CBK-D4-通信与网络安全、访问控制
安全网络架构和组件
OSI模型–20世纪70年代开发出来,1984年正式作为ISO标准7498发布
应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。 应表会传网数物
封装和解封,数据从物理层到应用层向上移动时被称为解封,向下移动被称为封装。
对等层通信,
应表会层是PDU,协议数据单元。传输层是TCP/UDP,段或数据报。网络层是数据包,数据链路层是帧,物理层是比特
应用层负责用户应用程序、网络服务或OS与协议栈相连接,软件应用程序不在此层内。
表示层将通用或标准化的结构或格式规则强加在数据之上。
会话层管理对话规则或对话控制,在TCP/IP网络上没有实际的会话层, 其功能在传输层处理。
传输层定义会话规则,通过握手过程建立。
网络层负责逻辑寻址和执行路由。不负责验证消息是否传输成功。 还管理错误检测和流量控制。
数据链路层将数据包格式化格式为为传输格式, 帧,包括地址解析协议ARP,网络硬件设备是网桥和交换机。
物理层将帧转换为比特。网络硬件设备是NIS,集线器,中继器、集中器和放大器,执行基于硬件的信号操作。
TCP/IP模型
也称为DARPA模型或DOD模型,仅四层组成。
应用层、传输层、互联网层、链路层
分支主题
TCP/IP模型直接源自TCP/IP协议套件或许多单独协议组成的协议栈。是基于开放标准的独立于平台的协议。几乎支持所有操作系统。
设计初衷是易用性和互操作性,而不是安全性
TCP/IP的漏洞很多
容易受到缓冲区溢出攻击,SYN洪水攻击、DOS攻击、碎片攻击、超大数据包攻击、欺骗攻击、中间人攻击、劫持攻击和编码错误攻击。
也会受到监视或嗅探攻等被动攻击
网络流量分析
是管理网络的基本功能。可用于跟踪恶意通信、检测错误或解决传输问题。
网络窃听也可能被用于违反通信保密性和或充当后续攻击的信息收集阶段。
协议分析其实用于检查网络流量内容的工具。常将NIC置于混杂模式,以查看和捕获本地网段上的所有以太网帧。
数据包的有效负载通常以十六进制和ASCII格式显示。
通用应用层协议
Telnet-tcp23、FTP-tcp20、TFTP-udp69、SMTP–tcp25、POP3–tcp110、IMAP-tcp143、DHCP-udp67-server,udp68-client、HTTP–tcp80、HTTPS–tcp443–https支持使用tcp80进行服务器间通讯、LPD-tcp515、X Window–tcp6000~6063、NFS-tcp2049、SNMP-udp161.
SNMPv3,使用snmp与各种网络设备进行交互,以获取状态信息、性能数据、统计信息和配置详细信息
SNMP代理即网络设备使用UDP161端口接收请求,管理控制台使用UDP162端口接收响应和通知(也被称为Trap消息)
传输层协议
如果连接是通过传输层建立的,则是利用端口时间的。
端口号是16位二进制数,2的16次方或65536,编号0~65535.
