CISSP學習:第11章安全網絡架構和保護網絡組件

2021年2月21日安全

OSI模型:7層,封裝機制,將每一個層從上面傳遞到下面的層以前添加頭部或尾部。
1.物理層:將幀轉成比特,協議:EIA/TIA -232;EIA/TIA-449;X.21;HSSI;SONET;V.24;v.35,控制吞吐率、處理同步,管理線路噪聲、介質訪問。選用數字信號、模擬信號、光脈衝。設備:網卡(NIC)、集線器、中繼器、集中器、放大器
2.數據鏈路層:將網絡層數據包轉成幀。格式:以太網(IEEE802.3)、令牌環(IEEE802.5)、ATM、FDDI、CDDI。目前以太網還是現代網絡中經常使用的技術。協議:SLIP、PPP、ARP、L2F、L2TP、PPTP、ISDN,MAC地址就是硬件地址,48位,前24位是製造商,後24位是每一個設備的惟一編號。設備:交換機、網橋(基於MAC的流量路由)
3.網絡層:給數據添加路由和尋址信息,建立數據包。協議:ICMP、RIP、OSPF、BGP、IGMP、IP、IPsec、IPX、NAT、SKIP,三種非IP協議有IPX、AppleTalk、NetBEUI。設備:路由器、橋接路由器。
4.傳輸層:管理鏈接的完整性並控制會話。協議:TCP、UDP、SPX、SSL、TLS
5.會話層:創建維護,終止兩臺計算機之間的通訊會話。協議:NFS、SQL、RPC
6.表示層:將數據轉換爲遵循OSI模型的系統能理解的格式。格式標準:ASCII、EBCDICM、TIFF、JPEG、MPEG、MIDI,該層還負債加密和壓縮。
7.應用層:將應用程序、網絡服務或操做系統與協議棧鏈接。協議:HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP三、IMAP、SNMP、NNTP、S-RPC、SET。設備:應用層防火牆。網絡

TCP/IP模型
1.傳輸層:TCP、UDP,IP和端口號組合稱爲套接字。TCP三次握手,6個重要頭標誌:URG、ACK、PSH、RST、SYN、FIN。UDP開銷小。
2.網絡層協議和IP網絡基礎:IP、ICMP、IGMP、ARP。其中IGMP支持多播
3.通用應用層協議:Telnet(TCP23)、FTP(TCP 20/21)、TFTP(UDP 69,不用身份驗證)、SMTP(25)、POP3(110)、IMAP(143)、DHCP(UDP67/68)、HTTP(80)、SSL(443)、LPD(515)、NFS(2049)、SNMP(UDP 161/162)。多層協議格式,例如:[以太網[IP[TCP[HTTP]]]]。DNP3(分佈式網絡協議)主要用於電力和水力行業。
4.TCP/IP 漏洞
5.DNS FQDN最左邊能夠是單個主機名。FQDN總長不超過253,任何單個部分不超過63。TCP53用於區域傳輸,UDP53用於DNS查詢
6.DNS中毒:DNS欺騙、執行DNS中毒、改變HOSTS文件、破壞IP配置、使用代理僞造。
7.域名劫持分佈式

融合協議:
1.FCOE以太網光纖通訊
2.MPLS多協議標籤交換
3.iSCSI Internet小型計算機系統接口,光纖通道的低成本替代方案。
4.VoIP網絡電話
5.SDN軟件定義網絡
6.CDN內容分發網絡ide

無線網絡,安全問題:用戶缺少知識,不安全的默認設置
802.1是無線的IEEE標準,802.11是首選,802.1x是一個標準組。
保護SSID 更改成惟一;
加密 WEP 已被破解,使用WPA、WPA2
WPA基於LEAP和TKIP密碼系統
WPA2基於AES CCMP工具

無線:中心位置。 全向天線(直線)、定向天線(平板、拋物線)
WPS(WiFi Protected Setup)是無線的阿暖標準,大多數無線接入點默認啓用。
使用強制門戶,身份驗證技術性能

無線***:
1.戰爭駕駛:使用檢測工具尋找無線網絡信號的行爲。
2.戰爭粉化
3.重放
4.IV:初始化向量,是隨機數的數字和加密術語,IV***時使用不當或錯誤的IV處理方式。
5.惡意接入點:a.部署流氓WAP,對現有WAP複製;b.將SSID設置爲看起來和原始有效SSID同樣合法的備用名稱
6.惡意雙胞胎:***操做虛假接入點,該接入點根據客戶端設備的鏈接請求自動克隆接入點的身份。防禦:注意鏈接的無線網絡ID加密

安全網絡組件:內聯網、外聯網。網絡改進:提高性能、減小通訊問題、提供安全
1.網絡訪問控制(NAC):經過使用詳細安全策略實現,802.1x是一種簡單的NAC
2.防火牆:過濾流量的網絡設備;
靜態數據包過濾防火牆:沒法提供用戶驗證,第一代;
應用級網關防火牆:第二代FW,在應用層運行(第7層)
電路級網關防火牆:第二代FW,會話層(第5層)運行
狀態檢查防火牆(動態數據包過濾FW):第三代FW,第3、四層運行
深度數據包檢測防火牆:DPI
下一代防火牆:MFD(多功能設備),IDS,SSL、Web過濾,QoS、NAT、帶寬管理、***、反病毒。
3.端點安全操作系統

傳輸介質:
1.同軸電纜:細網 10Base2:185米,10M帶寬;粗網 10Base5,500米,10M
2.基帶和寬帶電纜
3.雙絞線:10BaseT、100BaseT,1000BaseT
4.導線:銅材料代理

網絡拓撲:
1.環形拓撲:擁有令牌才能傳數據,一段破壞,周圍不能通訊,應對:雙環路
2.總線拓撲:線形、樹形,兩端終止,任何斷開,影響網絡。
3.星形拓撲:中央集線器,單點故障
4.網狀拓撲接口

無線通訊與安全
1.概念:多個頻譜同時使用會互相干擾,調頻擴頻FHSS、直接序列擴頻DSSS、正交頻分複用OFDM
2.手機:可模擬基站,***能夠經過運營商鏈接到收集,再經過手機無線連到內網
3.藍牙:藍劫:容許***者想你發送消息;藍牙侵吞:在你不知情的狀況下進行鏈接,從中提取信息;藍牙竊聽:讓***遠程控制藍牙設備。藍牙一般只有30英尺(10米),最大100米。
4.RFID:任何有RFID閱讀器的人均可讀,侵犯隱私。
5.NFC:中間人***、竊聽、數據操縱、重放***
6.無線電話:輕易竊聽對話,由於對話不多加密,經過頻率掃描儀,任何人均可收聽對話。
7.移動設備:丟失、被盜。

局域網技術:1.以太網:100M,1000M,10000M2.令牌環3.FDDI4.CSMA/CD 載波偵聽多路訪問/衝突檢測

相關文章
相關標籤/搜索