏补缺阶段
      针对压缩包进行检测的场景,邮箱入站检测里、后端沙箱里、出站检测里都会涉及到,不支持就意味着有被突破的风险。
    第四阶段:沙箱运营、情报对接、自动化处理阶段
      沙箱的事件开始跟SOC对接,SOC事件每天有人跟进;同时建议有条件的企业,沙箱跟情报系统联动起来。
    第五阶段:关注外围和整体
      一是针对邮件系统本身的攻击,比如:OWA;
      二是在出站防护这块,TLS通道加密启用了吗?一些境外组织如VISA则会强制要求邮件要走TLS通道加密。还有敏感邮件外发的检测策略是否都生效?
      三是整体安全防护方案。

    建议选择适合自己企业的方案,结合不断的运营优化,提升安全能力才是正道。
    `

  2. 针对邮件协议POP3、SMTP、IMAP进行账户安全性测试
    https://github.com/se55i0n/Emailscanner

    `
    0x03 关于防止垃圾邮件的两种技术
    SPF技术
    SPF是 Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。
    SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你域名的SPF记录之后, 接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。

    DKIM
    DKIM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送,电子邮件收件人则可以使用签名来证实邮件确实来自该企业。
    `

  3. 简析VLAN和VxLAN两种网络虚拟技术
    https://jingwei.link/2018/12/17/vlan-and-vxlan.html
    `
    写在前面
    适用人群
    网络虚拟技术——VLAN
     VLAN存在的必要性
     VLAN的实现
      同一个交换机上的 VLAN 的实现
      跨越多台交换机的 VLAN 的实现
    网络虚拟技术——VxLAN
     云计算
     虚拟技术对网络的要求
     一种overlay网络的实现——VxLAN
     责任越大,权力也要越大
    小结
    参考
    `

  4. Google Cloud 中的传输加密
    https://cloud.google.com/security/encryption-in-transit?hl=zh-cn
    `
    * 面向首席信息官级别领导人的摘要
    * 简介
    * 身份验证、完整性和加密
    * Google 的网络基础架构
    ____* Google 网络的物理边界
    ____* 流量路由方式
    * 默认情况下的传输加密
    ____* 用户到 Google 前端的加密
    ____* Google 前端到应用前端
    ____* Google Cloud 的虚拟网络加密和身份验证
    ____* 服务到服务的身份验证、完整性和加密
    ____* 虚拟机到 Google 前端的加密
    * 用户可配置的传输加密选项
    ____* 本地数据中心到 Google Cloud
    ____* 用户到 Google 前端
    ____* 服务到服务和虚拟机到虚拟机的加密
    * Google 如何帮助互联网加密传输中的数据
    ____* 证书透明度
    ____* 增加 HTTPS 的使用
    ____* 更广泛地使用安全的 SMTP:Gmail 指标
    ____* Chrome API
    * 传输加密的持续创新
    ____* Chrome 安全用户体验
    ____* 密钥透明度
    ____* 后量子加密
    * 附录
    * 脚注
    `

  5. 第 37 章 开始使用 IPVLAN
    https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/getting-started-with-ipvlan_configuring-and-managing-networking
    `
    37. 开始使用 IPVLAN
    37.1. IPVLAN 概述
    37.2. IPVLAN 模式
    37.3. MACVLAN 概述
    37.4. IPVLAN 和 MACVLAN 的比较
    37.5. 使用 iproute2 创建和配置 IPVLAN 设备

    # 37.1. IPVLAN 概述
    IPVLAN 是虚拟网络设备的驱动程序,可在容器环境中用于访问主机网络。IPVLAN 会将单个 MAC 地址公开给外部网络,无论主机网络中创建的 IPVLAN 设备数量如何。这意味着,用户可以在多个容器中有多个 IPVLAN 设备,相应的交换机会读取单个 MAC 地址。当本地交换机对它可管理的 MAC 地址总数施加限制时,IPVLAN 驱动程序很有用。

    # 37.3. MACVLAN 概述
    MACVLAN 驱动程序允许在一个 NIC 上创建多个虚拟网络设备,每个网卡都由其自身唯一的 MAC 地址标识。物理 NIC 上的数据包通过目的地的 MAC 地址与相关的 MACVLAN 设备进行多路复用。MACVLAN 设备不添加任何级别的封装。

    ipvlan是linux kernel比较新颖的特性,稳定的版本>=4.2,和macvlan类似,都是从一个主机接口虚拟出多个虚拟网络接口,ipvlan虚拟出的子接口共有物理接口的mac地址,但可配置不同的ip地址。

    macvlan是linux kernel提供的网络虚拟化技术之一,它将物理网卡虚拟出多块虚拟网卡,每块虚拟网卡都有自己的mac地址和IP地址,相当于物理网卡施展了多重影分身之术,由一块变成多块。macvlan是linux kernel v3.9才开始支持的新特性,它一般是以内核模块的形式存在,当前比较稳定的版本是4.0+。

    macvlan听起来有点像vlan,但它们的实现机制是完全不一样的。macvlan子接口和主接口是完全独立的,可以单独配置MAC地址和IP地址,而VLAN子接口和主接口是共用相同的MAC地址。从功能上看,vlan是用来划分广播域,而macvlan则共享同一个广播域。
    `