IP地址和端口号的组合被称为套接字。即通过IP多路复用。
01023是服务端口,保留端口供服务器使用。102449151是已注册的软件端口。端口49152~65535随机、动态、临时端口。常用作临时源端口。
大多数OS允许2014以后的端口被用作动态客户端源端口,前提是端口未被占用。
三次握手,两次挥手或RST重置
两种方法断开TCP会话
常见的是使用FIN(完成)标记的数据包来优雅地终止TCP会话。
第二种是使用RST(重置)标记的数据包,会使会话立即或突然终止。
UDP在传输层上 运行,优点是可快速传输数据,只在传输不重要的数据时才使用UDP,通常用于音频和或视频的实时或流通信。
域名系统
三种编号和寻址概念
域名是在IP地址上分配的人性化的“临时”约定
IP地址是在MAC地址上分配的“临时”逻辑地址
MAC地址或硬件地址是“永久”物理地址
DNS将人性化的域名解析为对应的IP地址。然后,ARP将IP地址解析为对应的MAC地址。
DNS是公共和专用网络中使用的分层命名方案。
完全限定域名FQDN,总长不能超过253个字符(包括点)。 任何单个部分不能超过63个字符。
FQDN只能包含字母、数字和连字符。
DNS通过TCP和UDP端口53运行
TCP-53用于区域传输、UDP53用于大多数典型的DNS查询。
DNSSEC域名系统安全扩展,可缓解域文件中毒和DNS缓存中毒,但仅适用于DNS服务器,不适用执行DNS查询的客户端系统
对于DNS查询客户端设备,尤其是使用互联网时,应考虑通过HTTPS使用DNS
DNS中毒
流氓DNS服务器
执行DNS缓存中毒
DNS域欺骗
改变HOSTS文件
破坏IP配置
DNS查询欺骗
使用代理伪造
DNS中毒防御措施
域名劫持
误植域名攻击
同形词攻击
URL劫持
点击劫持
互联网协议网络
IP在OSI的网络层运行。为数据包提供路由寻址。提供了一种身份识别手段并规定了传输路径。
与UDP类似,IP是无连接的,因而是一种不可靠的通信服务。
其目的是尽最大努力找到通往目的地的通道或路由。
IPv4与IPv6
IPv6提供了新功能包括作用域地址,自动配置和服务质量Qos优先级值。
IPsec内置于IPv6中,但它是IPv4的附加组件。
IPv6带来的安全问题
1.攻击者可用源地址更多
2.部署IPv6前需对现有的所有安全筛选和监视产品升级以完全支持IPv6
3.NAR的丢失和缺乏。
缓解IPv6的安全问题的方法
双堆栈、隧道、NAT-PT
IP分类
为环回地址留出整个A类网络的127个地址,虽然此目的实际上只需要一个地址。
A类子网127.0.0.1~127.255.255.254中的任何地址是IPv4的环回地址。
子网的第一个地址127.0.0.0是保留为网段地址,最后一个127.255.255.255保留为定向广播地址。
IPv6的环回地址不是特定地址,而是一个 符号::1/128
全0的A类网络被定义为网络黑洞,路由到该网络的流量会被丢弃。
ICMP
用于确定网络或特定链路的运行状况
可用于ping、traceroute、pathping等网络管理工具
ping实用程序包含一个重定向函数,该函数允许将回显响应发送到与源系统不同的目的地。
常被用于各种形式的基于带宽的Dos攻击,如死亡之ping、Smurf攻击和ping洪水攻击。
导致许多网络限制了ICMP的使用,或至少限制了其吞吐量
IGMP
用于管理主机的动态多播组成言资格。
多播可以通过简单文件传输协议(TFTP)系统来组织或缓存要发送给多个收件人的内容。
ARP关注点
ARP用于将IP地址解析为MAC地址。
ARP承载以太网帧的有效载荷,是一个从属的第2层协议。
ARP使用缓存和广播来执行其操作。
ARP缓存中毒或ARP欺骗是由以伪造的回复进行响应的攻击者发起的。
