【CISSP备考】第四章-通信与网络安全

计算机和网络涉及通信设备、存储设备、处理设备、安全设备、输入设备、输出设备、操作系统、软件、服务、数据和人员。

OSI模型

协议可通过网络在计算机之间进行通信,协议是一组规则和限制,用于定义数据如何通过网络介质传输(例如双绞线、无线数据传输等)

应用层、表示层、会话层、传输层、网络层、链路层、物理层

封装/解封

封装是将每个层从上面的层传递到下面的层之前为每个层接收的数据添加头部、也可能添加尾部。

当数据通过OSI模型层从应用层下移到物理层时发生封装、数据从物理层到应用层向上移动时的逆操作称为解封。

发送到协议第七层即应用层的信息被称为数据流、到传输层即第四层被称为段(TCP)或者数据报(UDP协议),在网络层中被称为数据包,在数据链路层被称为帧,在物理层数据已被转换为比特

物理层通过设备驱动程序和这些标准来控制吞吐率、处理同步、管理线路噪声和介质访问。并且确定是采用数字信号、模拟信号还是光脉冲通过物理硬件接口传输和接收数据。

在物理层运行的网络硬件设备是网卡(NIC)、集线器、中继器、集中器、放大器。

这些设备执行基于硬件的信号操作,例如从一个连接端口向所有其他端口发送信号或放大信号以支持更大的传输距离

数据链路层:

数据链路层负责将来自网络层的数据包格式化为适当的传输格式。正确格式由网络硬件和技术决定。

SLP/PPP/ARP/L2F/L2TP/PPTP/ISDN

网络层

网络层负责给数据添加路由和寻址信息,网络层接受来自传输层的段

路由协议位于此层:

ICMP、RIP、OSPF、BGP、IGMP、IP、IPSec、IPX、NAT、SKIP

传输层:

传输层负责管理连接的完整性并控制会话

以下协议在传输层中运行:

TCP、UDP、SPX、SSL、TLS

会话层:

会话层负责建立、维护和终止两台计算机之间的通信会话。

NFS、SQL、RPC

表示层:

负责将从应用层接收的数据转换为遵循OSI模型的任何系统都能理解的格式

ASCII、EBCDICM、TIFF、JPEG、MPEG、MIDI

应用层:

负责将用户应用程序、网络服务或操作系统与协议栈连接。

HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP3、IMAP、SNMP、NNTP、S-RPC、SET

TCP/IP模型

应用层、传输层、互联网层、链路层

DNS中毒:

DNS中毒是伪造客户端用于达到所需系统的DNS信息的行为。

1、检查本地缓存(包括HOSTS文件中的内容)

2、将DNS查询发送到已知的DNS服务器

3、将广播查询发送到任何可能的本地子网DNS服务器

(部署流氓DNS服务器、攻击DNS服务器使DNS服务器中毒、改变HOSTS文件、破坏IP配置、使用代理伪造)

域名劫持:

域名劫持或域名盗窃是在未经所有者授权的情况下更改域名注册的恶意行为。

融合协议:

融合协议是专业协议与标准协议的结合,如那些源自TCP/IP套件的协议。

以太网光纤通道(FCoE)

MPLS(多协议标签交换)

Internet小型计算机接口(iSCSI)

网络电话(VoIP)

软件定义网络(SDN)

内容分发网络:

CDN(内容分发网络)或者称为内容传递网络是在互联网上的多个数据中心中部署的资源服务的集合,以便提供托管内容的低延迟、高性能和高可用性。

无线网络:

无线网络时一种链接企业和家庭系统的流行方法、因为它易于部署并且成本较低。

802.1是用于无线网络通信的IEEE标准。

802.11 2M速度

802.11a 54M

802.11b  11M

802.11g 54M

802.11n  200+M

802.11ac 1G

SSID:为无线网络分配SSID(即BSSID或ESSID)以将一个无线网络与另一个无线网络区分开。

WAP通过称为信标帧的特殊传输来广播SSID,这允许范围内的任何无线NIC看到无线网络并使连接尽可能简单。

使用安全的加密协议:

IEEE802.11标准定义了无线客户端可在无线链路上发生正常网络通信之前用于向WAP进行身份验证的两种方法:开放系统身份验证(OSA)和共享密钥身份验证(SKA)

