All In One - 第4章 通信与网络安全
本章解决的问题:
1.什么是通信?什么是网络?通信和网络有什么区别和联系?通信标准、网络协议是什么,有哪些分类?为什么要使用通信标标准,有什么好处?
2.由网络构成的网络模型又有哪些?OSI模型和TCP/IP模型的区别和联系?
3.OSI模型的每一层的具体协议有哪些,功能?具体协议对应的安全功能的变种协议是哪些?
4.无线通信协议的具体协议有哪些?功能,适用场景是什么?具体对应的又安全功能的变种协议是哪些?
The Internet ,it‘s a series of tupes. -------Ted Stevens
1.通信和网络
通信是数据在系统之间的电子传输,无论其采用模拟、数字、无线传输类型。
通信一般指电话系统、系统服务商和电信服务。
通信标准一般指通信技术标准:通信生产、通信建设以及一切通信活动中共同遵守的技术规定。一般分为固网通信标准、无线通信标准。
管制通信的政府和国际组织:
美国 联邦通信委员会FCC(Federal Commications Commission,FCC),包括语音和数据传输
加拿大 加拿大工业局 SITT(Specturm Information Technologies and Telecommunications )
中国 工业和信息化部MIIT (Ministry of Industry and Information Technology)
国际通信协会 (International Telecommunication Union,ITU):负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信标准,向发展中国家提供电信援助,促进全球电信发展。
国际标准化组织 (International Standards Organization,ISO) :致力于提供国际标准的全球联盟,负责当今世界上绝大部分领域(包括军工、石油、船舶等垄断行业)的标准化活动。
网络:由若干节点和连接这些节点的链路构成,表示诸多对象及其相互联系。
网络协议:决定系统如何在网络中通信的规则标准集。类似与中文在中国的作用,但是网络协议在全球的网络中通用。从传输形式来说,一般分为固网网络协议和无线网络协议;从是否开放来说,分为内网协议和外网协议。
笔者认为,通信与网络的区别:从从属关系上来说,通信范畴涵盖网络的范围,但又有区别,网络是对通信的一种实现,但又不局限与通信领域,在其他工业领域网络的概念也有应用。简而言之,就是有交叉但是又有重贴的部分,在一般情况,通信电话一般指系统、系统服务商和电信服务,网络一般指由运营商提供的服务(手机上网,宽带上网),因此一般的理解是通信的范围包含网络。
2.开放系统参考模型
1.ISO->OSI模型
OSI模型
应用层Application layer
工作协议
HTTP
HTTPS
SMTP(Simple Mail TransferProtocol)
FTP(File Transfer Protocol)
SFTP
LDP(Line Printer Protocol)
TFTP(Trivial File Transfer Protocol)
SNMP(Simple Network Management)
表示层 Presentation layer
工作协议
ASCII编码
压缩
加密
GIF
JPEFG
TIFF
会话层 Session layer
两个应用程序需要通信或者传送数据,需要建立一个连接会话
会话层工作的3个阶段
连接建立
数据传输
以及连接释放
application之间的通信模式
单工模式:通信只能单方向发生
半双工模式:通信可以在两个方向进行,但一次只能有一个应用程序能发送消息
全双工模式:通信可以在两个方向进行,而且两个应用程序能够同时发送消息
与传输层的差异
会话层控制应用程序到应用程序的通信(类似于中间件middleware的作用)
传输层控制计算机到计算机的通信
工作协议
RPC(Remote Procedure Call,RPC)
CORBA、DCOM、SOAP、Net Framework
secure RPC
PPTP(Point-to-Point Tunneling Protocol)
PAP(Password Authentication Protocol)
NetBIOS(Network Basic Input Output System)
SQL(Structured Query Language)
传输层 Transport layer
功能
解决的3个问题
1.计算机一次发送多少信息
2.接收到信息后如何验证信息的完整性
3.如何确定一个数据包是否在传输过程中丢失了
建立逻辑连接
可靠的数据传输、错误检测、纠错、恢复以及流量控制
工作协议
TCP面向连接
UDP无连接
SSL安全套接字(Secure Socket Layer,SSL)
SPX序列包交换(Sequenced Packet Exchange)
网络层 Network layer
功能:在数据包中的首部插入信息,以便于正确地编址和路由
工作协议
ICMP
OSPF
IGMP
BGP
IPX(Internet Packet Exchange)
RIP
数据链路层 Data link layer
需要转换为LAN(Local Area Network)或者WAN(Wide Area Network)技术的二进制格式
LAN
WAN
网络类型
令牌环
以太网
光纤分布式数据接口FDDI Fiber Distributed Data Interface
ATM
功能子层
逻辑链路控制LLC
介质访问控制层MAC
规范
针对以太网的规范802.3
针对令牌环的的规范802.5
针对无线LAN的规范为802.11
MAC子层的协议:802.16、802.3
工作协议
PPP(Point-to-Point Protocol)
L2TP
ATM
FDDI
以太网
令牌环
物理层 Physical layer
功能:将bit转换为用于传送的电压
针对物理层规范:电压变化时序、电压水平、用于电学和光学的物理连接器以及机械传输
工作协议
ISDN(Integrated Service Digital Network)
DSL(Digital Subscriber LIne)
SONET(Synchronous Optical Networking)
10BASE-T、100BASE-T、1000BASE-T
RS/EIA/TIA-422、RS/EIA/TIA-423
实际工业标准->TCP/IP模型
TCP/IP协议族定义:控制数据行一个设备到另一个设备传送方式的协议族,以其命令的两个主要之外,还包含其他协议
应用层:Telnet、SMTP、DNS、HTTP、POP、ECHO、FTP、SSH、SNMP
传输层:
TCP:面向连接(在发送实际数据之前,先建立虚拟连接),识别数据包在传输过程中是否丢失,包序列、流量和拥塞控制以及错误检测和纠正;三次握手,四次挥手
UDP:面向无连接侧重于传输效率
socket:源IP地址+端口+目的IP地址+端口,为了解决不同计算机间进程间通信的问题
进程:IP+端口,操作系统的最小的资源单元
应用程序:一个进程,也可以是多个进程
TCP和UDP的格式差异
TCP和UDP的差异
1.TCP握手
三次握手:(1)SYN (2)SYN/ACK (3)ACK
SYN攻击:攻击者向目标系统发送大量带有欺骗地址的SYN数据包,受害系统发送一个SYN/ACK包来应答该请求这个欺骗地址,每次都需要留出一部分资源来管理这些新连接,导致TCP连接资源都分配殆尽。属于Dos攻击
防范措施:互联网任务工作组IETF请求评议RFC4987,使用SYN缓存
TCP序列号(两个系统握手过程中约定的一个值,如果接收系统接收数据包不带有TCP序列号,就会忽视这个数据包)
TCP会话劫持(TCP session hijacking):攻击者可以伪造TCP序列号,欺骗接收系统,使之认为这是来自授权系统的数据包,然后攻击者就可以接收两个系统之间的TCP连接。
2.数据结构
notice:tcp -> segment udp ->datagram
IP寻址
IPv4
形式:x.x.x.x =网络位+主机位
分类-传统分类和无类别域间路由CIDR
子网(subnet):从IP地址的主机位中创建的,将IP地址的主机划分为多个逻辑分组(Vlan也是基于相同目的的技术)
掩码(subnet mask):用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。
