CISSP 第六章 通信与网络安全

6.1 通信telecommunication

通信是数据在系统之间的电子传输。
主要的标准组织机构有国际通信协会（International Telecommunication Union，ITU）和国际标准化组织（International Standerds Organization，ISO）。

6.2 开放系统互联模型

ISO发展了一套适用于全球所有供应商的协议集模型：OSI模型，成为大多数操作系统和协议所遵循的抽象架构。

OSI模型：7层，应用层，表示层，会话层，传输层，网络层，数据链路层，物理层

TCP/IP模型：4层，应用层，主机对主机层，Internet层，网络访问层

6.2.1 协议

使用相同协议的多个系统之间可以互相理解和通信。
每一层上的协议都具有特定的职责、所执行的控制功能以及所期望的数据格式语法。

6.2.2 应用层application layer

第七层，最接近用户，提供文件传输、消息交换、终端会话以及更多功能。

在应用层上工作的协议：简单邮件传输协议（Simple Mail Transfer Protocol ，SMTP）、超文本传输协议（Hypertext Transfer Protocol，HTTP）、行式打印机后台程序（Line Printer Daemon，LPD）、文件传输协议（File Transfer Protocol，FTP）、普通文件传输协议（Trivial File Transfer Protocol，TFTP）、Telnet。

6.2.3 表示层presentation layer

第六层，表示层关心数据的格式和语法，将应用程序使用的格式翻译成能够用于通过网络传递消息的标准格式。

表示层接收到应用层的信息后，会添加一些信息，以告诉目标计算机文件的类型以及处理和显示它的方式。

6.2.4 会话层session layer

第五层，会话层的工作分为3个阶段：连接建立、数据传输、连接释放、（会话的重新开始和恢复，比及对整个回话的维持）
在这层上工作的部分协议有结构化查询语言（Structured Query Language，SQL）、NetBIOS和远程过程调用（Remote Procedure Call，RPC）

RPC的常见问题是缺乏身份验证或使用弱身份验证，可以使用SecureRPC。
RPC往往只发生在一个网络内，所以可以配置防火墙以防止流量流入/流出网络，指定防火墙过滤规则。

会话层协议使得两个应用程序之间的通信以下列3种模式运行：单工模式、半双工模式、全双工模式

会话层协议控制应用程序到应用程序的通信，传输层协议控制计算机到计算机的通信。

6.2.5 传输层transport layer

第四层，传输层的握手过程有助于提高可靠的数据传输、错误检测、纠错、恢复以及流量控制。

传输层工作的主要协议有TCP、用户数据协议（User Datagram Protocol，UDP）、安全套接字层（Secure Sockets Layer，SSL）以及序列包交换（Sequenced Packet Exchange，SPX）

6.2.6 网络层network layer

第三层，在数据包的首部中插入信息，以便将数据正确地编址和路由，并将数据实际路由至正确的目的地。

工作在网络层上的协议不保证数据包的传递（依靠传输层上的协议）

网络层上工作的主要协议有IP、Internet控制消息协议（Internet Control Message Protocol，ICMP）、路由信息协议（Routing Information Protocol，RIP）、开放最短路径优先（Open Shortest Path First，OSPF）、边界网关（Border Gateway Protocol，BGP）以及Internet组管理协议（Internet Group Management Protocol，IGMP）

6.2.7 数据链路层data link layer

第二层，数据包转换成局域网LAN和广域网WAN技术的二进制格式，以便数据沿线路正确传送

数据链路层分为逻辑链路控制（Logical Link Control，LLC）层和介质访问控制（Media Access Control，MAC）层

MAC子层的技术知道这个网络是以太网、令牌环还是ATM，LLC层不知道，LLC负责控制数据流和检查错误。
针对以太网的IEEE MAC规范为802.3
针对令牌环的规范为802.5
针对无线LAN的规范为802.11

在数据链路层上工作的协议有：点对点协议（Point-to-Point Protocol，PPP）、ATM、第二层隧道协议（Layer 2 Tunneling Protocol，L2TP ）、FDDI、以太网和令牌环。

网卡桥接数据链路层和物理层。

6.2.8 物理层physical layer

第一层，控制同步、数据传输速率、线路噪声与介质访问。
针对物理层的规范包括电压变化时序、电压水平、用于电学和光学的物理连接器以及机械传输。

6.2.9 OSI模型中的功能和协议

1. 应用层
   处理文件传输、虚拟终端、网络管理以及执行应用程序的网络请求。
   FTP、TFTP、SNMP、SMTP、Telnet、HTTP
2. 表示层
   处理标准格式的转换、数据压缩和解压以及数据的加解密。
   标准：ASCII、EBCDIC、TIFF、JPEG、MPEG、MIDI
3. 会话层
   建立应用程序之间的连接，维持会话控制，并协商、建立、维持和撤销通信通道
   NFS、NetBIOS、SQL、RPC
4. 传输层
   处理端对端的传输和数据流分解
   TCP、UDP、SSL、TLS、SPX
5. 网络层
   负责国际互联服务、寻址和路由
   IP、ICMP、IGMP、RIP、OSPF、IPX
6. 数据链路层
   将数据转换成LAN或WAN帧进行传输，定义计算机访问网络的方式
   ARP、RARP、PPP、SLIP、以太网、令牌环、FDDI、ATM
7. 物理层
   网络接口卡和驱动程序将位转换为电信号，并控制数据传输的物理方面，包括光电机械要求。
   EIA-422、10ASE-T、100BASE-T、ISDN、DSL、SONET

6.2.10 综合这些层

网络上的设备都遵循标准化的通信方式（OSI模型），所以能够互操作。
OSI模型是许多产品和各类供应商所使用的一个框架。

6.3 TCP/IP协议

传输控制协议/Internet协议，Transmission Control Protocol/Internet Protocol
控制数据从一个设备到另一个设备传送方式的协议族

IP是为每个数据包提供寻址和路由功能的无连接协议

在传输层上工作的两个主要协议是TCP和UDP。

6.3.1 TCP 面向连接的协议

conntection-oriented protocol
数据发生前，两台计算机需要握手，能确保数据包传递至目标计算机，且能检测并重新发送丢失或讹误的数据包

1. TCP握手
   TCP三次握手，主机A发送同步包SYN—主机B发送应答包同步包SYN/ACK—主机A发送ACK
   TCP建立的连接是全双工的（full duplex），即使用同一条线路在两个方向上进行传输

同步洪流（ SYN flood）：攻击者发送大量带欺骗地址的SYN数据包，导致受害系统的可用TCP连接资源耗尽，不能再处理新的请求。这种攻击属于Dos
解决方法：使用SYN代理，限制开放和被遗弃的网络连接数量