OSA:只需要在客户端和WAP之间传输无线电信号,就可通信

SKA:则必须在通信发生前进行某种形式的身份验证

1、WEP

有线等效保密(WEP):提供针对无线传输的数据包嗅探和窃听的保护。WEP使用预定义的共享密钥,防止未经授权的无线网络访问。WEP采用RC4对称流密码,由于RC4的设计和实施存在缺陷,很容易被破解

2、WPA

WiFi受保护访问被设计为WEP的替代品、基于LEAP和临时密钥完整性、并且通常使用密码进行身份验证,但使用单一静态密码短语,可能造成毛蛮力猜测攻击进行破解

3、WPA2

通常被视为安全、802.11i修正版本或者WPA2、使用新的加密方案被称为CCMP、基于AES加密方案、但是也会遭到称为KRACK秘钥重新安装攻击

4、802.1X/EAP

WPA和WPA2都支持称为802.1X/EAP的企业身份验证,这是一种基于端口的标准网络访问控制,可确保客户端在进行正确身份验证之前无法与资源通信。EAP可扩展身份验证协议不是特定的身份验证机制,它是一种身份验证框架,超过40中不同的EAP身份验证方法得到广泛支持。并非所有的EAP方法都是安全的,例如EAP-MD5和LEAP的预发布EAP也是可破解的

5、PEAP

受保护的可扩展身份验证协议将EAP方法封装在提供身份验证和可能加密的TLS隧道中,EAP设计为物理通道,通常不加密,peap为eap提供加密

6、LEAP

轻量级可扩展身份验证协议‘是针对WPA的TKIP的思科专有替代方案’

7、Mac过滤器:授权无线客户端接口Mac地址的列表,无线接入点使用该Mac地址来阻止对所有未授权设备的访问。

8、TKIP协议:被设计为WEP的替代品、不需要替换传统的无线硬件

9、CCMP:创建CCMP以替换WEP和TKIP/WPA、CCMP使用带有128位密钥的AES

天线放置

天线类型、调整功率电平控制(提高信号强度)

WPS:WiFi保护设置是无线网络的安全标准

使用强制门户(重定向到门户网站要求输入验证信息再进行访问)

一般WiFi安全程序:(更改默认密码等,ssid唯一,使用防火墙隔开wap和有线网络、使用入侵检测系统IDS、加密客户端到wap之间的传输即使用VPN连接)

无线攻击

战争驾驶:使用检测工具寻找无线网络信号的行为

战争粉化:是一种极客涂鸦、用无线网络存在的信息来物理标记一个区域的方法

重放:是捕获通信的重传、以期获得对目标系统的访问

IV:iv代表初始化向量,是随机数的数学和加密术语,大多数现代加密功能使用iv来降低可预测性和可重复性。从而提高其安全性

恶意接入点:在站点调查期间通常发现的安全问题是存在恶意无线接入点。攻击者趁机进入公司种植一个流氓接入点、另外就是吸引新的客户端,将自己的无线名称设置成和目标站点名称相近

邪恶双胞胎:是一种网络攻击、其中黑客操作虚假接入点、该接入点将根据客户端设备的连接请求自动克隆接入点的身份、每次设备成功连接到无线网络时,它都会保留无线网络配置文件。这些配置文件用于当设备处于相关基站的范围内是自动重新连接到网络,导致信息被恶意的基站盗用信息。会导致窃听通信和会话劫持、数据操纵凭据被盗和身份盗用

防火墙:

静态数据包过滤防火墙:通过检查消息头中的数据来过滤流量、被称为第一代防火墙,运行在第三层网络层

应用级网关防火墙也称为代理防火墙、是第二代防火墙,在OSI的应用层第七层运行

电路级网关防火墙:在OSI模型的会话层第五层运行socks是电路级网关防火墙的常见实现方式,也称为电路代理电路级网关防火墙被称为第二代防火墙,因为它代表了对应用级网关防火墙概念的修改

状态检查防火墙:被称为第三代防火墙、在osi模型的网络层和传输层即第三和四层运行,状态检查防火墙能为授权用户和活动授予更为广泛的访问权限,并且主动监视和阻止未经授权的用户和活动。