  6. 网络基本技术(一):VLAN
    https://mp.weixin.qq.com/s/JofeLL2bl0eACWlAl4UVNQ
    `
    VLAN能够为局域网解决冲突域、广播域、带宽等问题。它对连接到二层交换机的网络用户进行逻辑分段,不受网络用户的物理位置限制而根据用户需求(网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议)进行网络分段。
    `

    网络基本技术(二):VXLAN
    https://mp.weixin.qq.com/s/gQuhU6DkgXJGk6Bqcuk-8g
    `
    云时代的到来,导致传统二层网络技术,在链路使用率、收敛时间等方面都不满足需求,即便使用VLAN隔离用户和虚拟机,理论上也只能支持4K个标签。VXLAN主要是解决VLAN有限标签的问题。
    `

    linux核心知识之ipvlan
    https://mp.weixin.qq.com/s/ly_Mgy_pq2P4rPYjpBOfmA
    `
    # 选择ipvlan还是macvlan?

    ipvlan和macvlan两个虚拟网络模型提供的功能,看起来差距并不大,那么什么时候需要用到ipvlan呢?要回答这个问题,我们先来看看macvlan存在的不足:
    1、需要大量mac地址。每个虚拟接口都有自己的mac地址,而网络接口和交换机支持的mac地址个数是有限的,在mac地址过多的情况下会造成严重的性能损失
    2、无法和802.11(wireless)网络一起工作

    假如你遇到了以上描述的问题,则这时就可以考虑使用ipvlan。
    `

    linux核心知识之macvlan
    https://mp.weixin.qq.com/s/wi887h2V3PH665ufNT91cQ
    `
    macvlan是linux kernel提供的网络虚拟化技术之一,它将物理网卡虚拟出多块虚拟网卡,每块虚拟网卡都有自己的mac地址和IP地址,相当于物理网卡施展了多重影分身之术,由一块变成多块。

    macvlan听起来有点像vlan,但它们的实现机制是完全不一样的。macvlan子接口和主接口是完全独立的,可以单独配置MAC地址和IP地址,而VLAN子接口和主接口是共用相同的MAC地址。从功能上看,vlan是用来划分广播域,而macvlan则共享同一个广播域。

    macvlan会根据收到包的目的MAC地址判断这个包需要交给哪个虚拟网卡,然后再由虚拟网卡交予上层协议栈进行处理。
    `

  7. MacVLAN vs IPvlan: Understand the difference
    https://ipwithease.com/macvlan-vs-ipvlan-understand-the-difference/
    `
    (macVLAN的缺点)From experience, Macvlan technology proved to be almost an ideal solution to connect natively Virtual Machines and containers to a physical network but with some drawbacks:

    1. First of all, the host as a switch is connected regarding a policy that sets a limitation to the number of different MAC addresses allowed on the physical port. Although, the user should cooperate with the network administrator to change this policy. Unfortunately, many times this might not be possible (or a quick PoC should be set up).
    2. In addition, most NICs have a limitation on the number of MAC addresses they support natively. Sometimes exceeding that specific limit may affect the system’s performance.
    3. Finally, according to IEEE 802.11 protocol specifications, multiple MAC addresses on a single client are not allowed. Therefore, Macvlan sub-interfaces will be blocked by the user’s wireless interface driver or AP.

    (ipVLAN的缺点)Due to the fact that most Virtual Machines or containers usually on a single parent interface make use of the same MAC address, it results in some drawbacks of implementing IPvlan technology:

    1. Firstly, all the shared MAC addresses can affect DHCP services. In case the user’s Virtual Machines or containers use DHCP, in order to acquire network settings. Then the user should be aware that he has to use a unique Client ID in the DHCP request and make sure that DHCP server assigns IP addresses according to Client ID and not client’s MAC address.
    2. Finally, auto-configured EUI-64 IPv6 type addresses are based on MAC type addresses. Therefore, all the Virtual Machines or containers that share the same parent interface, will auto generate the same IPv6 address. We advise the user to make sure that all the Virtual Machines or containers use static IPv6 addresses or IPv6 privacy addresses with SLAAC disabled.
    `

回复 a-z 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注