无类别域间(Classless Interdomain Routing,CIDR):更灵活的IP地址分类方法
QoS-Quality of Service:将服务质量优先级值分配给时间敏感的传输
ToS-Type of Service功能
IPv6-IP Next Generation,IPng
128bit地址大小,优点:多播-作用域,提高了多播路由的可扩展性;任播地址
MTU:IPv4-65535;IPv6-4294967295,特大包jumbograms
自动隧道:基础设施自动决定隧道终端以使协议隧道可以在没有预先配置的情况下发生的技术。
IPv4和IPv6的转换-隧道技术,IPv6的数据包封装在IPv4的数据包中,执行自动转换:
1.站间隧道机制,使用远程端上的已知任播地址隧道终端来决定隧道端,把IPv4地址数据嵌入到本地端的IPv6地址中
2.站间隧道机制,Teredo使用UDP封装的自动隧道技术
3.站内机制,ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)把IPv4网络当作一个虚拟的IPv6本地连接,从每一个IPv4映射到一个本地链接的IPv6地址
前2个用于不同网络间的链接,ISATAP用于一个特定网络内系统的连接。
风险:用户和管理员不知道自动隧道已经启用,没有采取确保这些隧道安全和被监视的方法。
对策:用户和管理员要了解IPv4和IPv6的不同,不同隧道机制的工作方式,识别和正确处理所有的脆弱性。
数据链路层安全标准
面临的风险:在网络设备之间传递数据,有可能被攻击者嗅探数据,修改数据包头,重定向流量,假冒流量,中间人攻击,拒绝服务攻击,重放攻击或者其他攻击。
802.1 AE IEEE MACSec用来提供数据保密性、数据完整性和数据源认证,提供第二层的保护
VPN 提供更高级别的网络层保护
802.1 AR 对每个设备定义了一个全局唯一的安全标识符,可用于扩张验证协议-传输层安全(EAP-TLS)身份验证框架
802.1 AF 用于数据加密的会话密钥实施密钥协商功能。
802.1 X 端口身份验证 EAP-TLS框架工作时 ,提供具体的标准参数
硬件标识和加密材料潜入新网络设备的方法之一是使用一个可信平台模块(TPM)
汇聚协议
汇聚协议在初期彼此独立和不同,随着时间的推移汇聚为一体,例如电话和数据网络,开始是数据承载在语音网络上,最后是语音承载在数据之上,基于IP的语音。
汇聚:两个协议成为一体,在某一时期,一个协议原本是相互独立,但随着时间的推移开始封装在另一个协议中
(1)光纤通道以太网(Fiber Channel over Ethernet,FCoE):协议的封装,允许光纤通道帧通过以太网
(2)多协议标签互换协议(Multipprotocol Label Switching,MPLS):可以在各种连接上封装更高层次的协议和隧道
(3)互联网小型计算机系统接口(Internet Small Computer System Interface,iSCSI):TCP报文中封装SCSI数据
IP汇聚,大势所趋并已经成为事实了
传输类型
(1)模拟和数字
信号是以物理形式从一个地方到另一个地方传送信息的方式。
模拟信号:连续的波值
数字信号:以二进制的数字形式(1,0)工作
(2)异步和同步
模拟和异步指的是数据从一个系统传输到另一个系统的格式。同步和异步类似于会话同步时的韵律规则。
同步:
(1)强大的错误检测,通常是通过CRC(Cyclic Redundancy Checking)实现
(2)数据传输同步的计时组件
(3)用于高速高容量传输
(4)与异步通信相比,减少管理费用
异步:
(1)没有计时组件
(2)使用处理位围绕每个字节
(3)用校验位处理控制错误
(4)每个字节都需要三位指令(开始、停止、奇偶校验)
(3)宽带和基带 一次能有多少通信会话发生
基带(baseband):使用整个通信信道进行传输
宽带(broadband):将一个通信信道分为若干不同且独立的通道
通信信道一般是频谱,宽带技术划分频率,并提供技术把这些数据调制到各个频率通道
线缆
1.同轴电缆(coaxial cable)
与双绞线相比,同轴电缆更加抗电磁干扰(electromagnetic interface,EMI),提高更高的带宽,支持更大的线缆长度,但成本更高
2.双绞线(Twisted-Pair Cable)
成本低,容易使用,容易迁移到交换式环境中提供层次化布线方式
分为屏蔽双绞线STP(Shielded Twisted Pair)(防止无线电频率和电磁干扰)、非屏蔽双绞线UTP(Unshielded Twisted Pair)
3.光缆(Fiber-Optic Cable)
更高速率、更高安全性、线缆能穿越的距离比铜线允许的距离长,昂贵,难以使用,主要用于主干网络和需要高速数据传输率的环境中使用
布线问题(Cabling Problems)
1.噪声(Noise)
2.衰减(Attenuation)
3.串扰(Crosstalk)
4.线缆的阻燃率(Fire Rating of Cables)
网络互联基础
网络=路由器+交换机+Web服务器+代理+防火墙+名称解析技术+协议+IDS+IPS+存储系统+抗恶意程序软件+虚拟专有网络+非军事区+数据丢失防护解决方案+电子邮件系统+云计算+Web服务+身份验证服务+冗余技术+公共密钥基础设施+专用分组交换机(PBX)。并且在网络架构时需要考虑,可扩展性、冗余、性能、安全、可管理性和可维护性。
网络拓扑(network topology)
拓扑:物理连接网络以及表示资源和系统布局的方法
网络拓扑:计算机和设备的物理安排,分为物理和逻辑网络拓扑
网络可以配置成物理上星型,逻辑上以环形工作
1.环型拓扑(Ring topology)
单点故障
2.总线型拓扑(bus topology)
定义:一根线缆跨越这个网络
分为两种类型:线性和树状,这跟线缆成为单点故障
一般,以太网采用总线型和星型拓扑
3.星型拓扑(Star topology)
所有节点连接到一台集中式设备(如交换机中)适用于骨干网络
4.网状拓扑(Mesh topology)
提供冗余
五种拓扑总结:
介质访问技术(Media Access Technologies)
对网络来说,网络的物理拓扑是底层或者基础,他决定了使用的介质类型和这些介质在不同系统之间如何建立连接。
介质访问技术处理在这个介质上通信的问题,通常表示为协议、NIC驱动程序和接口。
LAN访问技术(在相对较小的区域提供通信和资源共享的网络)计算机在网络上如何通信、如何处理错误、采用何种物理介质、数据最大传输单元(Maximum Transmission Unit,MTU),基于LAN的技术有以太网、令牌环、FDDI。
WAN访问技术,基于WAN技术的有光纤布线、L2TP封装协议和ATM介质访问技术;LAN和WAN技术差别在数据链路层
1.介质共享
网络传输通道,所有系统和设备共享的主要资源,具体的传输通道可以是同轴电缆上的令牌环、UTP上的以太网、光纤上的FDDI或者无线电波傻姑娘的WiFi。
令牌传递
CSMA:CSMA/CD、CSMA/CA
轮询:主/从站
2.以太网 IEEE 802.3
竞争型技术、使用广播和冲突域、载波监听多路访问方法CSMA/CD、全双工通信、能使用同轴电缆、双绞线或光纤电缆介质
10Base-T、100Base-TX、1000Base-T、10GBase-T
不仅使用在以太网,还使用在城域网
3.令牌环 IEEE802.5
每台计算连接到多站访问单元的集中式集线器
4.FDDI IEEE 802.4
一种高速的令牌传递介质技术,100Mbps,通常使用光纤电缆作为主干网络。最长100公里,常用在城域网中。
CDDI-FDDI工作在UTP线缆上的版本
单衔接埠工作站(Single-attachment station,SAS):通过集线器接入环(主环)
双衔接埠工作站(Dual-attachment station,DAS):两个端口,分别接入到主/副环
单衔接埠集线器(Single-attachment concentrator,SAC):将SAS设备接入到主环
双衔接埠集线器(Dual-attachment concentrator,DAC):将DAS、SAS、SAC设备接入到两个环的集线器
传输方法
单播unicast
组播multicast -IGMP协议
广播broadcast
网络协议和服务