深度数据包检测防火墙:深度数据包检测DPI防火墙是一种过滤机制,通常在应用程序层运行、DPI过滤能够阻止有效通信负载中的域名、恶意软件、垃圾邮件或其他可识别元素。通常与应用层防火墙和状态检测防火墙集成在一起

下一代防火墙:出防火墙外还包含多种安全功能,集成组件可包括IDS、IPS等(多宿主防火墙:至少两个接口过滤流量,因此具备ip转发功能)

端点安全:端点安全性时每个单独的设备必须保持本地安全性的概念,无论其网络或电信信道是否也提供安全性,有时这表示为终端设备负责其自身的安全性。

传输介质:

两类同轴电缆:细网和粗网

细网:也称为10Base2,通常用于将系统连接到粗网布线的主干中继线,细网可以跨越185米的举例,并且提供高达10Mbps的吞吐量

粗网:也称为10Base5,可以跨越500米,最高吞吐量达10Mbps

基带和宽带电缆

基带电缆一次只能传输一个信号,宽带电缆可以同时传输多个信号。

双绞线:

外部保护套下面的导线周围有金属箔包装,则该导线称为屏蔽双绞线(STP)、该箔片提供额外的外部电磁干扰保护,没有箔的双绞线称为非屏蔽双绞线(UTP)、UTP最长用于10BaseT、100BaseT、1000BaseT

线的扭曲缠绕提供了对外部射频和电磁干扰的保护,并且减少了线对之间的串扰。

网络拓扑:

环形拓扑:唤醒拓扑将每个系统连接为圆上的点,连接介质用作单向传输回路,一次只有一个系统可传输数据。

总线拓扑:总线拓扑将每个系统连接到干线或主干电缆。总线上的所有系统都可以同时传输数据,这可能导致冲突,当两个系统同时传输到数据时会发生冲突:信号相互干扰。为避免这种情况,系统采用冲突避免机制,该机制基本上监听其他任何当前发生的流量,当听到流量,系统会等待片刻并再次收听,如果没有听到流量,系统将发送其数据。总线拓扑的好处是,如果单个段发生故障,则其他所有段上的通信将继续,不会间断,但是中央干线仍然存在单点故障。

总线拓扑有线型和树形

星型拓扑:采用集中式连接设备,该设备可以是简单的集线器或交换机。通常星型拓扑比其他拓扑使用更少的线,并且更容易识别损坏的电缆。

网状拓扑:网络拓扑使用多个路径将系统连接到其他系统,全网状拓扑将每个系统连接到网络上的其他所有系统,部分网状拓扑将许多系统连接到其他许多系统,网状拓扑提供与系统的冗余连接,及时多个段出现故障也不会严重影响连接。

无线通信与安全:

1、无线通信概念

无线通信使用无线电波在一定距离上传输信号,无线电波频谱数量是有限的,因此,必须要妥善管理,以防止多个频谱同时使用时相互干扰。

2、手机:蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与封我电话运营商的网络以及其他蜂窝电话设备或互联网进行交互。

3、蓝牙或IEEE802.15个人局域网是无线安全问题的另一个领域,用于手机、鼠标、键盘、全球定位系统设备以及许多其他接口设备和外围设备的耳机通过蓝牙连接,其中主设备扫描2.4GHZ无线电频率以查找可用设备,然后一旦发现设备,使用四位数pin码来授权配对,

蓝劫:允许攻击者向你的设备发送类似短消息服务的消息,蓝牙侵吞允许黑客在你不知情的情况下与你的蓝牙设备连接,并且冲中提取信息

蓝牙窃听:是一种攻击,可让黑客远程控制蓝牙设备的功能,这可能包括打开麦克风以将收集用作音频bug的功能。蓝牙通常只有30英尺的有效范围,但有些设备可以在100米以外的地方运行

RFID:射频识别是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术,RFID可从相当远的距离触发/供电和读取,RFID可以连接到设备或集成到其结构中。