每次收到ARP回复时,ARP缓存都会更新。
第二种ARP中毒使用无目的的或未经请求的ARP回复。
第三种形式的ARP缓存中毒是静态ARP条目创建。
针对ARP攻击的最佳防御式实施交换机上的端口安全。
检测ARP中毒的一个流行工具是arpwatch
另一个防御措施是建立静态ARP条目。
但是不推荐的,因为它消除了系统适应不断变化的网络条件的灵活性,例如在设备进入和离开网络时自动更新。
安全通信协议
为特定应用程序的通信通道提供安全服务的协议被称为安全通信协议
IPsec
Internet Protocol Security(IPsec)基于IP协议,使用公钥加密系统来提供加密、访问控制、不可否认性和消息验证。
主要用于VPN,可以在隧道模式或传输模式下运行。是IP安全扩展的标准,被用作IPv4的附件组件,并集成到IPv6中。
Kerberos
为用户提供单点登录SSO解决方案,并为登录凭证提供保护。
使用混合加密来提供可靠的身份认证保护。
SSH
Secure Shell(SSH)是端到端加密技术的例子。
可用于加密许多明文应用程序,如rcp,rlogin,rexec,或用作协议加密,如SFTP,也可用作传输模式VPN,即仅限主机到主机链路加密
信令协议
是一种加密协议,为语音通信,视频会议和文本消息服务提供端到端加密。
是非联邦协议,是名为Signal的即时通讯APP中的核心元素
安全远程过程调用
Secure Remote Pprocedure Call S-RPC
用于跨网络服务通信的身份认证服务
传输层安全
Transport Layer Security(TLS)是一种在OSI第4层运行的加密协议
主要用于加密TCP通信的有效载荷。
加密HTTPS等Web通信,也可加密应用层协议
取代了SSL协议,2015年被正式弃用
多层协议的含义
由无限封装支持引起的值得关注的领域是虚拟局域网VLAN之间的跳跃的能力。
多层协议的优点
可在更高层使用各种协议。
加密可包含在各个层中
支持复杂网络结构中的灵活性和弹性
多层协议的缺点
允许隐蔽通道
可以绕过过滤器
逻辑上强加的网段边界可被超越
融合协议
存储区域网络Storage Area Network,SAN
以太网光纤通道Fibre Channel over Ethernet,FCoE
多协议标签交换Multiprotocol Label Switching,MPLS
互联网小型计算机系统接口Internet Small Computere System Interface,iSCSI
其他可被视为融合技术示例的概念包括VPN、SDN、云、虚拟化、SOA、微服务、基础设施即代码和无服务器架构
网络电话
Voice over IP,VoIP是一种隧道机制,它将音频、视频和其他数据封装到IP数据包中,以支持语音呼叫和多媒体协作。
VoIP也有很多安全问题
1.许多VoIP工具可轻易伪造来电显示。黑客可执行vishing攻击或语音垃圾邮件攻击
2.呼叫管理器系统和VoIP电话本身可能容易受到主机OS攻击和Dos攻击
3.攻击者可伪造呼叫管理器或端点连接协商或响应消息来执行MITM/路径攻击
4.根据部署情况,如果在与桌面和服务器系统相同的交换机上部署VoIP电话,也存在相关风险
5.由于VoIP流量是未加密网络流量,可通过解码VoIP流量来监听VoIP通信。
SRTP安全实时传输协议通过强加密和可靠的身份认证,将拒绝服务、路径攻击和其他VoIP攻击的风险降至最低。
RTP或SRTP在会话初试协议SIP建立端点自检的通信链路后接管。
软件定义网络
SDN旨在将基础设施层与控制层分离。
软件定义存储SDS是SDN的另一个衍生产品。是SAN或NAS的SDN版本
软件定义广域网SDWAN或SD-WAN是SDN的一种演变,用于远程数据中心、远端位置和WAN链路上的云服务之间的连接管理和服务控制。