1.地址解析协议ARP(Address Revolution Protocol)
NIC(Network Interface Control)具有唯一的物理地址,它被制造商编写在网卡上的ROM芯片上,叫MAC(Media Access Control)地址,共48位,前24位制造商代码+后24位由制造商分配的唯一序列号
ARP:将IP地址映射为MAC地址
过程:ARP广播一个数据帧,请求与目标IP地址相对应的MAC地址。子网上的每台计算机都收到广播帧,拥有被请求IP的计算机响应,其他计算机忽略。此时,ARP就知道哪个硬件对应这个特定的IP地址,数据链路层收到数据帧,将硬件地址加在上面,并将其传递至物理层,物理层会使数据帧通过网络到达目标计算机。ARP缓存表保存IP地址和MAC地址的映射时间。
ARP表中毒(ARP table poisoning):攻击者修改系统的ARP表,使之包含错误的信息。例子A向B和C发送谁是B的请求的广播帧,B和C都会响应,A选择最近响应的,C这时候要伪造ARP恢复,响应A。
对策:使用IDS传感器监控这类活动,发现后可以向管理员报警
ARAP协议:MAC地址转换为IP地址
2.动态主机配置协议DHCP(Dynamic Host Configuration Procotol)
基于UDP协议,DORA过程
缺点:在client和server容易被篡改身份,收到中间人攻击,伪装成DHCP服务器
对策:DHCP窥探(DHCP spooping ),使用高端网络交换机,限制系统成为DHCP服务器
无盘工作站,无操作系统
启动协议(Boot Protocol,BOOTP)在RARP后提出,增强RARP协议为无盘工作站提供性能
3.网际控制消息协议(Internet Message Protocol,ICMP)
ICMP递送状态消息、报告错误、回答某些请求、报告路由信息并且常用于测试IP网络的连通性和排查问题
ping原理:发出ICMP Qequest数据帧,屏幕回显ICMP ECHO REPLY帧
ICMP还能指出网络中一条特定路径上出现的问题,并根据不同路径的拥塞和健壮程度告诉计算机和设备走更好的路径。
安全问题
使用ICMP的攻击 :将数据插入到ICMP数据包的方法中去,Loki是黑客用来在系统后门的一个客户端/服务器程序,安装Loki软件的服务器,开放一个端口,作为攻击者的后门,使用ICMP数据包访问和打开这个计算机的远程外壳。
使用ICMP重定向流量,可以到达黑客专有的系统
ICMP作为Traceroute的网络工具的核心协议,用来诊断网络连接,绘制网络图,可被用作攻击;对策:安全管理员配置IDS传感器来监视
对策:利用防火墙规则,仅允许必要的ICMP数据包进入网络中,利用IDS或者IPS检测可疑活动,安装和配置主机型保护(主机防火墙和主机IDS)来识别可疑行为
4.简单网络管理协议(Simple Network Management Protocol,SNMP)
1988年发布,目的是为了应对日益增长的管理网络IP设备的需求,SNMP可查看设备的网络状态、传输流量和网络内主机的状态,Graphical User Interface来实现;
SNMP主要组件:管理器和代理,
管理器是服务器部分,轮询不同设备来检查状态信息;服务器组件也从代理那里接收陷阱消息,提供一个集中地点来保留整个网络范围内的信息
代理是一个运行在网络设备上的软件,它通常被集成入操作系统,代理要维护一个跟踪记录的对象名单,存在管理信息库(Management Information Base,MIB),MIB是被管理的逻辑分组,包含的数据用于特定管理任务和状态检查
陷阱操作允许代理通知一个事件的管理器
为了对管理器请求代理的信息进行限制,开发了社区(community)来在特定代理和管理器之间建立信任
社区字符串(community string)基本上就是管理器用来从代理请求数据的密码,主要有两种不同的访问级别的社区字符串:只读(public)和读写(private)。
默认,SNMP的端口是161和162,只读字符串是public和读写字符串是private,社区字符串在SNMPV1和V2中明文传输
对策:经常更改他们,不开放给互联网,或者做白名单,建议使用SNMPv3
5.域名服务DNS(Domain Name Servicce)
将主机名解析成IP地址的方法,互联网上的主机就可以使用主机名而非IP地址
公司内部的DNS,ISP的DNS,通常不只一个,从而实现负载分担,冗余和容错
在DNS服务器内将DNS名称空间划分为许多区。一个区可能包含一个或多个域,为其中一个区保存文件的DNS服务器成为称为特定区域的权威名称服务器。
资源记录:DNS服务器包含将主机名映射为IP地址的记录
建议在每个区中都配置一台主DNS服务器和从DNS
主DNS服务器使用区域传送(zone transfer)同步信息。主DNS服务器发生变更之后,这些变更必须被复制至从DNS服务器。
安全问题:攻击者通过执行未授权的区域传送而从受害者的DNS服务器中手机非常有用的网络信息。未经授权的区域传送向攻击者提供几乎网络内每个系统的信息。
对策:对DNS进行恰当配置以限制这类活动
DNS威胁
DNS域名劫持:毒害DNS缓存表
缓解DNS威胁的对策:DNSSEC
互联网上的DNS和域
顶级域名:
COM 商业
EDU 教育
MIL 军事
INT 国际公约组织
GOV 政府
ORG 组织
NET 网络
DNS解析组件:非递归查询(non-recursive query)和递归查询(recursive query)
HOSTS文件驻留在本地计算机上,保存有静态主机名到IP地址映射信息。如果你不希望你的系统查询DNS服务器,可以在HOSTS文件中添加必要的数据,你的系统会在该数据到达DNS服务器之前检查他的内容。
HOSTS文件被操作系统用于将主机名映射为IP地址,明文文件,Windows系统中位于%systemroot%\system32\i386\drivers\etc\ 文件夹和UNIX/inux操作系统的/etc/hosts目录下。HOSTS文件只是由一系列IP地址及其对应的主机名组成。
随着主机数量的增加,导致维护hosts文件困难,从而出现了域名系统DNS。
安全威胁:恶意程序接管了HOSTS文件,就会将流量从预定目的地转向驻留恶意内容的网站。通过将主机名映射为回环地址127.0.0.1,可以达到上述目的。->URL隐藏:在正常的url中嵌入恶心url的链接
对策:将HOSTS文件设置成只读文件和实施一个主机IDS,检测关键文件修改企图
域名注册
域名抢占和恶意抢注域名,ICANN管理于域名的注册
6.电子邮件服务E-mail Service
用户使用电子邮件客户端来创建、修改、处理、发送、接收和转发邮件
简单传输协议SMTP(Simple Mail Transfer Protocol)
SMTP负责消息在邮件服务器间移动,SMTP寻址方式xxx@sss.com,工作在TCP协议上,最常见的SMTP服务器软件
Unix服务器软件-SendMail
windows服务器软件-Microsoft Exchange
Novell服务器软件-GroupWise
SMTP与POP和IMAP协同工作
邮局协议POP(Post Office Protocol)
邮件服务器协议,POP支持传入和传出消息,存储和转发电子邮件消息,采用不同的身份验证方案,但一般是用户名/密码
基于互联网的电子邮件账户
IMAP(Internet Message Access Protocol)
互联网协议,使用户能够访问邮件服务器上的邮件。提供POP的所有功能,但有更多功能。用于企业电子邮件账户
POP协议:用户使用POP协议的话,当用户查看收否收到新消息时,会自动下载到用户的计算机中。默认如果下载了的话,该服务器中的消息会被删除,当然这取决于配置的情况。对于移动用户的体验不好,同时对在其他人计算机查看邮件的人也是体验不好;目前最新的版本是POP3。
IMAP:将消息存储在邮件服务器上自己的文件夹(邮箱),存储-转发的邮件服务器协议,别认为是POP的继承者。IMAP还为管理员提供了更多的功能。
SASL“简单验证和安全层”,可为POP3、IMAP、RPC、LDAP(轻量级目录访问协议)和SMTP
电子邮件中继E-mail Relaying
公共邮件服务器部署在DMZ中,被牢固锁定,中继配置应正确配置。
邮件服务器使用一个中继代理机制,实现从一个邮件服务器发送消息到另一个邮件服务器。
安全问题:
垃圾邮件,开启反垃圾邮件功能,即是反中继功能