TCP会话劫持（TCP session hijacking）：攻击者预测到预定的TCP序列号，创建包含序列号的数据包欺骗接收系统，从而接管两个系统之间的TCP连接。

2. 数据结构
   数据封装过程
   应用层：消息
   传输层：TCP执行操作，分片
   网络层：添加路由和寻址信息，数据报
   数据链路层：添加首部和尾部，数据帧

6.3.2 IP寻址

D类IPV4地址：224.0.0.0-239.255.255.255，多播地址
E类IPV4地址：240.0.0.0-255.255.255.255，保留地址

无类别域间路由（Classless Interdomain Routing，CIDR）

TTL：Time To Live，生存时间，确保数据报不会在网络中永远传送
ToS：Type of Service，服务类型，为对时间敏感的功能优先安排不同的数据包

6.3.3 IPv6

也称为下一代IP，IP Next Generation，IPng
IPv6提供自动配置功能，不需要网络地址转换（Network Address Translation，NAT）来扩充地址空间

任播地址：anycast address，用于向节点组中的任一节点发送数据包

使用IPv4和IPv6的网络之间通信的方法：

1. 自动隧道automatic tunneling指路
   6to4：站间隧道机制，用于不同网络间（即Internet）的连接，从IPv4到IPv6的转换机制，在网络流量穿越IPv4时，仍可以使用采用IPv6模式通信
   Teredo：站间隧道机制，使用UDP封装的自动隧道技术
   ISATAP：站点内（即内联网中）自动隧道寻址协议，Intra-Site Automatic Tunnel Addressing Protocol，把IPv4网络当做一个虚拟的IPv6本地链接

6.3.4 第2层安全标准

针对数据链路层的帧级别的网络流量安全保护
802.1AE：MACSec，提供数据保密性、完整性和数据源认证，提供了第2层的逐跳保护
802.1AR：为设备提供唯一的ID（DevID），促进设备供应的安全
802.1AF：为用于数据加密的会话密钥实施密钥协商功能

6.4 传输的类型

6.4.1 模拟和数字

指一个数据从一个系统传输到另外一个系统的格式。
模拟传输指数据作为波来传输，数字传输指数据作为抽象的电子脉冲来传输。
数字信号更可靠，能够在一条远距离线路上以更高的质量传送更多的呼叫和数据

6.4.2 异步和同步

同步传输指两个设备用时钟机制来控制对话，异步指系统使用开始和停止位来进行通信同步。

同步：
强大的错误检测（通过循环冗余校验实现，Cyclic Redundancy Checking，CRC）
数据传输同步的计时组件
用于高速高容量传输
管理费用少

异步：
无计时组件
使用处理位围绕每个字节
用检验位控制错误
每个字节都需要三位指令（开始、停止、校验）

6.4.3 宽带和基带

基带baseband：使用整个通信通道进行传输，一次只能传输一个信号，数据传输速度慢
宽带broadband：一个通信通道分成若干不同且独立的通道，从而能够传输不同类型的数据，可以传输多个信号
同轴电缆电视（Coaxial Cable TV，CATV）系统是一种宽带技术。

6.5 布线

带宽是管道的大小，数据吞吐率data throughput rate是通过管道的实际数据量
带宽：线缆采用的最高频率范围
数据吞吐率：经过压缩和编码之后实际通过线缆的数据量

6.5.1 同轴电缆coaxial cable

同轴电缆比双绞线：更抗电磁干扰（electromagnetic interference，EMI），提供更高的带宽，支持更大的线缆长度，但是也更贵一些

6.5.2 双绞线Twisted Pair

根据线缆外围是否有屏蔽层分为屏蔽双绞线STP和非屏蔽双绞线UTP。
线缆的缠绕、使用的隔离层类型、导电材料的质量和线缆的屏蔽决定了数据能够传输的速率。

相比同轴电缆和光纤，UTP是最不安全的网络互联线缆。

6.5.3 光缆

双绞线和同轴电缆使用铜线作为数据传输介质，光纤使用玻璃。
光纤不会受到衰减和EMI影响，具有更高的传输速率，允许将信号传送到更远距离，难以被偷听，比UTP、STP和同轴电缆更安全。

6.5.4 布线问题

1. 噪声
   噪声可以由电动、计算机、复印机、荧光灯和微波炉等引起，背景噪声和线缆上传输的数据混合使得信号产生畸变。

线缆遵循全球统一标准，从而允许普通设备和环境之间的互操作性和可连接性。

2. 衰减
   衰减是信号强度在传送过程中的损失。
   频率越大，衰减越大。线缆越长，衰减越大。

3. 串扰
   串扰是指一根线路上的电信号溢出到另一根线路上。
   不同电信号混合时，数据讹误概率变大。
   UTP比STP和同轴电缆更易产生串扰，因为没有屏蔽层保护。

4. 线缆的阻燃率
   放在增压空间（plenum space）内的网线必须符合一定的阻燃性能

6.6 网络互联基础

网络互联networking：将所有计算机串联起来，使所有人可以使用共同的资源，如打印机、门户等

6.6.1 网络拓扑network topology

网络拓扑：计算机和设备的物理安排

1. 环形拓扑ring topology
   通过单向传输链路连接一系列设备
   单个失效的工作站会对所有系统产生影响

2. 总线型拓扑bus topology
   一根线缆跨越整个网络，这根线缆是一个潜在的单一故障点
   总线型拓扑的两种主要类型：线性linear bus topology和树状tree topology

线性：有一根连接所有节点的线缆
树状：有一根线缆分出的若干分支，每个分支可以包含许多节点

以太网采用总线型和星型拓扑

3. 星型拓扑star topology
   所有节点连接到一台集中式设备（如交换机），每个节点到集中式设备都有一条专用链路。
   集中式设备是潜在的单一故障点，因此需要实现冗余。