微分网段
网络被分割或细分为更小的组织单元网络,而不是被配置为单个大型系统集合。
优点
1.提高性能。经常通信的系统位于同一分段中。此外广播域的划分可显著提高大型网络的性能。
2.减少通信问题。可减少拥塞并抑制通信问题,如广播风暴
3.提供安全。通过隔离通信流量金额用户访问权限来提高安全性。
可以单独或组合使用基于交换机的VLAN、路由器或防火墙来创建分段。专用LAN或内网、屏蔽子网和外联网都是网段的类型。
网络分段概念是带外路径的创建。
微分网段是实现零信任的关键要素。
虚拟可扩展LAN(VXLAN)是一种封装协议,可使VLAN跨子网和地理距离扩展。 VLAN通常仅限于第2层网络域,并且不能包含来自其他网络的成员,这些网络只能通过路由器入口访问。
VXLAN允许创建多达1600万个虚拟网络,是实现微分网段的手段,而传统VLAN仅限于4096个。
无线网络
无线网络基础架构模式
1.独立部署模式,指使用WAP使无线客户端彼此连接,但没有连接到任何有线资源。
2.有线扩展模式,指由WAP充当连接点,将无线客户端链接到有线网络。
3.企业扩展模式,指使用多个无线接入点将大型物理区域连接到同一有线网络。
4.桥接模式,指无线连接被用于连接两个有线网络,通常使用专用无线网桥,并在有线网桥不方便是使用,例如在楼层或建筑物之间连接网络时。
胖AP是完全自主管理的无线系统基站,作为独立的无线解决方案运行。
瘦AP是一个无线发射机或接收机,必须从被称为无线控制器的独立外部集中管理控制台进行管理。
保护SSID
扩展服务集标识符ESSID和基本服务集标识符BSSID,ESSID是使用WAP时无线网络的名称;BSSID是基站的MAC地址用于区分支持ESSID的多个基站。
可通过禁用SIID默认广播来保持无线网络的安全,但不是真正的安全机制,可通过无线嗅探器发现SSID。
WPA2和WPA3提供可靠的身份认证和加密解决方案。
无线信道
在无线信号的指定频率内对频率的细分被称为信道。
5GHz无线设计旨在避免信道重叠和干扰问题。2.4GHz覆盖率高,但速度较慢;5GHz速度高但是覆盖面积小。
进行现场调查
使用射频信号检测器对无线信号强度、质量和干扰进行正式评估。通常用于制作热图,有助于定位热点和冷点
无线安全
WEP有线等效保密,使用RC4密钥进行身份认证和加密。不幸的是,共享密钥是静态的,并在WAP和客户端之间共享。
WPA-WiFi Protected Access,不使用静态密钥,将身份认证与加密分离。,使用RC4算法,采用TKIP,LEAP协议
WPA2,实现了AES-CCMP,而不是RC4,定义了两个新身份认证选项:PSK,PER和IEEE802.1X或企业ENT模式。PSK使用静态固定密码进行身份认证,ENT使用AAA服务进行身份认证
WPA3,2018年1月确定,WPA3-ENT使用192位AES CCMP加密,WPA3-PER使用128位AES CCMP。
802.1X/EAP,WPA,WPA2和WPA3都支持被称为802.1X/EAP的企业ENT身份认证。是一种基于端口的标准网络访问控制。EAP不是特定的身份认证机制,而是一个身份认证框架。
LEAP,建议改用EAP-TLS ,但如果使用LEAP,强烈建议使用复杂密码。
PEAP,受保护的可扩展身份认证协议,可为EAP方法提供加密。
WiFi保护设置,WiFi Protected Setup,WPS
是无线网络的安全标准。是大多数WAP默认启用的功能。在以安全为中心的预部署过程中,有必要禁用。
无线MAC过滤器
是授权无线客户端接口MAC地址的列表,WAP使用该MAC地址来阻止对所有未授权设备的访问。只在小型静态环境中使用。
即使使用WPA2\WPA3,以太网报文头仍以明文形式存在,使得黑客能够嗅探和欺骗授权的MAC地址。