电子邮件伪装技术,通过电子邮件头部字段:From、Return-Path、Reply-To-钓鱼邮件和垃圾邮件,获取目标的敏感信息
网络钓鱼(Phishing)属于社会工程学
鱼叉式网络钓鱼(spear phishing attack)针对特定的人
捕鲸攻击(whaling attack):针对公司的大鱼(CEO、CFO、COO、CSO)
应对电子邮件伪装:
1.始终记录邮件服务器的所有链接
2.通过防火墙过滤邮件服务器的传入和传出流量
3.重要的电子邮件通过加密通道进行收发
4.使用发件人策略框架(Sender Policy Framework,SPF):通过验证IP地址来检测电子邮件伪装
5.SMTP认证(SMTP authentication,SMTP-AUTH)
网络地址转换(Network Address Translation)
IPv4地址变得稀缺和昂贵,内部使用私有地址,外网使用公有地址,NAT是位于网络和互联网之间的网关。执行透明的路由选择和地址转换。大部分厂商在防火墙实现了NAT。
私网地址:
A类:10.0.0.0-10.255.255.255
B类:172.16.0.0-172.31.255.255
C类:192.168.0.0-192.168.255.255
NAT实现的三种方式:
1.静态映射(Static mapping):NAT软件配置一个IP地址池,每个私有地址都被映射到一个特定的公共地址上。需要一直保持相同公共服务器通常使用这种映射。
2.动态映射(Dynamic mapping):NAT软件配置一个IP地址池,先到先得,A先向NAT发送请求,NAT就分配给A第一个IP,将其映射成A的私有地址。
3.端口地址转换(Port Address Translation):对于所有需要与外来网络通信的系统,公司使用一个公共IP地址;A:10.10.44.3:43887,NAT:127.50.41.3:40000,在
A与互联网上的一个通信时,将A的数据包改成127.50.41.3:40000。回来的数据包也做类似的操作
NAT是有状态的,保持内部主机和外部主机之间的通信记录,直到会话结束。通常部署在公司屏蔽子网内的路由或防火墙上执行的服务。
路由协议
自治系统(Autonomous System,AS):互联网上单独网络,AS由许多路由器组成,并由一个实体管理,使用AS边界内的公共内部网关协议(Interior Gateway Protocol,IGP)。
路由器使用路由协议来确定源系统和目标系统的一条路径。
1.动态路由和静态路由
动态路由协议(dynamic routing protocol)能够发现一个路径并建立一个路由表。路由器使用路由表为他们的数据包选定最佳路径,并且会自动更新路由表。
静态路由协议(static routing protocol)要求管理员手动配置路由器的路由表。一个链路中断或者出现网络拥塞,路由器无法自动调整和更新的新的路线。
路由抖动:影响路由器可用性的持续改变,如果某个路由器没有接收到链路已经失效的更新信息,那么该路由器会将数据包转发至这条路径,这条路径成为黑洞。
2.距离矢量和链路状态
距离矢量:基于距离(跳数)和向量(方向决定他们的路由路径),并通过一种算法为数据包建立最佳路径。RIP,适用于小型网络
链路状态:建立一个网络的拓扑数据库,通过算法综合考虑,跳数、向量、数据包大小、链路速度、延迟、网络负荷和可靠性作为算法变量,从而确定最佳路由。OSPF
3.内部路由协议(Interior Routing Protocol)
又称为内部网关协议(Interior Gateway Protocol)
路由信息协议(Routing Information Protocol)RIP
开放最短路径优先(Open Shortest Path First)OSPF:动态更新路由表,但是需要更多的内存和CPU资源。层次化的路由网络,可使用明文验证或者散列密码进行身份验证也可以不配置身份验证
内部网关路由协议(Interior Gateway Routing Protocol,IGRP):CISCO专有的距离矢量路由协议。IGRP使用“5个准则”制定最佳决策。
加强型网关路由协议(Enhanced Interior Gateway Routing Protocol,EIGRP):CISCO专有的加强型距离矢量路由协议。提高了更新路由表的速度,较少了拓扑变化后出现的路由不稳定性,路由器交换包括带宽、中继、负载、可靠性、路径的最大传输单元。
虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP):用于高可用性和不能容忍路由器单点故障的网络中。两个物理路由器(主/从路由器)别映射到一个虚拟路由器上,如果一个物理路由器出现故障,另外一个接管工作负载。
中间系统到中间系统(Intermediate System to Intermediate System,IS-IS):为流量计算最佳路径,无类别、供应商无关的分层路由协议。IS-IS不使用IP地址,使用ISO地址,无需修改可适用IPV6。
4.外部路由协议(Exterior routing protocol)
链接不同的AS的路由器使用的外部路由协议通常被称为外部网关协议(Exterior Gateway Protocol,EGP),已过时,主要泛指一种类型的协议。
边界网关路由协议(Border Gateway Protocol,BGP)支持不同的AS上的路由器共享路由信息。互联网服务商使用BGP将数据从互联网上的一个位置路由至下一个位置。BGP组合使用距离矢量和链路状态算法,应用其链路状态功能创建一个网络拓扑,并以定期而非连续的方式更新。在决定最佳路由时,网路管理员可以对链路状态路由协议所使用的不同变量应用权衡,这些配置统称为路由策略。
5.路由协议攻击:
攻击形式
1.利用欺骗性的ICMP消息进行误导通信流量的目的
2.伪装成路由器,并向攻击的路由器提交路由表信息,导致其他路由器向不存在的地址发送流量(黑洞)
3.虫洞攻击:攻击者能够在网络中的某个位置捕获数据包,并将其通过隧道(虫洞)传送另一个位置。在隧道两端分别有一个攻击者。该攻击可针对无线和有线网络。
对策:
1、2攻击的对策:启用路由协议身份验证功能
虫洞攻击对策:使用约束(leash),数据是存放在不同数据包首部的一些数据,约束可以限制数据包的最大允许距离;约束可以是地理的(确保数据包位于发送方相邻的特定距离内),也可以是暂时的(temporal),即限定数据包的生命周期。
网络互联涉设备
LAN(Local Area Network)
MAN(Metropolitan Area Network)
WAN(Wide Area Network)
1.中继器(repeater)
中继和放大线缆段的电信号,工作在物理层;某些中继器在整理信号,可以作为线路调节器使用,放大效果数字信号大于模拟信号。
集线器(hub)是一种多端口的中继器。也被认为是集中器concentrator,允许多个计算机和设备互相通信的物理通信设备。
2.网桥(bridge)
网桥是一种用于连接不同LAN网段的LAN设备。工作在数据链路层,处理的是MAC地址。
网桥功能:用于将过重的网络分成更多的小网段,确保更好地利用带宽和流量控制;使用基于MAC地址的过滤;隔离相同广播域的冲突域;可以在不同协议类型之间进行翻译;具有放大信号和扩展LAN、支持管理源过滤数据帧
网桥可能导致广播风暴
网桥类型:
1.本地:在一个LAN内连接两个网段或多个网段。
2.远程:和电信端口配套,后者连接两个或多个距离较远的LAN,并将这写LAN通过电话线连接在一起
3.翻译:连接不同的LAN类型,并且使用不同的标准和协议,例如以太网和令牌环网络
转发表(Fowarding Table)
背景:网桥需要知道数据发送目的端口和目的计算机在哪里;从静态的路径到透明桥接(transparwnt bridging)
transparent bridging:了解网络环境,并跟踪网络变化。收到一个请求,该请求的目的地不在fowarding table中,发送一个除源地址的查询帧,目的主机是回复该查询唯一的计算机。随后将这台计算机的地址更新到转发表中,从而转发要发送的数据帧。
使用生成树算法(Spanning Tree Algorithm,STA),他确保数据不会永远在网络上游走,为网桥提高了冗余路径;STA为每个网桥分配唯一的标识符和优先值,并且计算了路径成本。STA也支持管理员规定是否想让网络流量沿特定的路径走。
