CISSP學習：第11章安全網絡架構和保護網絡組件

2021年2月21日

OSI模型：7層，封裝機制，將每一個層從上面傳遞到下面的層以前添加頭部或尾部。
1.物理層：將幀轉成比特，協議：EIA/TIA -232;EIA/TIA-449;X.21;HSSI;SONET;V.24;v.35，控制吞吐率、處理同步，管理線路噪聲、介質訪問。選用數字信號、模擬信號、光脈衝。設備：網卡（NIC）、集線器、中繼器、集中器、放大器
2.數據鏈路層：將網絡層數據包轉成幀。格式：以太網（IEEE802.3）、令牌環（IEEE802.5）、ATM、FDDI、CDDI。目前以太網還是現代網絡中經常使用的技術。協議：SLIP、PPP、ARP、L2F、L2TP、PPTP、ISDN，MAC地址就是硬件地址，48位，前24位是製造商，後24位是每一個設備的惟一編號。設備：交換機、網橋（基於MAC的流量路由）
3.網絡層：給數據添加路由和尋址信息，建立數據包。協議：ICMP、RIP、OSPF、BGP、IGMP、IP、IPsec、IPX、NAT、SKIP，三種非IP協議有IPX、AppleTalk、NetBEUI。設備：路由器、橋接路由器。
4.傳輸層：管理鏈接的完整性並控制會話。協議：TCP、UDP、SPX、SSL、TLS
5.會話層：創建維護，終止兩臺計算機之間的通訊會話。協議：NFS、SQL、RPC
6.表示層：將數據轉換爲遵循OSI模型的系統能理解的格式。格式標準：ASCII、EBCDICM、TIFF、JPEG、MPEG、MIDI，該層還負債加密和壓縮。
7.應用層：將應用程序、網絡服務或操做系統與協議棧鏈接。協議：HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP三、IMAP、SNMP、NNTP、S-RPC、SET。設備：應用層防火牆。

TCP/IP模型
1.傳輸層：TCP、UDP，IP和端口號組合稱爲套接字。TCP三次握手，6個重要頭標誌：URG、ACK、PSH、RST、SYN、FIN。UDP開銷小。
2.網絡層協議和IP網絡基礎：IP、ICMP、IGMP、ARP。其中IGMP支持多播
3.通用應用層協議：Telnet（TCP23）、FTP（TCP 20/21）、TFTP（UDP 69，不用身份驗證）、SMTP（25）、POP3（110）、IMAP（143）、DHCP（UDP67/68）、HTTP（80）、SSL（443）、LPD（515）、NFS（2049）、SNMP（UDP 161/162）。多層協議格式，例如：[以太網[IP[TCP[HTTP]]]]。DNP3（分佈式網絡協議）主要用於電力和水力行業。
4.TCP/IP 漏洞
5.DNS FQDN最左邊能夠是單個主機名。FQDN總長不超過253，任何單個部分不超過63。TCP53用於區域傳輸，UDP53用於DNS查詢
6.DNS中毒：DNS欺騙、執行DNS中毒、改變HOSTS文件、破壞IP配置、使用代理僞造。
7.域名劫持

融合協議：
1.FCOE以太網光纖通訊
2.MPLS多協議標籤交換
3.iSCSI Internet小型計算機系統接口，光纖通道的低成本替代方案。
4.VoIP網絡電話
5.SDN軟件定義網絡
6.CDN內容分發網絡

無線網絡，安全問題：用戶缺少知識，不安全的默認設置
802.1是無線的IEEE標準，802.11是首選，802.1x是一個標準組。
保護SSID 更改成惟一；
加密 WEP 已被破解，使用WPA、WPA2
WPA基於LEAP和TKIP密碼系統
WPA2基於AES CCMP

無線：中心位置。 全向天線（直線）、定向天線（平板、拋物線）
WPS（WiFi Protected Setup）是無線的阿暖標準，大多數無線接入點默認啓用。
使用強制門戶，身份驗證技術

無線***：
1.戰爭駕駛：使用檢測工具尋找無線網絡信號的行爲。
2.戰爭粉化
3.重放
4.IV：初始化向量，是隨機數的數字和加密術語，IV***時使用不當或錯誤的IV處理方式。
5.惡意接入點：a.部署流氓WAP，對現有WAP複製；b.將SSID設置爲看起來和原始有效SSID同樣合法的備用名稱
6.惡意雙胞胎：***操做虛假接入點，該接入點根據客戶端設備的鏈接請求自動克隆接入點的身份。防禦：注意鏈接的無線網絡ID

安全網絡組件：內聯網、外聯網。網絡改進：提高性能、減小通訊問題、提供安全
1.網絡訪問控制（NAC）：經過使用詳細安全策略實現，802.1x是一種簡單的NAC
2.防火牆：過濾流量的網絡設備；
靜態數據包過濾防火牆：沒法提供用戶驗證，第一代；
應用級網關防火牆：第二代FW，在應用層運行（第7層）
電路級網關防火牆：第二代FW，會話層（第5層）運行
狀態檢查防火牆（動態數據包過濾FW）：第三代FW，第3、四層運行
深度數據包檢測防火牆：DPI
下一代防火牆：MFD（多功能設備），IDS，SSL、Web過濾，QoS、NAT、帶寬管理、***、反病毒。
3.端點安全

傳輸介質：
1.同軸電纜：細網 10Base2：185米，10M帶寬；粗網 10Base5，500米，10M
2.基帶和寬帶電纜
3.雙絞線：10BaseT、100BaseT，1000BaseT
4.導線：銅材料

網絡拓撲：
1.環形拓撲：擁有令牌才能傳數據，一段破壞，周圍不能通訊，應對：雙環路
2.總線拓撲：線形、樹形，兩端終止，任何斷開，影響網絡。
3.星形拓撲：中央集線器，單點故障
4.網狀拓撲

無線通訊與安全
1.概念：多個頻譜同時使用會互相干擾，調頻擴頻FHSS、直接序列擴頻DSSS、正交頻分複用OFDM
2.手機：可模擬基站，***能夠經過運營商鏈接到收集，再經過手機無線連到內網
3.藍牙：藍劫：容許***者想你發送消息；藍牙侵吞：在你不知情的狀況下進行鏈接，從中提取信息；藍牙竊聽：讓***遠程控制藍牙設備。藍牙一般只有30英尺（10米），最大100米。
4.RFID：任何有RFID閱讀器的人均可讀，侵犯隱私。
5.NFC：中間人***、竊聽、數據操縱、重放***
6.無線電話：輕易竊聽對話，由於對話不多加密，經過頻率掃描儀，任何人均可收聽對話。
7.移動設備：丟失、被盜。

局域網技術：1.以太網：100M，1000M，10000M2.令牌環3.FDDI4.CSMA/CD 載波偵聽多路訪問/衝突檢測