4. 网状型拓扑mesh topology
   完全网状型拓扑中，每个节点都与其他所有节点直接相连，实现了冗余。
   Internet是一个部分网状型拓扑。

6.6.2 介质访问技术

LAN访问技术建立了计算机如何在网络上通信、如何处理错误、采用何种介质、数据帧最大传输单元（Maximum Transmission Unit，MTU）的大小等规则。

LAN是在相对较小的区域内提供通信和资源共享的网络。
如果两个LAN使用不同的数据链路层技术（如帧中继或ATM），那么它就是一个WAN。

1. 以太网Ethernet
   使几台设备能在同一个网络上通信的资源共享技术。
   通常是总线型或星型。

快速以太网（Fast Ethernet）：双绞线，100Mbps
千兆以太网：1000Mbps

2. 令牌环Token Ring
   支持通信和网络资源共享的LAN介质访问技术

主动监控机制：active monitor，去除那些持续在网络上循环的数据帧
信标机制：beaconing，检测到网络出现问题的计算机发送信标帧生成失效作用域，域内的计算机和设备会试图重新配置设置，以克服检测到的错误。

3. 光纤分布式数据接口Fiber Distributed Data Interface
   FDDI，拥有最高100Mbps的数据传输速率，通常使用光纤电缆作为主干网络
   通过第二个反向旋转光纤环路来提供默认容错
   能够应用的距离最长为100公里，常用于城域网MAN中
   能够跨远距离高速工作，而只受到最小的干扰
   能让若干令牌同时出现在环上，同时进行更多通信，并提供可预测的时延

4. 介质共享
   介质共享方法一：令牌传递：令牌从一台计算机传递到另一台计算机，只有拥有令牌的计算机才能将数据帧放置在网线上。令牌授予了计算机通信的权利。

令牌环和FDDI技术使用这种介质共享方法。

介质共享方法二：CSMA：以太网使用CSMA作为访问网络线缆的方法，有两种类型：带冲突检测的载波帧听多路访问CSMA/CD和带冲突避免的载波帧听多路访问CSMA/CA

后退算法：back-off algorithm，随机的冲突计时算法。当数据帧发生冲突时，计算机会放弃数据传输，并警告其他工作站。所有工作站执行一段随机的冲突计时。

CSMA/CA：计算机在发生数据前表明将要发送数据的访问方法，告诉网络上的其他计算机不要发送数据，否则可能发生冲突。

无线LAN技术802.11使用CSMA/CA实现介质访问功能。

竞争型环境：只有一个传输介质（如UTP电缆）供所有网络上的节点和设备共享的环境，每个系统竞相使用这个传输线路

CSMA VS 令牌传递
CSMA速率快，存在冲突
令牌传递速度慢，不存在冲突

冲突域collision domain
指抢夺或竞争相同的共享通信介质的一组计算机。
竞争型网络上的设备越多，发生冲突的可能性就越大，从而导致网络等待时间延长（数据传输延迟）。

冲突的增多可能是由于高度拥挤的网络、损坏的线缆或连接器、过多的中继器或超过推荐长度的线缆。

隔开的冲突域减少了网络发生的冲突数量，增加了网络的整体性能，也使入侵者更难进入网络帧听网络并获取有用的信息。

介质共享方法三：轮询
系统被配置为主站和从站，主站询问从站是否有内容要发送。
轮询是监控多个设备和控制网络访问传输的方法。

总结：以太网使用CSMA/CD，令牌环使用令牌，FDDI使用令牌，Wifi使用CSMA/CA，大型主机介质访问技术使用轮询。

5. 传输方法
   单播unicast：数据包从源计算机到达一个特定的系统
   多播multicast：数据包从源计算机到达一组特定的系统
   广播broadcast：数据包从源计算机到达子网上的所有计算机

Internet组管理协议（Internet Group Management Protocol，IGMP）用于向路由器报告多播组成员关系。IGMP可以用来进行在线视频和游戏活动。

6.6.3 网络协议和服务

1. 地址解析协议ARP
   每台计算机和网络设备都需要唯一的网络层处理和理解的IP地址以及数据链路层处理和理解的物理硬件地址（MAC地址）。

IP地址和MAC地址的映射通过ARP完成。

ARP表中毒：ARP table poisoning，攻击者为了收到指向其他计算机的数据包，修改系统的ARP表，使之包含错误的信息。这是伪装攻击（masquerading）

ARP没有内置的安全措施来防止ARP表中毒，需要靠IDS传感器监控此类活动。

2. 动态主机配置协议DHCP
   Dynamic Host Configuration Protocol
   计算机向DHCP服务器发送请求，DHCP服务器查看可用的IP地址，为计算机分配IP地址。

DHCP是UDP型协议。

DHCP的过程：
发送DHCPDISCOVER—提供DHCPOFFER—请求DHCPREQUEST—应答DHCPACK

网络屏蔽未进行身份验证的DHCP客户端的方法：
在网络交换机上使用DHCP窥探（DHCP snooping），能确保DHCP服务器只为其MAC地址标识的所选择系统分配IP地址。

屏蔽非法的DHCP服务器的方法：
使用高级的网络交换机，能够将客服端指向合法的DHCP服务器

RARP：MAC地址转成IP地址
启动协议（Boot Protocol，BOOTP）

RARP进化为BOOTP，BOOTP又发展成DHCP

3. Internet控制消息协议ICMP
   Internet Control Message Protocol
   常用于测试IP网络的连通性和排查问题，ping是ICMP最常用的应用程序。

使用ICMP的攻击：
Loki
发送带错误信息的ICMP消息，重定向流量到攻击者
攻击者利用Traceroute绘制网络图
Ping攻击：
（1）向目标系统发送大量超大型ICMP数据包（DDos），系统死机/崩溃
（2）Smurf攻击：攻击者发送带欺骗源地址的ICMP请求包到受害计算机的广播地址，导致受害计算机死机崩溃或重启
（3）Fraggle攻击：类似Smurf，只是Fraggle使用UDP协议

对策：
利用防火墙规则，仅允许必要的ICMP数据包进入网络
利用IDS或IPS检测可疑活动

4. 简单网络管理协议SNMP
   Simple Network Management Protocol
   为应对日益增长的管理网络IP设备的需求

SNMP的两个主要组件：管理器和代理，代理是一个运行在网络设备上的软件，有一个跟踪记录的对象名单，该名单存在于管理信息库（Management Information Base，MIB）里。