源路由:数据包会包含必要的信息,以告诉网桥他们该网哪里走,从而在网桥和路由器不制定路径的情况下自己也能发现到目的地的路径。
源路由实现:源计算发送到目的计算机的探索包,这些包包含到达目的路由信息,包括要经过哪些网桥和路由器,然后目标计算机将这些包发回计算机,源计算机分离路由信息,将路由信息加入数据包,再将它们发送到第一个网桥以发往目标。
外部设备和边界路由器应当不能接受首部中包含源路由信息的数据包,会覆盖中间设备配置的转发和路由表中的内容。攻击者可以使用源路由来避开某些网桥和路由器过滤规则。
使用网桥和路由器连接LAN的区别:
网桥:在同一个LAN中,扩展了LAN,在同一个广播域中
路由器:网间网络(允许任何网络的任何节点与其他任何节点通信)的结果,分割成两个不同的广播域,例子互联网
3.交换机(Switches)
交换机=中继器+网桥,具有发大电信号和网桥的内置电路和智能,多端口连接设备,为不同计算机或其他集线器和交换机提供连接;全双工通信,基本交换机工作在数据链路层,基于MAC地址转发流量;
多层交换机(3和4层交换机),为交换机提供路由选择、包检测、数据流优先排序和Qos功能。组合了网络层、其他层的功能。在硬件和芯片级别上完成功能,因此比路由器更快
与网桥、集线器通信方式的不同:集线器会将数据帧通过他的所有端口往外发送;网桥会将数据帧发送至目标网段相连接的端口;交换机将数据帧直接发送到目标计算机或目标网络,从而减少网络流量。
3层交换机基本上是个路由器,但是在硬件实现路由查找功能。
2、3、4层交换机的根本区别:设备是否可以查看可以作出转发和路由决策的首部信息(数据链路层、网路层、传输层);3和4层交换机可以标记技术(TAG),这种标记使用方法叫多协议标签交换(Multiprotocol Label Switching,MPLS),使用标签转发和路由,提高了转发速度;而且还提供了不同类型数据包的服务需求(QoS)
交换式网络难以被嗅探,但是可以毒害交换机上的缓存,引导流量至恶意地址。由于多层交换机可以更深入地访问数据包,所以可以提供更多的访问决策信息并提供了更细颗粒度访问控制。
VLAN虚拟局域网(Virtual LAN,VLAN),使得网络管理员在网络中拥有更多的控制权,并能将用户和组隔离为若干逻辑的、便于管理的实体。为了区分运行在同一物理网络连接上的各种逻辑逻辑连接,VLAN可以隔离不同客户的流量,也可以隔离客户与核心网络信号流量。
优势:
1.是在逻辑上对计算机进行分组,而中继器、网桥、路由器是在物理位置分组。
2.基于资源需求、安全性或业务需求为计算机分组
VLAN跳跃攻击(VLAN hopping attacks)可以使攻击者访问各种VLAN分段中的流量
VxLAN技术:是一种网络虚拟化技术。可参考https://blog.csdn.net/qq_38265137/article/details/80503588
4.路由器
路由器:工作在网络层,可以查看数据帧,找出IP地址和其他路由信息,用于连接相同或不同的网络,是一种由两个接口或更多接口与路由表的设备;基于访问控制列表ACL过滤流量,路由选择。
路由器可以是专用的设备,也可以是运行双宿主的网络互联操作系统的计算机
路由器工作过程:
路由器、中继器、网桥的使用场景以及路由器和网桥之间的差异:
网关(Gateway)
是一个通用术语,它用于在连接两个不同的环境的设备上运行的软件。将IPX数据包翻译成IP包,连接和翻译不同数据链路技术如FDDI和以太网
PBX(Private Branch Exchange)
PBX是用户公司所有的专用电话交换机。处理模拟信号和数字信号,选择已过时。飞客(电话黑客)
网络图
只是展示网络的一个方面,而不是整个网络,以下图是示例:
防火墙
定义:用于限制从另一个网络对特定网络的访问。
DMZ:位于保护网络和未受保护网络之间的网段。通常安装两个防火墙来构造隔离区DMZ,DMZ区通常包含Web服务器、电子邮件服务器和DNS服务器。
防火墙类型:
1.包过滤防火墙(无状态检测防火墙):对单个数据包进行决策,网络级协议首部值作出决策的防火墙技术,ACL,过滤进入的流量ingress filtering,过滤出去的流量egress filtering;可升级,不依赖应用程序,不对数据包进行大量的处理,由较高的性能,一般作为第一道防御。
2.状态检测防火墙:维护一个状态表,以跟踪每个通信会话;提供高度的安全性,无像代理防火墙那样的性能问题;可升级,对用户透明;为跟踪连接协议(UDP或ICMP)提供数据;存储和更新包内数据的状态和上下文。DOS攻击的一种,XMAS攻击-将TCP的所有标识位都置为1.容易遭受DoS攻击,造成状态表的泛洪,导致设备重启后拒绝合法的连接。
3.代理防火墙(电路级防火墙):类似中间人,由工作在OSI会话层的电路防火墙,也有应用代理防火墙(更细的颗粒度访问控制)
优点:有日志记录功能;应用级代理网关可以直接对用户进行身份验证;不仅仅是三层设备,还能够抵御欺骗攻击和其他复杂的攻击
缺点:不适合高带宽和实时应用;支持新网络应用和协议的能力有限;由于必要逐包处理要求,会产生性能问题
电路级防火墙SOCKETS
应用级防火墙的特征:
1.每个被监控的协议都需要一个独特的代理
2.比电路级防火墙提供更多的保护
3.对每个包都要进行更多的处理,速度比电路级代理防火墙慢
电路级防火墙的特征:
1)不需要为每个协议设置一个代理
2)不提供应用级代理防火墙的更深层次保护
3)为更广范围的协议提供安全性
4.动态包防火墙:在内部系统与可信网络之外的实体通信时,选择一个源端口,从而使接受系统知道如何作出正确响应。0-1023已知端口,>1023->动态端口
优点:允许你选择任何类型的流量流出并且只允许响应流量流入
5.内核代理防火墙:评估数据包时,建立动态、定制的网络栈;所有的检查和处理都是在内核中处理的。比应用级防火期墙还要快
6.下一代防火墙NGFW(next-generation firewall,NGFW):加入了基于特征的IPS,外部数据源、黑白名单和策略服务器、共享攻击特征。
堡垒主机:堡垒机不一定是防火墙,其实质是系统与不被信任的环境和攻击威胁的位置关系。被放置在网络外围的主机都可以被认为是堡垒机(邮件、FTP、DNS)
防火墙架构:
1.过滤主机防火墙(Screened host)
定义:一种直接与边缘路由器和内部网络通信的防火墙
屏蔽:流量在直接到达防火墙之前有一层保护可以扫描流量和去除大量的放弃数据。
2.多宿防火墙(Multihome)
双宿(dual-homed):一个设备具有两个接口,对外部网络和对内部网络。
多宿(multihomed):有几个NIC(网卡),用于连接不同的网络,配置多个DMZ(demilitarized zone);网络一般配置成冗余,可防止单点故障和缺少纵深防御
3.过滤子网网关防火墙(Screened subnet)
最安全,但是也复杂,变成和维护成本高
屏蔽主机架构称为单层配置。屏蔽子网架构称为双层配置,使用三个防火墙创建两个独立的DMZ,称为3层配置
总结
虚拟防火墙
大部分防火墙都是虚拟环境中运行,即在软件上实现防火墙功能。IT技术的发展使得路由器和交换机、防火墙都可以虚拟化,即部署执行路由和交换功能的软件产品。虚拟防火墙提供桥梁功能,虚拟机之间的每个流量链路都得到监控,或者他们可以集成到管理程序中去。
防护墙使用指南
1.针对没有被显式允许的数据包,就是隐式拒绝
2.任何进入网络带有内部主机源地址的数据都要被拒绝
3.任何没有内部源地址的数据不允许离开内部网络
4.根据安全需求,不断更改防火墙的配置
5.拒绝含有源路由的数据进入网络
6.沉默规则:不记录“嘈杂”流量便放弃他。不对不重要的数据包作出响应,减少日志规模
7.隐形规则:不允许未经授权的系统访问防火墙软件
8.清理规则:规则库的最后一条规则,放弃并记录任何不符合前面规则的流量
9.否定规则:用来代替广泛的“任何规则”。否定规则对丁能够被访问和如何被访问,对许可权限控制较紧
与防火墙相关的片段攻击:
IP分段 利用IP内的片段和重组缺陷,引起Dos
泪滴攻击 创建畸形片段,一旦被重组,可以使受害系统不稳定
重复片段攻击 用来颠覆检查前不重组数据包分段的数据包过滤器。
防火期墙的不足
•大多数情况下,都是分布式方法来控制所有网络接入点,一个防火墙不够
•潜在的流量瓶颈和单点故障
•不能防止恶意软件的侵害,会被更复杂的攻击欺骗
•不能阻止嗅探和恶意的无线接入点,对内部攻击提供的保护很少
代理服务器
代理服务器定义:介于想访问某些服务的客户端和提供这些服务的服务器之间
代理服务器可以缓存访问请求的所获的资源,提高访问效率