无线天线管理
使用强制门户
通常用于公共设施的无线网络上。也可用于有线以太网连接。
一般WiFi安全程序
无线通信
无线通信是一个快速扩展的网络、连接、通信和数据交换技术领域。
通用无线概念,无线电波频率在3Hz和300GHz之间
蓝牙802.15
使用2.4GHz频率,使用范围100米
默认传送纯文本,但可以使用专用发射机和外围设备对其进行加密。
蓝牙嗅探、蓝牙攻击、蓝牙劫持、蓝牙侵吞、蓝牙窃听
RFID 射频识别
一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术。
NFC
近场通信是在非常接近的设备之间建立无线电通信的标准。
通过可靠的身份认证和加密,避免针对NFC的路径国内国际、窃听、数据操纵和重放攻击等
无线攻击
WiFi扫描器
恶意接入点
Evil Twin
解除关联
阻塞
初始化向量滥用
重放
其他通信协议
LiFi
利用光进行无线通信的技术
卫星通信
基于地面位置和在轨人造卫星之间的无线电波传输
窄带无线通信
被SCADA系统广泛用于在电缆或传统无线无效或不合适的距离或地理空间进行通信。
Zigbee
基于蓝牙的物联网设备通信的概念
使用128位对称算法加密
蜂窝网络
通常是加密的,但仅限于通信从移动设备传输到传输塔时。
通过手机提供商的网络进行的通信,都不一定是安全的。
使用特定的无线嗅探设备可以截获手机传输的数据
使用手机连接访问互联网或办公室网络的行为为攻击者提供了新的潜在攻击、访问或破坏路径
内容分发网络
是在互联网上的多个数据中心部署的资源服务的集合,以便提供托管内容的低延迟、高性能和高可用性。
最广为人知的P2P CDN是BitTorrent
安全网络组件
内联网和外联网
屏蔽子网,非军事区,专门供低信任度和未知用户访问特定系统。例如访问Web服务器的公众。
通过两个防火墙或一个多宿主防火墙来实现
屏蔽主机
是一个受防火墙保护的系统,逻辑上位于网段内部。
硬件的安全操作
常用网络设备
中继器、集中器和放大器
集线器
调制解调器
网桥
。。。。
网络访问控制
network access control,NAC
指通过严格遵守和执行安全策略来控制对环境的访问。是一个自动检测和响应系统。
防火墙
是管理、控制和过滤网络流量的重要工具。
端点安全
布线、拓扑和传输介质技术
传输介质
同轴电缆
10Base2 细网-185米
10Base5 粗网 500米
基带和宽带电缆
双绞线
导线
光缆
1310纳米或1550纳米波长的,可传输一万米
850纳米或1300纳米的LED或激光器,可传输400米,通常是蓝色护套
网络拓扑
环形拓扑
令牌环网
双向令牌环网
总线拓扑
星星拓扑
网状拓扑
以太网
支持全双工通信,通常采用双绞线布线,部署在星形或总线拓扑上,基于802.3标准。各个单元被称为帧
子技术
1.模拟和数字
2.同步和异步
3.基带和宽带
基带技术支持单个通信通道,基带是一种数字信号,以太网采用基带技术
宽带技术支持多个同步信号。使用频率调制支持多个信道。适用于高吞吐率,是一种模拟信号。有线电视、有线调制解调器、DSL、T1和T3是宽带技术的示例
4.广播、多播和单播
5.局域网介质访问
至少有五种LAN介质技术可用于避免或防止传输冲突
CSMA、CSMA/CD、CSMA/CA、令牌传递、轮询
安全通信与网络攻击
协议安全机制
身份认证协议
PPP\PAP \CHAP\EAP
IEEE 802.1X是一种认证技术,而不是无线技术。
端口安全
网络的物理端口安全
TCP\UDP端口安全,如果不是服务端口,建议常态关闭
服务质量QoS
是对网络通信效率和性能的监督和管理
大多数网络管理员不会自动考虑QoS的安全方面。
通过监控和管理QoS,保障基本通信及相关业务的可用性