SNMP v1和v2使用明文发送社区字符串值，v3有加密功能，提供加密、消息完整性和身份验证安全。

6.6.4 域名服务DNS

DNS将主机名解析成IP地址。
Internet最初只有100台计算机，那时没有DNA来维护主机名和IP地址的映射关系，而是在FTP服务器上保存一个主机名和IP地址的对应关系列表。

一般会有多个DNA服务器，以实现冗余和容错能力。

在DNS服务器内，DNS名称空间划分成多个区。
为一个区保存文件的DNS服务器称为特定区域的权威名称服务器。

主、从DNS服务器通过区传送（zone transfer）同步信息。
需要对DNS服务器进行配置，以允许区传送仅在特定的服务器间进行，防止未授权的区传送。

资源记录：DNS服务器包含将主机名映射为IP地址的记录，称为资源记录

1. Internet DNS和域
   Internet上的网络以层次化结构连接，如果一个DNS服务器不知道哪个DNS服务器保存有解析一个主机名的必要资源记录，就将请求传递至上一级DNS服务器。

根服务器—顶级域（COM、EDU、ORG）—二级域

HOSTS文件驻留在本地计算机上，保存有静态主机名到IP地址映射信息。

2. DNS威胁
   DNS服务器无法查找到某个主机与IP地址映射关系时，会请求其他DNS服务器，此时攻击者立即伪造并发送此主机与IP地址的关系，导致DNS服务器接收存储该映射关系。

缓解DNS威胁的对策：
使用高强度的身份验证机制，如DNS Security，应用了PKI和数字签名，DNS服务器接收到响应前会验证消息的数字签名，以保证响应来自于被授权的DNS服务器。

DNS拆分：DMZ中的DNS服务器处理外部主机名到IP解析请求，内部DNS服务器仅处理内部请求。

HOSTS文件操纵：只要恶意程序控制了HOSTS文件，就可以将流量转向驻留恶意内容的网站
常见示例：
阻止用户访问防病毒更新网站
URL隐藏（URL hiding）
对策：将HOSTS文件设置为只读文件，实施一个主机型IDS，检测关键文件的修改

域抢占 domain grabbing
恶意抢注cyber squatting
Internet名称与数字地址分配机构 ICANN开发了先到先服务策略、

6.6.5 电子邮件服务

邮件服务器（SMTP服务器）负责理解消息将要发往哪里并正确地将消息路由到器目的地。
Unix系统中，常见的SMTP服务器软件是Sendmail
Windows系统中，常见的SMTP服务器软件是Microsoft Exchange
Novell中，常用GroupWise

1. 邮局协议POP
   是Internet邮件服务器协议，支持传入和传出消息
   用户使用POP协议时，当他访问自己的邮件服务器查看是否接收到新消息时，所有消息会自动下载到他的计算机上。

2. 互联网消息访问协议IMAP
   能够访问邮件服务器上的邮件，提供比POP更多的功能

POP常用于基于互联网的电子邮件账户（如Gmail、Yahoo等），而IMAP通常用于企业电子邮箱账户。

3. 电子邮件中继
   邮件服务器使用中继代理机制，实现从一个邮件服务器发送消息到另一个邮件服务器。
   中继代理机制必须正确配置，以确保不会被利用发送垃圾邮件。
   需要启用邮件服务器的反垃圾邮件功能，采用防病毒和内容过滤应用程序。

4. 电子邮件威胁
   电子邮件伪装是通过修改电子邮件头部字段完成的，如来源From，回复路径Return-Path和回复到Reply-to字段。
   电子邮件伪装是由于SMTP中的安全功能缺乏所造成的。

SMTP认证（SMTP-AUTH）用来在邮件传输协议中提供一个访问控制机制，要求客服端在接收邮件前对发送方进行身份验证。

对抗电子邮件伪装的方法：
（1）SMTP服务器进行配置，防止未授权的用户发送电子邮件
（2）通过防火墙过滤邮件服务器的传入和传出流量，防止数据包伪装、DDOS等
（3）重要邮件使用加密通道
（4）使用发件人策略框架SPF，通过验证发件人的IP地址来检测电子邮件伪装，防止垃圾邮件的传播

6.6.6 网络地址转换NAT

Network Address Translation
NAT实现的3种基本类型：

1. 静态映射
   每个私有地址静态映射到一个特定的公共地址
2. 动态映射
   私有地址与公共地址不是一一对应的，采用的是“先到先服务”的方式运行
3. 端口地址转换（Port Address Translation，PAT）
   多个私有地址共用一个公共地址，采用地址+端口的方式

大多数NAT都是有状态的，保持内外部主机间的通信记录，直至会话结束。

6.6.7 路由协议

Internet上的单独网络称为自治系统（Autonomous System，AS）
一个自治系统由许多路由器组成，使用内部网关协议（Interior Gateway Protocol，IGP）

动态路由协议dynamic routing protocol：
能够发现路由协议并建立一个路由器。

静态路由协议static routing protocol：
要求管理员手动配置路由器的路由表。

路由抖动routing flapping：路由器可用性的持续改变。

两种路由协议：

• 距离向量路由协议distance-vector routing protocol：基于距离（跳数）和向量（方向）决定它们的路由路径。
• 链路状态路由协议link-state routing protocol：构建一个更准确的路由表，使用数据包大
  小、链路速度、延迟、网络负载和可靠性为数据包确定最佳路由。

内部路由协议：

• 路由信息协议Routing Information Protocol，RIP
  属于距离向量路由协议，计算源系统与目标系统之间的最短距离，只能在小型网络中使用。RIP v1不具有身份验证，RIP v2以明文发送密码或使用MD5进行散列。
• 开放最短路径优先Open Shortest Path First，OSPF
  属于链路状态路由协议，可以提供比RIP稳定的网络，需要占用更多的内存与CPU资源。不进行身份验证或使用明文密码或散列密码进行身份验证
• 内部网关路由协议Interior Gateway Routing Protocol，IGRP
  属于距离向量路由协议，IGRP使用5个准则来作出最佳路线决策
• 加强型内部网关路由协议Enhanced Interior Gateway Routing Protocol，EIGRP
  与IGRP相比，提高了更新路由表的速度，减少了拓扑变化后路由器的不稳定
• 虚拟路由冗余协议Virtual Router Redundancy Protocol，VRRP
  用于要求高可用性和不能容忍路由器单点故障的网络中，两个路由器（主次路由器）被映射到一个虚拟路由器上
• 中间系统到中间系统Intermediate System to Intermediate System，IS-IS
  属于链路状态协议，每个路由都可以独立构建一个网络拓扑的数据库