转发代理服务器:一个需要客户端指定代理服务器地址的代理;在内网网络上控制离开网络的流量
开放代理:一种可以开放给任何人使用的转发代理服务器
反向代理服务器:客户端向服务器发送一个请求,实际上反向代理服务器会将访问请求发送到实际的服务器并响应服务器;负载均衡、加密加速、安全和缓存
代理服务器需要得到妥善放置、配置和监控
WEB代理服务器用于内容过滤、缓存、管理网络流量和其他网络功能
蜜罐(honeypot)
蜜罐系统一般指位于屏蔽子网和DMZ中的计算机,用于试图引诱攻击者;要确保蜜罐没有连接生产系统和没有给攻击提供实施攻击的“跳点”。
使用>2个或多个蜜罐系统,称为蜜网。
小公司,使用tarpit;
统一威胁管理
在单一的网络设备上提供所有这些功能(防火墙、反垃圾邮件、反恶意软件、IDS/IPS、内容过滤、数据防泄漏、VPN功能、持续监控和报告等)
缺点:
单点故障
单点防护
性能问题
内容分发网络(Content Distribution Network,CDN)
有分布在一大片区域内的多台服务器组成,每台为距离他们最近的用户提供优化后的内容。使得平台对DDOS攻击更有承受能力。
软件定义网络(Software Defined Network,SDN)
定义:一种依赖于提供前所未有的灵活性和效率的分布式网络方法
和传统网络的区别:控制和转发平面分离
网络管理的自动化:1.较少对供应商的依赖 2.提高效率 3、降低成本
SDN的实现方法:
1.开放式 Open Networking Foundation ONF,基于源代码开放和标准开发,控制器通过协议与交换机通信,应用程序通过RESTful和Java API与控制器通信
2.API 基于openFlow协议不足以充分利用在企业中SDN承诺的能力,实现SDN的专用API方法
3.叠置 虚拟化的网络架构叠置在传统的网络架构上
内联网与外联网
内联网:为集中性业务信息建立的网络,是一个使用互联网技术的“私有网络”
外联网:向外扩展了公司网络的边界,使得两个或更多公司能共享通用的信息和资源。
电子数据交换EDI(Electronic Data Interfchange):为电子文档、订单、发票、采购订单和数据流提供结构和组织方式
增值网络(Value-Added Netwoek):开发和维护的EDI基础网络
城域网
城域网常是一个主干网,用于将LAN连接到LAN,将LAN连接到WAN、互联网和其他电信电缆网。MAN大多数是通过同步光纤网(Synchronous)和FDDI环
城域网=无线基础设施+光纤+以太网连接组成。
城域以太网:以太网嵌入到每个LAN中,覆盖大都市城区;也可以做纯以太网,也可以与其他网络互联技术(MPLS)集成;
纯以太网价格便宜,但是可靠性和可扩展性稍差;MPLS部署价格稍贵,但可靠性和可扩展性高,为大型服务商使用。
MAN架构:访问、聚集/分布、城域和核心层
广域网
LAN在小范围技术提供了通信能力,WAN技术用于国家和国家的计算机进行通信
通信的发展
铜线模拟系统(电话系统):手动交换->电子设备交换->端到端电路,多路复用电路->数字电话,T1干线(24路语音通话)、T3干线(28条T1线)->光纤,光载波技术(SONET)->SONET之上的异步传输模式(Asynchronous Tranfer Mode,ATM)SONET 北美标准,SDH(Synchronous Digital Hierarchy)其他国家标准,SONET和SDH的网关之间必须进行适当的信号转换
专用链路(dedicatd link):租用电路,点对点链路,为了在两个目标之间进行的WAN通信而预先建立的单条链路。和共享链路(X.25、帧中继、MPLS和ATM技术)相比更贵
T载波(T-carrier)
专用链路,AT&T公司开发,时分多路复用TDM
E载波
用单一物理线对通过时分多路复用来同步传输许多语音会话,用于欧洲国家。
光载波(Optical Carrier,OC)
OC用光载波传输速率来衡量。传输速率即数字信号位流速度,是基本速率单位的整数倍,称为OCx,其中x代表OC-1传输速率(51.84Mbps)的X倍。
其他多路复用
统计时分多路复用(Statistical Time-Division Multiplexing,STDM)
拼分多路复用(Frequency-Division Multiplexing,FDM)
波分多路复用(Ware-division multiplexing)
WAN技术
1.CSU/DSU
采用数字设备将LAN连接到WAN,通道服务单元/数据服务单元
DTEData Terminal Equipment/数据电路终端设备DCE(data circuit-Terminating Equipment)
2.交换
上千个网络连接在一起,需要使用交换。
交换有两种类型:电路交换(适合语音连接)和数据包交换
3.帧中继(frame relay)
一种在数据链路层上工作的WAN协议,使用数据包交换技术,使多个公司和网络共享相同的WAN介质。CIR、DTE、DCE、DCE的集合云团
4.虚电路Virtual Crucuits
帧中继和X.25通过虚电路转发数据帧。永久式(Permanet Virtual Circuit)和交换式(Switched Virtual Circuit)
5.X.25
定义了设备和网络如何建立与维护连接。X.25是使用载波交换的交换技术,使用HDLC数据帧。过时的技术
6.ATM
信元交换技术,使用于语音和视频载体
7.服务质量
服务质量(QoS)是一种允许协议区分不同消息以及指派优先级别的能力。
尽力服务、差分服务、保证服务
8. 同步链路控制SDLC
面向位的链路层协议,轮询介质访问技术,为了大型主机可以进行远程通信。主从站
9.高级数据链路控制
面向位的链路层协议,用于设备之间的串行WAN通信。
10.点对点协议(Point-to-Point)
数据链路层协议,链路控制协议(Link Control Protocol,LCP),网络控制协议(Network Control Protocol,NCP)配置网络层协议;密码身份验证协议PAP、挑战握手身份验证协议CHAP、可扩张身份验证EAP
11.HSSI
工作在物理层,高速串行接口(High-Speed Serial Interface,HSSI)
12.多服务访问技术
将数据、语音、视频合并到一条传输线上。例子:PSTN(Public-switched Telephone Network)
VoIP:电话设备、呼叫处理管理器、语音邮件系统和语音网关,使用SIP来建立和取消呼叫会话。语音数据作为一个持续的流
13.H.323网关
处理视频、实时音频和数据包传输
14.SIP详述
广泛用于VoIP通信会话中的信令协议,由用户代理客户端UAC和用户代理服务器UAS组成
RTP是一个会话层协议,以媒体流格式(如音频和视频传输数据),广泛用于VoIP、电话、视频会议和其他多媒体流技术。端对端分发服务,运行在UDP上面,和RPT(RTP Control Protocol)
16.WAN技术总结
远程连接
1.拨号连接
通过电话线+PPP技术+TACACS+RADIUS实现,战争拨号
2.ISDN
综合业务数字网(Integrated Service Digital Network,ISDN)
3.线缆调制解调器
通过线缆或光纤访问互联网,提供上下行控制和转换
4.DSL
相对1和2技术而言,是一种高速连接技术,非对称服务
5.VPN
虚拟专用网(Virtual Private Network):公共网络或其他不安全环境中的安全专用连接,采用加密和隧道协议 在确保数据传输中的机密性和完整性;
(1)点对点隧道协议
PPTP使用通用路由封装(Generic Routing Encapsulation,GRE)和TCP来封装PPP数据包,并通过IP网络延伸PPP连接。
PPTP支持系统和系统的通信,不支持多个用户同时连接的网关到网关的连接。
微软实现,隧道传输的PPP流量使用PAP、CHAP、EAP-TLS进行身份验证,MPPE(RC4)对有效载荷(payload)进行加密
(2)二层隧道协议
L2TP=PPTP+L2F (Layer 2 Forwarding),使用各种网络类型(IP、ATM、X.25)来隧道传输PPP流量
L2TP继承了PPP的身份验证并整合了IPSec以提供机密性、完整性,以及可能提供另一层身份验证。#PAP、CHAP、EAP-TLS提供用户身份验证,IPSec提供系统身份验证#
- 如果互联网是IP型网络,我们为什么还需要PPP?