语音通信安全
公共交换电话网
PBX和PSTN语音通信易受到拦截、窃听、tapping及其他破解技术的攻击
PSTN可作为备用标准语音线路
VoIP
Voice over Internet Protocol,网络电话
不是一种单一的技术,使用安全实时传输协议SRTP来提供加密。多数在相同ISP提供商之间可加密,
语音钓鱼和电话飞客
PBX欺骗与滥用
远程访问安全管理
远程访问与远程办公技术
直接远程到服务器
远程到内网client,进行操作服务器
远程连接安全
规划远程访问安全策略
远程连接技术
传输保护–VPN/TLS
远程用户助手
多媒体协作
远程会议
即时通信和聊天
许多单独的聊天客户端易于植入或感染恶意代码
数据包易被嗅探、窃听,缺乏本地安全,不能或很少能提供隐私保护
负载均衡
目的是获得更优化的基础设施利用率,最小化响应时间,最大化吞吐量,减少过载和消除瓶颈。
常见的实现是将负载分散或分配网络流量负载。
虚拟IP和负载持久性
负载设备使用虚拟IP,保持同一客户端的通信持久性
主动-主动与主动-被动
主动-主动–不利条件时容量的降低时可容忍的
主动-被动–正常情况下某些资源处于失眠状态,不利条件下觉醒使得负载水平和吞吐量保持可用性一致。
管理电子邮件安全
电子邮件安全目标
基本的邮件服务是不安全的
电子邮件的安全源于高管批准的安全策略
可接受的邮件使用策略
访问控制和隐私
邮件管理
邮件备份与保留策略
理解电子邮件安全问题
标准的电子邮件协议都未采用本地加密措施
邮件本身也是一种攻击手段,可用于拒绝服务攻击,垃圾邮件攻击
电子邮件安全解决方案
邮件安全的改进都是以加密的形式
安全/多用途互联网邮件扩展S/MIME
良好隐私PGP
域名关键字标识邮件DKIM
发件人策略框架SPF
域消息身份认证报告和一致性DMARC
STARTTLS
通过TLS使用安全SMTP
在TCP 587端口进行
如果目标系统支持TLS将协商加密通道,否则将保持明文
隐式SMTPS
SMTP的TLS加密形式,假定目标服务器支持TLS
如果目标支持TLS将协商加密通道,不支持TLS将终止连接
SMTPS使用TCP 465端口启动
数字签名有助于消除身份假冒,消息加密减少窃听事件发生
传真能被拦截且容易被窃听
传真加密机、链路加密、活动日志以及异常报警
虚拟专用网
virtual private network,VPN
提供访问控制、身份认证、机密性和完整性
提供加密来保护封装的流量,但加密并非VPN的必要元素
VPN集中器是一种专用硬件设备,支持大量同步VPN连接。
隧道技术
是通过将协议数据包封装到另一种协议报文中,对协议数据内容进行保护。
也常用于其他非互联系统间的通信。
VPN的工作原理
VPN数据在源和目的LAN是不受保护的,只在边界VPN服务器之间受到保护
VPN两种模式运行:传输模式和隧道模式
传输模式VPN不对通信的报文头进行加密,因此最好仅在单个系统之间的可信网络中使用
隧道模式VPN下IPSec通过封装原始LAN协议数据包并添加自己的临时IPSec头,为有效负载和IP消息头提供加密保护。
始终在线VPN
每当网络链接处于活动状态时,尝试自动连接到VPN服务的VPN
确保在每次尝试使用在线资源时自动建立安全连接
分割隧道与全隧道
是一种VPN配置
分割隧道同时授予到互联网和组织网络的开放连接。存在从互联网通过客户端到LAN的开放路径
全隧道,客户端的所有流量都通过VPN链路发送到组织网络,以互联网为目的的流量从组织的代理或防火墙接口路由到互联网。确保了所有流量都经过组织的安全基础设施过滤和管理。
常用的VPN协议
既有软件方案,也有硬件方案
PPTP、L2TP、SSH、OpenVPN(即TLS)以及IPsec
####### 每个IPsec VPN是由两个独立加密的单工通信信道组成。