连接不同AS的路由器所使用的外部路由协议称为外部网关协议Exterior Gateway Protocol。
边界网关协议Border Gateway Protocol支持不同AS上的路由器共享路由信息，确保不同AS网络间进行快速高效的路由。

6.7 网络互联设备

中继器、网桥、路由器、交换机在LAN、WAN、MAN中用于提供计算机和网络之间的相互通信。

6.7.1 中继器repeater

中继和放大线缆段之间的电信号，工作在物理层，不理解不处理IP和MAC地址，只是转发接收到的信号。
集线器hub是一个多端口的中继器，允许多个计算机和设备互相通信。

6.7.2 网桥bridge

网桥是一种用于连接不同LAN网段的LAN设备，工作在数据链路层，处理MAC地址。
数据帧到达网桥时，网桥判断MAC地址是否在本地网段，不是就转发至另一个网段。

网桥转发所有的广播包，网络可能负担重过重，导致广播风暴broadcast storm，降低网络带宽和性能。

3种类型的网桥：

• 本地网桥local bridge：在一个局部区域内连接多个网段
• 远程网桥remote bridge：通过使用电信链路连接一个MAN上的多个LAN网段
• 翻译网桥translation bridge：连接多个类型、标准、协议不同的LAN网段

网桥采用透明桥接（transparent bridging）技术知道数据帧的目的地。

许多网桥都使用生成树算法（Spanning Tree Algorithm，STA），确保数据帧不会永远在网络上流动，提供了冗余路径等

6.7.3 路由器router

路由器是一种有两个或更多接口与一个路由表的设备，在网络层工作，用于连接相似或不同的网络，每个端口的网络地址不同。
路由器基于访问控制列表（ACL）过滤流量。
路由器通过路由协议（RIP,BGP,OSPF等）发现路由以及网络中发生变化的信息。

6.7.4 交换机

交换机组合了中继器和网桥的功能，像中继器一样放大电信号，并且具有网桥的内置电路和智能。提供通信设备之间的专用虚拟链接，允许VLAN，减少冲突，防止网络嗅探。
基本的交换机在数据链路层工作，并基于MAC地址转发流量。
还有3层4层交换机，提供更多功能。

多协议标签交换Multiprotocol Label Switching，MPLS提高了路由速度，也解决了不同类型数据包的服务需求。

VLAN跳跃攻击（VLAN hopping attacks）使得攻击者可以访问各种VLAN分段中的流量。

6.7.5 网关gateway

网关工作在应用层，连接不同类型的网络，执行协议和格式的翻译。

电子邮件网关，语音和介质网关，都是很常见的网关。

6.7.6 专用交换分机PBX

Private Brance Exchange，PBX是用户公司所有的专用电话交换机

6.7.7 防火墙

1. 包过滤防火墙packet filtering

是一种基于网络级协议首部值作出访问决策的防火墙技术。

包过滤也叫无状态检查（stateless inspection），仅仅基于单个数据包中所包含的数据为每个数据包作出决策，有状态防火墙理解并记录完整的通信会话。

包过滤防火墙不能阻断利用特定应用程序脆弱性的攻击，不支持高级的身份验证方案，无法检测伪造地址，不一定能检测数据包片断攻击。

deny udp host 10.1.1.2 host 172.16.1.1

2. 有状态防火墙

有状态防火墙能记住并跟踪记录哪些包到达什么位置。

XMS攻击：防火墙收到的一个将所有TCP标志值都变成1的数据包，产生的DDOS攻击

有状态防火墙维护一个状态表，跟踪每个通信会话，提供了高度安全性，为跟踪连接协议（UDP或ICMP）提供数据，存储和更新包内数据的状态和上下文。

3. 代理防火墙

工作在会话层的代理防火墙叫电路级代理（circuit-level proxy），这种代理不检查数据包的内容，只基于它能看到的协议首部和会话信息作出访问决策，类似于包过滤。SOCKS是电路级代理防火墙的一个示例。

工作在应用层的代理防火墙叫应用级代理（application-level proxy），可以根据数据包的内容作出访问决策。应用级代理防火墙能检查整个网络包，拥有强大的日志记录功能，能对用户进行身份验证，能抵御欺骗攻击等。但不适合高带宽或实时应用，会产生性能为问题。

4. 动态包过滤防火墙

动态包过滤是第四代防火墙，允许任何类型的流量流出，只允许响应流量流入。
内部与可信网络之外的实体通信时，使用大于1023的动态端口。

5. 内核代理防防火墙kernel proxy firewall

第五代防火墙，工作在应用层，包到达内核代理防火墙时，防火墙创建一个新的虚拟网络栈，加载必要的协议，对数据包进行检查。

因为在内核中进行处理，所以速度快，为每个包都创建一个网络栈。

6. 防火墙架构

堡垒主机bastion host：与不被信任的网络很近，或直接相连的系统

双宿防火墙dual-homed：一台计算机使用不同的NIC连接每一个网络，用于划分可信任网络与外部不可信网络。

被屏蔽主机screened host：是一种直接与边缘路由器和内部网络通信的防火墙。路由器是屏蔽设备，防火墙时被屏蔽主机。

被屏蔽子网screened subnet：使用两个防火墙，创建一个DMZ

7. 虚拟防火墙

虚拟机之间的每个流量链路都得到监控。

6.7.8 代理服务器

代理服务器控制客户端和服务端之间的流量。

转发代理服务器，反向代理服务器，web代理服务器

6.7.9 蜜罐honeypot

蜜罐系统一般指位于被屏蔽子网或DMZ中的计算机，用于引诱攻击者。蜜罐不能连接到生产系统。

公司可以使用tarpits作为蜜罐，该服务提供的响应很慢，导致自动化的攻击工具连接超时而失败。

多个蜜罐系统可以组成蜜网honeynet。

6.7.10 统一威胁管理UTM

UTM设备产品是在单一的网络设备上提供所有的功能，如防火墙、反垃圾邮件、IDS/IPS、内容过滤、VPN。UTM的目标是简便、简化的安装和维护，集中控制，并从整体角度识别网络安全状况。

