CISSP-D4-通讯与网络安全

CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D5-身份与访问控制

D4：通讯与网络安全

一、网络模型安全概述： D4-1～2

二、网络组建和设备安全： D4-3～5

三、网络连接安全： D4-6～8

D4-1-OSI参考模型与多层协议概念

1、理解OSI模型的相关概念

OSI模型和TCP:IP模型对比.png

2、网络协议和网络封装

• 网络协议是决定系统如何在网络中通信的规则标准集。

3、掌握7层协议的特点和功能

4、理解多层协议的相关概念

• 并非所有协议都适应OSI模型的分层
• 实例：
  • 分布式网络协议3
    一种设计用于SCADA系统的通信协议，特别是电力行业内
  • 控制器区域网络总线
    一种设计允许微控制器和其他嵌入设备在共享总线上通讯的协议。
    这两个协议几乎没有任何安全功能

D4-2-TCP/IP模型和协议

1、理解TCP/IP模型的相关概念

• 传输控制协议（TCP/IP）是控制数据从一个设备到另一个设备传送方式到协议族
• IP
  • IP协议是一种网络层协议，它提供数据包路由服务
  • IP协议的主要任务是支持网络寻址和数据包路由，用于封装从传输层传递而来的数据
  • IP协议通过源IP地址和目标IP地址为数据包寻址
• TCP/IP
  • 将应用层传递下来的数据分片，使其能偶沿着网络层传输
  • 将数据传送到目标计算机，然后将数据重新组织为应用层能偶理解和处理的形式

2、TCP和UDP

• TCP
  TCP是可靠的面相链接的协议，能够确保数据包递送值目标计算机

  支持包序列（确保收到没一个包）。流量和拥塞控制以及错误检测和纠正
  用户数据被实际发送之前两台需要通讯的计算机必须进行握手。

• UDP
  UDP是一个侧重传输效率的无链接协议。没有包序列与流量和拥塞控制。
  目标不能确认接收每个包
  不知道数据包是顺利接收还是中途丢弃

• 常用协议及端口

  • Telnet 端口23
  • SMTP 端口25
  • HTTP端口80
  • SNMP端口161 162
  • FTP端口21和20

3、了解IPV6相关特点

• IPv4
  使用32位地址，分为5类

• IPv6

  使用128位地址，
  IPv6也称为下一代IP，比IPv4的地址空间更大，支持更多IP地址而且还拥有许多IPv4并不具备的其他功能

  6个主要差异：

4、理解什么是汇聚协议

• 专业或者转悠协议和标准协议的融合

• 使用现有TCP/IP网络基础设施支持特殊或专有主机而无需特殊部署修改后的网络硬件

• 有效节约成本

• 举例：

  • 光纤通道以太网（FCoE）
    协议族，允许光纤通道帧（FC）通过以太网，FCoE适用于存储区域网络（SAN网络）

  • 多协议标签交换（MPLS）
    MPLS最初开发的目的是为了提高路由性能。但经常用于其在多种2层协议建立VPN的功能，它同时包括了第二层和第三层的元素。所以被称为2.5层协议，MPLS被任务是一个汇聚协议，因为它可以封装任何更高层的协议和隧道在各种链接

  • 互联网小型计算机系统接口（iSCSI）
    (Internet Small Computer System Interface, iSCSI)在TCP数据报文中封装SCSI数据。

    SCSI是一组允许外围设备链接到计算机的技术，原来的SCSI的问题是范围有限，这意味着链接一个远程外设通常是不可能的。解决办法是可以让SCSI在TCP数据报文上运行，这样外围设备就可以在任何地方使用，并且仍然想本地计算机一样在本地显示

D4-3-网络组件安全

1、了解中继器、网桥、路由器、交换机功能和特点

2、了解同轴电缆、双绞线、光纤的特点

3、掌握防火墙的类型和架构

• 类型
  • 包过滤防火墙
  • 状态检测防火墙
  • 代理防火墙
  • 应用防火墙
  • 动态包过滤防火墙
  • 内核代理防火墙
  • 下一代防火墙
  • 虚拟防火墙
• 架构
  • 双宿防火墙
  • 被屏蔽主机
  • 被屏蔽子网

D4-4-网络互联基础和设备

1、网络拓扑

• 指的是物理链接网络以及表示资源和系统布局的方法
• 基本类型
  • 环形拓扑
  • 总线型脱皮
  • 星型拓扑
  • 网状拓扑

2、介质访问技术

• 介质访问技术会处理系统如何在这个介质上通信的问题。通常表示位协议、NIC驱动程序和接口。无论用到什么类型的介质访问技术，网络传输通道是该网络上说又系统和设备所必需共享的主要资源，这个传输通道可以是各种方法，必须确保每个系统都可以访问这个通道。
• 相关技术：
  • 以太网CSMA/CD和CSMA/CA技术
  • 令牌环技术
  • 光纤分布式数据接口（FDDI）

3、传输方式

• 数据包发送至一个工作站、一组工作站或者特定子网上所有工作站的相关传输方式
• 传输方法
  • 单播传输
  • 多播传输
  • 广播传输

4、网络协议和服务

• APP
• DHCP
• ICMP
• SNMP
• DNS
• EMAIL

D4-5-无线网络

1、理解无线网络的基本概念

• 无线技术广泛应用于私人网络、无线LAN、MAN和WAN环境中以及卫星中的应用
  通过无线电报经由空气和空间传输信号，它也会改变空气波。
  通常以频率和幅度来描述

2、WLAN

• 无线LAN (Wireless LAN, WLAN)使用一个称为访问点(AP)的收发器
  连接到以太网线缆，无线设备会使用这条链路来访问有线网络中资源。

3、了解相关的无线标准技术

• 802.XXX
• 蓝牙无线技术

4、理解无线网络的相关安全问题

• WEP
• WPA
• 802.11i（WAP2）

D4-6-远程连接

1、了解常用的远程连接的方法

• 拨号连接
• ISDN
• DSl连接
• 线缆调制解调器
• VPN

D4-7-网络层攻击

1、理解TCP/IP价格和协议的脆弱性

• 缓冲区溢出
• SYN洪泛攻击
• 各种DOS攻击
• 中间人攻击、劫持攻击
• 编码错误攻击
• 数据包嗅探

2、理解网络边界的脆弱性

3、理解常见网络层攻击

• 拒绝服务攻击
  • 本质是对安全三元组中的可用性进行破坏
  • 两种基本的拒绝服务攻击
    • 利用漏洞：死亡ping
    • 通过巨量网络流量：SYN泛红
• 嗅探
  • 对数据的机密性的攻击
  • 通过观察、监听、分析数据流和数据流模式，窃取敏感信息
• DNS劫持
  • 迫使受害者使用恶意DNS服务器的攻击
  • 三类
    • 基于主机
    • 基于网络
    • 基于服务器
• 假冒/伪装
• 重访攻击
• ARP欺骗
• 超链接欺骗

D4-8-网络与协议安全机制

1、掌握VPN相关技术

• PPTP
• L2TP
• IPSec VPN
• TLS VPN
• 每个协议的特点、工作机制和工作方式

2、理解通信传输加密方式

• 身份验证
• 加密技术

3、掌握电子邮件加密标准

• MIME
• S/MIME
• PGP

4、了解常见的互联网安全技术

• HTTPS
• SSL
• TLS
• Cookies
• SSH