连接到单个系统到互联网的点对点电信线路设备不理解IP,所以流经这些链路的流量必须封装在PPP内。
- 如果PPTP和L2TP本身并不真正保证数据安全,为什么还要他们?
他们通过一条经由不理解PPP的网络的隧道来延伸PPP连接
- 如果PPTP和L2TP大致功能相同,为什么还要L2TP代替PPTP?
PPTP只工作在IP型网络上。L2TP工作在IP型网络和WAN型(ATM和帧中继)连接上。如果PPP连接需要通过WAN型连接延伸的话,就必须使用L2TP。
- 如果一个连接正在使用IP、PPP和L2TP,为什么还要使用IPSec?
IPSec提供数据完整型、机密性和基于系统的身份验证。
(3)互联网协议安全
IPSec是为专门保护IP流量而开发的一条协议。PPTP和L2TP工作在OSI模型的数据链路层,IPSec工作在网络层。
IPSec包含的主要协议及其基本功能如下:
- 身份验证首部(Authentication Header,AH)提供数据完整性、数据源验证和免受重防攻击的保护,协议标识号为51
- 封装安全有效载荷(Encapsulating Security Payload,ESP)提供机密性、数据源验证和数据完整性
- 互联网安全连接和密钥管理(Internet Security Association and Key Manangement Protocol,ISAKMP)提供安全连接创建和密钥交换的框架
- 互联网密钥交换(Internet Key Exchange,IKE)提供验证的密钥材料以和ISAKMP一起使用
- SA(Security Association)
- 隧道模式和传输模式
IPSEC
原理
加密设备是否等于通信设备
使用条件
举例
传输模式
在原始 IP 头部和 IP 负载之间插入一个 ESP 头部,并且在最后面加上 ESP 尾部和 ESP 验证数据部分
加密设备等于通信设备
相互通信的设备 IP 地址必须在其间的网络可路由
内部网络的主机要安全的访问内部服务器资源。
隧道模式
把原始 IP 数据包整个封装到一个新的 IP 数据包中,在新的 IP 头部和原始 IP 头部之间插入 ESP 头部,并且在最后面加上 ESP尾部和 ESP 验证数据部分
加密设备不等于通信设备
相互通信的设备 IP 地址在其间的网络是不可路由的
一个内部网络的主机要安全穿越 internet 访问另一个内部网络的资源。如 IPSEC
- SA存储进出流量
(4)传输层安全VPN
传输层安全(Transport Layer Security,TLS),工作在会话层,主要保护HTTP流量。
- TLS 门户VPN 个体用一个标准TLS连接到网站上来安全地访问多个网络服务。远程用户使用Web浏览器访问TLS VPN网络,进行身份验证,会呈现一个网页,作为访问其他资源的门户。
- TLS 隧道VPN 个体用Web浏览器通过一个TLS隧道来安全地访问多个网络服务,包括不是Web型的应用程序和协议
隧道协议总结:
- PPP->IP网络
- L2TP->非IP网络
- IPSec用于保护IP流量,常用于网关之间的连接
- SSL VPN 特定应用层的流量类型保护
6.身份验证协议
ITU->无线通信标准
主要讨论无线技术在私人网络、无线LAN、MAN和WAN环境中以及卫星中的应用
无线通信定义:通过无线电波经由空气和空间传输信号。使用CSMA//CA(冲突避免)技术
1.无线通信技术
1.扩频技术:以某种方式超出分配的频率给单独信号分配频率
跳频扩频 专一
直接序列扩频 组合投资
正交频分(OFDM)多路复用:通过无线频率信号传输更多的数据
2.WLAN组件(Wireless LAN)
使用无线访问点(AP)连接到有线后无线网络。
3.WLAN安全的演化
- IEEE 802.11 第一个无线标准,WEP(密钥可以被攻击这轻易获取),1-2Mbps,2.4-GHZ工作
- IEEE 802.11 i (WPA2) TKIP为WEP提供更多密钥材料,对于系统进行身份验证
- IEEE 802.1 X 基于端口的网络访问控制,能够对用户进行身份验证,解决OSI模型的数据链路层协议,访问控制协议,用于无线和有线网络
4.无线标准
- 802.11a 使用不同的方法将数据调制成无线电载波信号,使用OFDM,在5GHZ工作,不能向下兼容802.11和802.11b,54Mbp,速度和频率
- 802.11b 11Mbps,2.4-GHZ,DSSS,于802.11标准向下兼容802.11
- 802.11e Qos与多媒体流量的支持
- 802.11f 处理不同AP之间的漫游(变更AP范围时,需要由另一个AP接替和维持信号)
- 802.11g 54Mbps,向后兼容802.11b,5GHz工作
- 802.11h 向后兼容802.11a,满足欧洲无线规则要求
- 802.11j 解决互操作性问题,整合不同标准,改善互操作性
- 802.11n 100Mbps,5Ghz,使用多输入多输出(Multiple Input and Multiple Output,MIMO):两根天线接收、两根天线发送和20MHz的通道来实现并行广播
- 802.11ac 802.11n的扩展,5GHz,1.3Gbps,向下兼容802.11a、802.11b、802.11g、802.11n,对波束成形的支持
- 802.16 城域网无线标准,宽带无线访问(基于802.16的一个商业技术称为WiMAX)
光无线:射频无线(RF)和光纤;长距离链路用光纤,远距离终端到终端用户之间的链路用RF无线发射机。本地链路用激光系统,自由空间光系统(Free-Space Optics,FSO)
- 802.15.4 适用于无线个人区域网络(Wireless Personal Area Network,WPAN),实现本地设备间,计算机和无线键盘间,移动电话和计算机间,耳机和其他设备间的通信,2.4GHz,工业、科学和医学(ISM),低成本、低带宽和普遍性的,物联网的标准(Internet of Things,IOT);ZigBee是基于802.15.4标准的协议
- 蓝牙无线技术 802.15标准的一部分,1-3Mbps,工作范围1M、10M或100M;;蓝牙劫持(Bluejacking)-劫持接收的蓝牙设备,解决建议-将支持蓝牙的设备设置为“无法发现”模式;Bluesnarfing-通过未授权地访问无线设备。
5.保护WLAN的最佳实践
6.卫星
7.移动无线通信
万亿市场规模的产业,手机-通过无线电链路传送语音和数据的配置,连接到蜂窝式网络中,采用双向传输。
无线电广播:通过在一定频率范围的电磁波信号发送;
蜂窝网络:在划定区域分发和转播无线信号,这些称为蜂窝
让数百万的用户使用频率资源,相出了以下技术:
- 频分多址(FDMA)1G手机、高级移动电话系统(AMPS)、全接入通信系统(TACS)、北欧电话(NMT)
- 时分多址(TDMA)全球移动通信系统(GSM)、数字AMPS(D-AMPS)和个人数字蜂窝系统(PDC)
- 码分多址(CDMA)CDMA分配一个唯一的代码给每个语音呼叫或数据传输,用此来发送给蜂窝网络进行传输。
- 正交频分多址(OFDMA)FDMA和TDMA的组合
移动通信技术史
- 第一代通信技术1G 电路交换处理语音数据
- 第二代通信技术2G 无线设备之间传输数字编码的语音和数据,电路交换 TDMA、FDMA、GSM和PCS
- 第三代通信技术3G 数据包交换,全球漫游(不改变手机或者手机号)TDMA、CDMA、FDMA
- 3.5G EDGE(GSM的演进)、HSDPA、CDMA2000和WIMAX
- 第四代通信技术4G 移动微波接入全球互通(WiMAX)和LTE,纯数据包的网络,4G设备基于OFDMA;100Mbps-1Gbps
6.第五代通信技术5G 1Gbps-10Gbps
网络加密
1.链路加密和端对端加密
链路加密(在线加密),由服务商提供,集成入网络协议,加密所有数据包括用户数据和数据包格式的首部等;每一跳进行加解密
端到端加密(由发送端计算机分用户发起),加密数据包,不加密数据包的头部和尾部;头尾加解密
- 端到端加密优缺点
- 链路加密有优缺点
2.电子邮件加密标准
- 多用互联网邮件扩展(Multipurpose Internet Mail Extension,MIME)
说明多媒体数据和电子邮件如何传输的技术规范
安全MIME(Secure MIME)对电子邮件进行加密和数字签名以及提供安全数据传输的标准。遵循公钥密码学标准(Public Key Cryptography Standard,PKCS)X.509提供身份验证
- 可靠加密(Pretty Good Privacy,PGP)
第一个广泛使用的公钥加密程序RSA进行密钥管理,使用IDEA加密批量数据的加密,MD5提供完整性,使用公钥证书提供身份验证、对消息进行加密和数字签名;PGP3,端口110
3.互联网安全