UTM的问题：单点故障、单点防护、性能

6.7.11 云计算

云计算处理能力交付为一个服务，而不是一种产品，其中共享资源、软件和信息作为一个实用工具提供给最终用户。提供的服务通常封装成一个基础设施、平台或软件，如下述。

常见的云服务模型：

1. 基础设施即服务（IaaS）
   云提供商以按需交付的方式提供传输数据中心的基础设施环境，公司在此基础设施上开发自己的操作系统、应用程序和软件，并进行维护。
2. 平台即服务（PaaS）
   云提供商提供包括了操作系统、数据库和Web服务器的计算平台。
3. 软件即服务（SaaS）
   云提供商为用户提供了访问特定的应用软件的权限。

6.8 内联网与外联网

内联网是使用Internet技术的私有网络。
外联网向外扩展了公司网络的边界，使得多个公司可以共享通用的信息和资源。

6.9 城域网MAN

MAN通常是个主干网，用于连接LAN和LAN，LAN和WAN，LAN和Internet以及其他电信电缆网。

MAN大多都是通信服务提供商提供的同步光纤网（SONET）或FDDI环。

城域以太网Metro Ethernet：以太网连接到MAN技术上，或者拓展，覆盖大都市。

6.10 广域网WAN

WAN环境中的通信错误率比LAN高。
LAN多采用无连接协议，WAN使用面向连接的协议。

6.10.1 通信的发展

多路电话呼叫被隔开并放在同一条线路上，称为多路复用。
多路复用是将多个通道的数据合并到一条传输线路上的方法。

本地呼叫被多路复用到T1线上，长途呼叫被多路复用到T3线上。

电信发展史：
运载纯模拟信号的纯铜线----T1----T3----光纤和SONET网络----SONET上的ATM

ATM使用固定的信元大小，提供了更高的性能。

6.10.2 专用链路dedicated link

也称租用线路（leased ine）或点到点链路（point-to-point），是为了在两个目标之间进行WAN通信而预先建立的单条链路。

1. T载波T-carrier
   T1和T3通过时分多路复用（Time-Division Multiplexing，TDM）将几个单独的通道复用到高速通道的数字电路。

2. E载波E-carrier
   类似T载波，用单一的物理线对和通过时分多路复用来同步传输许多语音会话。

3. 光载波Optical Carrier
   OCx代表OC-1传输速率（51.84Mbps）的x倍

多路复用技术

• 统计时分多路复用Statistical Time-Division Multiplexing，STDM
  通过单独一根传输线缆或电线同时传送几种类型的数据
• 频分多路复用Frequency-Division Multiplexing，FEM
  将可用的频带划分为较窄的频带，采用多个并行的通道传输数据
• 波分多路复用Wave-Divison Multiplexing，WDM
  用于光纤通信，多路复用大量光载波信号到一条光纤上

6.10.3 WAN技术

1. CSU/DSU

通道服务单元/数据服务单元（Channel/Data Service Unit，CSU/DSU）将LAN连接到WAN上，一般作为转换器工作。

CSU/DSU为数据终端设备（Data Terminal Equipment，DTE，如终端，多路复用器，路由器）提供一个接口，另一接口连接到数据电路终端设备（如电信公司的交换机）。

2. 交换

交换有两种类型：电路交换circuit switching和数据包交换packet switching
电路交换：建立虚拟连接，系统间如同专用链路，如ISDN和电话呼叫
数据包交换：从一个连接传来的数据包会通过许多不同的独立设备，如Internet、X.25和帧中继。

语音连接适合用电路交换，数据连接适合用数据包交换。

3. 帧中继frame relay

帧中继是在数据链路层工作的WAN协议。
用于帧中继连接的设备主要两类，数据终端设备（Data Terminal Equipment，DTE）和数据电路终端设备（Data Circuit-Terminating Equipment，DCE）。DTE通常是用户的拥有的设备，DCE是服务提供商或电信公司的设备，在帧中继云团中执行实际工作。

4. 虚电路

帧中继是一种交换技术，和X.25通过虚电路转发数据帧，虚电路有永久和交换的。
永久虚电路Permanet Virtual Circuit，PVC和专用线路一样工作。
交换虚电路Switched Virtual Circuit，SVC需要与拨号和连接相似的步骤，更灵活，但是不能够保证带宽。SVC常用于电话会议、建立到远程站点的临时连接、数据复制和语音呼叫。

5. X.25

X.25定义了设备和网络如何建立与维护连接。使用了载波交换的交换技术，能为许多不同的网络提供连通性。

X.26类似帧中继，但没有帧中继高效，因为X.25提供多层的检错、纠错和容错，导致性能低，传输速度慢。

6. 异步传输模式ATM

Asynchronous Transfer Mode，ATM是一种使用信元交换方法的交换技术。
ATM是面向连接的，并且创建和使用一个专用链路一样的虚电路，虚电路可以保证带宽和QoS。因此，ATM是很好的视频语音传输载体。

7. 服务质量 QoS

客户可以使用4种不同的ATM QoS服务：

• 固定位率Constant Bit Rate：为时效性应用提供一致的数据处理能力，带宽固定
• 可变位率Variable Bit Rate：适应对延时不敏感的应用，客户指定数据传输速率
• 未指定位率Unspecified Bit Rate：不提供特定的数据传输率
• 可用位率Available Bit Rate：在满足保证的传输速率后，客户获得不变的带宽

QoS的3种基本级别：

• 尽力服务
• 差分服务
• 保证服务：时效性流量（语音和视频）就是这种级别的

流量整形traffic shaping：控制网络流量从而优化或保证通信质量的技术。
使用拥有QoS性能的技术就可以进行流量整形。

8. 交换式多兆位数据服务SMDS

Switched Multimegabit Data Service
是一种高速数据包交换技术，使用户能将LAN扩展到MAN和WAN，现在很少使用了

9. 同步数据链路控制SDLC

Synchronous Data Link Control，面向位的链路层协议
基于使用专用租用链路以及永久物理连接的网络，主要用于与系统网络架构内的IBM主机进行通信。

10. 高级数据链路控制HDLC

High-Level Data Link Control，面向位的链路层协议
用于设备间的串行WAN通信，如两个路由器通过一个WAN链路通信

11. 点对点协议PPP

Point-to-Point Protocol
PPP连接指一个设备和另外一个设备之间有一个连接，电信设备常用PPP作为数据链路协议。
PPP用网络控制协议NCP以理解并与不同的网络层协议（IP、IPX、NetBEUI和AppleTalk）工作在一起。

12. 高速串行接口HSSI

High-Speed Serial Interface
HSSI是一种将多路复用器和路由器联系至高速通信服务（如ATM和帧中继）的接口，工作在物理层

13. 多服务访问技术multiservice access technology

将若干种通信类别（数据语音和视频）合并到一条传输线上。
VoIP指声音数据通过IP网络而不是传统的PSTN来传输。VoIP是面向数据包交换的技术，可能会有延迟，所以在通话中会有不同步的现象，称为抖动。

14. H.323网关

H.323网关连接不同的系统和设备，提供必要的转换功能，可以对电路型电话网络和数据包型VoIP网络上使用的协议进行转换。

ATM上的语音（Voice over ATM，VoATM）和帧中继上的语音（Voice over Frame Relay，VoFR）也可以和VoIP一样支持在同样的网络上合并语音和数据，但IP是无连接的，ATM和帧中继是面向连接的，所有ATM和帧中继能提供更好的QoS，更少的抖动和延迟。

15. 会话发起协议SIP

Session Initiation Protocol，SIP
SIP是一种广泛用于VoIP通信会话的信令协议，类似PSTN中的7号信令。

SIP依赖三步握手来启动一个会话，SIP本身不用于传送会话，会话遵循诸如实时传输协议（Real-time Transport Protocol，RTP）之类的介质协议，RTP提供在IP网络上传递音频和视频的标准化包格式。

Skype是一种Internet电话应用程序，使用对等通信模型，而不是VoIP系统的传统客户端/服务器方式，在分布式成员节点之间维护用户记录。

16. IP电话问题

缺乏加密的呼叫通道和控制信号的身份验证，导致基于SIP的信令会遭受损害，攻击者利用SIP服务器和客户端的通信来发现登录ID和密码等，产生费用欺诈

将SIP控制包从呼叫方重定向至伪造的目的地来伪装身份，导致与错误的终端通信

使用呼叫请求来泛洪攻击RTP服务器，产生DDoS攻击

拦截语音包，注入伪造的音频视频数据

IP电话问题的解决方案：

• 授权使用VoIP，对独立IP终端授权
• VoIP设备能够验证身份
• 使用安全密码协议（如TLS）能够为VoIP客户端和服务器提供一个安全通道，并组织可能发生的偷听和数据包操纵

17. WAN技术总结

6.11 远程连接

常用的远程连接方法包括VPN、拨号连接、ISDN、线缆调制解调器以及DSL连接。

6.11.1 拨号连接

攻击者使用执行战争拨号（war dialing）的程序标识调制解调器，调制解调器的连接处安全性较差。

6.11.2 综合业务数字网ISDN

Integrated Services Digital Network，ISDN
ISDN使数字语音和其他类型的流量在介质中以数字的形式传输，提供了数字的点到点电路交换介质。

ISDN将电话线路分成多个通道来传输各种类型的数据，提供全双工通信和更高级别的控制与错误处理。
ISDN比拨号连接提供了更快的呼叫建立和连接建立过程。

ISDN的3种实现：

• BRI ISDN：2个B通道1个D通道，提供带宽144kps，常用语家庭用户
• PRI ISDN：23个B通道1个D通道，提供带宽1.544Mbps，常用于企业
• 带宽ISDN（Broadband ISDN）：能同时处理不同类型的服务，常用于电信载波主干

6.11.3 数字用户线路DSL

Digital Subscriber Line
用于连接家庭公司和服务提供商的交换中心，比ISDN提供更高带宽

不同类型的DSL：

• 对称DSL（Symmetrical DSL，SDSL）：上行下行速率相同，用于双向高速传输业务应用
• 非对称DSL（Asymmetrical DSL，ADSL）：数据下行速度比上行速度快，家庭用户通常用ADSL
• 高位率DSL（High-Bit-Rate DSL，HDSL）：不使用中继器的情况下，在铜线上提供T1（1.544Mbps）的速度
• 高数据率数字用户线路（Very High-Data-Rate DSL，VDSL）：数据传输率高的ADSL，支持高宽带应用程序，如HDTV、电话服务和单一连接上的Internet访问
• 速率自适应数字用户线（Rate-Adaptive DSL，RADSL）：可以根据线路质量和长度调节传输速度

6.11.4 线缆调制解调器

提供最高50Mbps的高速访问，通过同轴电缆或光纤访问Internet

DSL和线缆调制解调器始终连接到Internet，不需要拨号，这可能导致攻击者放置隐藏的特洛伊木马，而直到他们接收到攻击者向受害者发送攻击的命令，才发现问题。

6.11.5 虚拟专用网VPN

VPN解决方案：

• 点对点隧道协议PPTP：提供一个用IP网络隧道连接PPP的方法，可以用于系统与系统之间的通信，但不支持在一个VPN隧道上的多个连接，在数据链路层工作
• 第二层隧道协议L2TP：集成PPP的身份验证并整合IPSec以提供机密性、完整性。L2TP可以工作在IP型网络和WAN型连接上，在数据链路层工作
• IPSec：能同时处理多个VPN连接，提供身份校验和加密，只支持IP网络，在网络层工作
• 安全套接字层SSL：在传输层工作，提供细粒化的访问控制和配置
  

IPSec的主要协议和功能：

• 身份验证首部（Authentication Header，AH）：提供数据完整性、数据源验证和免受重放攻击的保护
• 封装安全有效载荷（Encapsulating Security Payload，ESP）：提供机密性、数据源验证和数据完整性
• Internet安全连接和密钥管理协议（ISAKMP）：提供安全连接创建和密钥交换的框架
• Internet密钥交换（Internet Key Exchange，IKE）：提供验证的密钥材料以和ISAKMP一起使用

SSL VPN的常见实现类型：

• SSL门户VPN：用户使用标准SSL连接到门户网站来安全地访问多个网络服务
• SSL隧道VPN：用户使用web浏览器通过一个SSL隧道来安全地访问多个网络服务