Web-HTTP协议
- HTTP Web协议,运行在TCP/IP协议上;无状态协议,客户端和web服务器的每个操作都会生成或断开一个连接。
- HTTPS HTTP(应用层)+SSL/TLS(传输层)-客户端生成会话密钥,使用服务器的公钥对消息进行加密;对客户端进行身份验证,SSL为连接(通道)提供安全性,但不为数据提供安全
- cookie cookie是浏览器保存在用户硬盘上的文本文件,用于人数统计、广告信息和身份验证、HTTP连接之间的历史记录。敏感信息的cookie驻留在内存;有时间限制
- sessio session是服务端会话缓存技术,由服务器端的web容器创建,保存在服务器端,保存数据:键值对形式,session过期:默认30分钟;用于权限鉴定
- token 一般app项目都会基于一个token做鉴权,因为此时客户端不是浏览器,因此就没有cookie这一说了。当用户登录app时,服务器会响应回来一个token信息(一般都是返回的一串唯一的标识符,比如说uuid或其他)。服务器端会将登录用户跟token(票据)保存一个映射关系,一般保存在redis或者表里面,服务器端响应回来的token会缓存在手机的本地缓存里,后面手机去访问app的其他页面,就会带着这个token去服务器做验证,如果通过这个token能够从redis找到登录用户信息,那么就认为你是已经登录了的用户。
token失效:一段时间后,服务器端的token失效了,那么就会把此token跟用户的映射关系从redis里删掉,那么后面再来访问的时候,根据你手机请求带来的token就匹配不上登录用户了,服务器就告诉客户端,需要去做重新登录了
SSH
- 类似于隧道机制,为远程计算机提供终端式访问、文件传输、端口重定向
- 可取代telent、ftp、rlogin、rexec、rsh,使用Diffie-Hellman交换会话密钥
4.网络攻击
- 拒绝服务(Dos)
- 畸形数据包 死亡ping,对策:保持系统的更新
- 泛洪攻击 SYN攻击 对策:监控TCP会话
- 分布式拒绝服务(DDoS) 命令和控制(C&C),僵尸网络 对策:使用CDN和流量清洗
- 勒索软件 让计算机所有的文件进行加密
2.嗅探:网络窃取或嗅探是对网络机密性的攻击,要求突破网络,网卡(NIC处于混杂模式下) 对策:关闭网卡的混杂模式
3.DNS劫持
- DNS类型
- DNS劫持对策
4.偷渡下载
A drive-by download occurs when a user visits a website that is hosting malicious code and automatically gets infected. This kind of attack exploits vulnerabilities in the user’s web browser or, more commonly, in a browser plug-in such as a video player. The website itself could be legitimate, but vulnerable to the attacker. Typically, the user visits the site and is redirected (perhaps invisibly) to wherever the attacker has his malicious code. This code will probe theuser’s browser for vulnerabilities and, upon finding one, craft an exploit and payload for that user. Once infected, the malware goes to work turning the computer into a zombie, harvesting useful information and uploading it to the malicious site, or encrypting the contents of the hard-drive in the case of a ransomware attack.
对策:确保浏览器安装的插件打好补丁和用户安全意识培养
工业领域-多层协议
这些特殊的设备和网络没打算与互联网进行交互,所以缺乏安全功能用于可用性、完整性、数据传输的保密。但是选择面临联网的现状。
1.数据采集于监视控制系统SCADA(Supervisory Control And Data Acquisition,SCADA)
2.分布式网络协议3(Distributed Network Protocol 3,DNP3)
3.控制区域网络总线CAN bus(Controller Area Network bus)
All In One - 第4章 通信与网络安全相关推荐
- CISSP复习笔记-第6章 通信与网络安全
CISSP复习笔记-第6章 通信与网络安全 6.2 开放系统互联(Open System Interconnect,OSI)参考模型 6.2.9 OSI模型中的功能和协议 1. 应用层 文件传输协议( ...
- CISSP 第六章 通信与网络安全
通信与网络安全 6.1 通信telecommunication 6.2 开放系统互联模型 6.2.1 协议 6.2.2 应用层application layer 6.2.3 表示层presentati ...
- Cissp-【第4章 通信与网络安全】-2021-3-12(377页-392页)
1.通信 2.开放系统互连 3.OSI模型 4.应用层是提供应用的接口 5.表示层转换为标准格式,也处理压缩加密问题 6.会话层用于建立连接会话,负责两个应用之间建立连接 7.传输层关注将数据从一个系 ...
- 【CISSP备考】第四章-通信与网络安全
计算机和网络涉及通信设备.存储设备.处理设备.安全设备.输入设备.输出设备.操作系统.软件.服务.数据和人员. OSI模型 协议可通过网络在计算机之间进行通信,协议是一组规则和限制,用于定义数据如何通 ...
- Cissp-【第4章 通信与网络安全】-2021-3-14(543页-560页)
1.网络攻击 2.拒绝服务 3.嗅探 4.DNS劫持 5.偷渡下载
- Cissp-【第4章 通信与网络安全】-2021-3-14(476页-542页)
1.蜜罐 2.统一威胁管理 3.内容分发网络 4.软件定义网络 5.网络设备各司其职,各有各的语言 6.WAN技术总结 7.xDSL技术 8.隧道协议总结 9.扩频类型 10.WLAN 11.802. ...
- Cissp-【第4章 通信与网络安全】-2021-3-12(446页-475页)
1.中继器 2.网桥 3.转发表 4.PBX 5.不同防火墙之间的差异
- Cissp-【第4章 通信与网络安全】-2021-3-12(408页-445页)
1.线缆 2.同轴电缆 3.双绞线 4.光缆 5.布线(噪声,衰减,串扰,线缆阻燃率) 6.网络互联基础 7.环型拓扑 8.总线型拓扑 9.星型拓扑 10.网状型拓扑 11.不同拓扑总结 12.介质共 ...
- Cissp-【第4章 通信与网络安全】-2021-3-12(393页-407页)
1.IP网络层协议 2.TCP协议 3.TCP与UDP各有优缺点,比如开销 4.端口类型(通用型,注册型,动态型) 5.数据包的结构 6.子网是为了减少管理难题 7.超网是为了灵活的定义网段 8.第2 ...
最新文章
- FFmpeg再学习 -- Windows下安装说明
- php 中set是什么_php中set
- ReviewForJob——java虚拟机的垃圾回收策略(个人总结)
- python怎么打开文件解释_python怎么打开文件的路径?
- C语言内存的动态分配
- IT运维人员该学习哪些技术
- 特殊时期,找工作的 9 点建议!
- 怎么查看ingress的规则_Prometheus PormQL语法及告警规则写法
- 说服力——教你做出专业出彩的演示PPT
- springboot项目java生成kml文件
- 基于内容的视频搜索引擎
- 指纹识别算法MZFinger5.0
- 产品设计体会(1015)用户访谈的常见问题与对策
- 红帽linux认证的有效期,红帽RHCE证书过期怎么办
- 存储卡数据恢复|相机存储卡照片恢复教程
- 平行空间怎么设置32位_10月微信新花样!微信情侣空间怎么解除 情侣空间取消情侣关系设置方法...
- AJAX实现页面登录及注册用户名验证
- chisel Reset的三种类型和同步异步寄存器
- APR(Apache Portable Run-time Librarie)介绍
- MyBatis中的association的使用