6.11.6 身份验证协议

PPP线路上可以使用的身份验证机制：

1. 密码身份验证协议（Password Authentication Protocol，PAP）被远程用户用在PPP线路上进行身份验证。
   PAP以明文的形式发送身份验证凭证，是最不安全的验证方法之一。

2. 挑战握手身份验证协议（Challenge Handshake Authentication Protocol，CHAP）相比PAP更安全，因为不发送密码，而是使用挑战/响应机制进行身份验证。

3. 可扩展身份验证协议（Extensible Authentication Protocol，EAP）：当用户连接到一个身份验证服务器且双方都有EAP功能时，可以使用如一次性密码、令牌卡、生物测定学等方式进行身份验证

6.12 无线技术

6.12.1 无线通信

无线通信指通过无线电波经由空气和空间传输信号。
信号以频率和振幅作为测量标准，频率决定了传送数据的数量和距离，频率越高，信号运载的数据越多。

扩频spread spectrum：以某种方式超出分配的频率给单独信号分配频率，目的是将有效的频率分隔成可用的部分，使设备能有效利用。

扩频技术：跳频扩频FHSS和直接序列DSSS

跳频扩频（Frequency Hopping Spread Spectrum，FHSS）：利用整个带宽（频谱）并将其分隔成更小的子通道，FHSS决定了要使用的不同频率和顺序
在WLAN中，调频序列已知，因此不能提供任何安全性。

直接序列扩频（Direct Sequence Spread Spectrum，DSSS）：采用一种对消息应用子位的不同方法。子位提供错误恢复指示，因此DSSS具有抗干扰的特点，能够跟踪多条传输通道，并且提供了一定级别的纠错。而FHSS中，数据出现错误就必须重发。

FHSS始终只使用一部分有效宽带，而DSSS连续应用所有宽带，所以DSSS的数据吞吐量比FHSS高。

正交频分多路复用（Orthogonal Frequency-Division Multiplexing，OFDM）可以通过无线频率信号传输更多的数据，将几个调制的载波结合在一起，从而减少数据传输所需的带宽。

6.12.2 WLAN组件

Wireless LAN，WLAN使用一个称为访问点（AP）的收发器连接到以太网线缆，无线设备使用这条链路来访问有线网络中的资源。

基础设施WLAN：使用AP连接无线和有线网络，是对有线网络的扩展
单一模式网络：AP不连接到有线网络，仅仅作为一个无线集线器
自组网WLAN：ad hoc WLAN，没有AP，无线设备通过NIC彼此通信，设备需要安装无线客户端软件，并且配置为对等操作模式

无线设备需要通过AP的身份验证，就需要服务集ID（Service Set ID，SSID），但SSID并不可靠，因为很多AP都广播SSID。

AP身份验证的两种方法：

• 开放系统身份验证（Open System Authentication，OSA）：无线设备只需要提供SSID，所有传输都是明文，容易被嗅探流量
• 共享密钥身份验证（Shared Key Authentication，SKA）：身份验证基于有线等效加密（Wired Equivalent Privacy，WEP）协议，无线设备需有必要的加密密钥，能对数据传输进行加密。

WEP的缺陷：

• 静态加密密钥
• 初始化向量IV使用效率低
• 缺乏数据包完整性保护
• 无法执行相互身份验证：无线设备可以用AP进行身份验证，AP无法对无线设备验证

IEEE 802.11i标准比802.11更安全，使用不同的协议（如TKIP）技术和算法。
802.11i使用EAP（可扩展身份验证协议）解决802.11无法执行相互身份验证的问题。
TKIP可以解决静态WEP加密密钥和IV值使用不当有关的WEP缺陷，目标是提升WEP的强度或者替代WEP。
TKIP新的加密密钥=WEP密钥+IV值+MAC地址，增加了加密过程的随机性

802.1x提供了身份验证框架和动态分发加密密钥的方法。

6.12.3 无线标准

1. 802.11b：提供11Mbps的传输速率，在2.4G频率范围工作，使用DSSS
2. 802.11a：提供54Mbps的传输速率，在5G频率范围工作，使用OFDM，不兼容802.11b，美国以外的国家不一定能用，因为不一定将5G频带分配给WLAN传输
   OFDM：是一种不同于DSSS和FHSS的调制方案，将数据划分到不同的频谱上，然后这些频谱被调制并通过特定的频率发送。
3. 802.11e：提供QoS与对多媒体流量的支持
4. 802.11f：负责用户从一个AP漫游到另一个AP时的信息传送
5. 802.11g：提供54Mbps的传输速率，在2.4G频率范围工作，兼容802.11b
6. 802.11h：建立在802.11a规范之上，满足欧洲无线规则的要求
7. 802.11j：整合不同的标准，简化开发过程，以改善互操作性问题
8. 802.11n：提供多输入多输出（MIMO）来增加吞吐量，吞吐量预估能达到100Mbps，在5G频率范围工作

以上无线标准都是面向WLAN的标准

9. 802.16：是一个城域网MAN的无线标准，实现宽带无线的互操作性
10. 802.15 ：是一个无线个人区域网络WPAN的标准，实现本地设备时间的连接
    蓝牙无线技术是802.15的一部分，传输速率是1-3Mbps，工作范围10米，在2.4G频率下工作
    蓝劫Bluejacking是使用蓝牙技术的设备容易遭受的攻击。设置为不可发现模式的设备不容易受到这类的攻击。
    蓝牙窃用Bluesnarfing是指通过蓝牙设备连接未经授权地访问无线设备，使黑客能够在用户不知情的情况下窃取存储在便携式设备上的信息。

6.12.4 WLAN战争驾驶攻击

战争驾驶war driving攻击
Kismet和NetStubler是用来嗅探/监控AP的程序

6.12.5 卫星

卫星提供宽带传输，常用于电视频道和个人计算机Internet访问的数据传输。卫星的覆盖范围取决于卫星的类型。可以发射多颗卫星来提供持续的信号覆盖。

6.12.6 移动无线通信

即手机，通过无线电链路传送语音和数据，连接到蜂窝式网络，蜂窝式网络又连接到公共电话网（PSTN）。
不相邻的蜂窝可以使用相同的频率范围。

6.12.7 移动电话安全

数据泄露
无赖基站
手机克隆（cell phone cloning）
垃圾即时通信消息（Instant Messaging Spam，SPIM）：防火墙不能阻断SPIM