NFC:近场通信是在非常接近的设备之间建立无线电通信的标准

无线电话:无线电话代表了一个经常被忽略的安全问题,无线电话设备为使用任何一种未经许可的频率,换言之,900Mbps,2.4GHZ或5GHZ,这三种未经许可的频率范围被许多不同类型的设备使用,如无线电话,婴儿监视器,蓝牙和无线网络设备,人可以轻易的窃听无线电话上的对话,因为信号很少被加密,使用频率扫描仪,任何人都可以收听你的对话

移动设备:随着智能手机和其他移动设备越来越方便的与互联网以及企业网络进行交互,它们面领着越来越大的安全风险,移动设备支持存储卡,可用使用恶意代码将机密数据传输到组织外部。

局域网技术LAN

LAN技术有三种主要类型:以太网,令牌环和FDDI,还有一些其他局域网技术

以太网:以太网是一种共享介质LAN技术(也称为广播技术),这意味着它允许多个设备通过相同的介质进行通信,但要求设备轮流通信并且检测冲突和避免冲突。

令牌环:

令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。令牌在LAN的所有成员之间以逻辑循环行进。令牌环性能有限,与以太网相比成本较高

光纤分布式数据接口(FDDI):

FDDI是一种高速令牌传递技术,采用两个环,其流量相反

安全通信与网络攻击

安全通信协议

为特殊应用的通信通道提供安全服务的协议称为安全通信协议。

IPsec互联网协议安全使用公钥加密算法,为所有基于IP的协议提供加密、访问控制、不可否认以及身份验证等服务。

kerberos为用户提供单一登录解决方案,并对登入证书提供保护。

ssh:端对端加密技术

信令协议(signal protocol):是一种为语音通信,视频会议以及文本信息服务提供端对端加密服务的加密协议,

安全远程过程调用(S_RPC);是一种身份验证服务

SSL安全套接字层:保护web、email、文件传输协议甚至是telnet流量,这是一种面向会话的协议能实现保密性与完整性保护。

传输层安全tls:与ssl相同,但是采用更强的身份验证方法以及加密协议

身份验证协议:

CHAP(征询握手身份验证协议):是一种应用于点对点协议(PPP)连接上的身份验证协议,chap加密用户名与密码,采用无法重放的挑战-应答对话进行验证。在简历的完整通信会话期间,周期性的重复验证远程系统

PAP密码身份验证协议:是一张服务于PPP点对点协议的标准化身份验证协议,PAP使用明文传输用户名与密码,不提供任何形式的加密,只提供简单的传输途径。

EAP可扩展身份验证协议:是一种身份验证框架而不是真实协议

PEAP受保护的可扩展身份验证协议,在tls隧道中封装了eap协议,peap更优于eap,因为eap假定通道已经受保护了,而peap自身实现了安全性,peap用于保护802.11无线连接上的安全通信,采用peap技术的又WiFi受保护访问以及wpa2

语音通信安全:

VoIP网络电话:是一种将语音封装在ip包当中的技术,该技术支持在TCP/IP网络中打电话

srtp安全实时传输协议也成为了安全RTP是RTP实时传输协议的安全改进版本,也应用于很多VoIP通信中,srtp的目的是通过健壮的加密及可靠的身份验证,尽可能降低VoIP遭受dos攻击的风险。

社会工程:心怀恶意的人能通过社会工程的方法来攻击语音通信。

欺骗与滥用:另一种语音通信威胁是专用交换机PBX的欺骗与滥用,电话飞客(phreaker)

多媒体合作:多媒体合作就是使用多种支持多媒体的通信方法,提高远距离的合作(身处不同地方的人参与同一个项目)

远程会议:远程会议技术可应用于任何产品、硬件或软件,支持远程实体间进行交互。

即时通信:IM及时通信是一种实时通信工具,能为互联网上任何地方的用户提供基于文字的聊天功能。

管理邮件安全:

邮件安全目标:

对邮件来说,在互联网中使用的基本功能是进行有效的消息传递,但缺乏能提供保密性,完整性或可用性的控制。如果要提高邮件的安全性,需要满足下列一种或多种目标:

1、提供不可否认性

2、消息只限制收件人可以访问(即隐私与保密性)

3、维护消息的完整性

4、身份验证和验证消息源

5、验证消息的传递

6、对消息或附件中的敏感内容进行分级

邮件的安全源于高层管理者批准的安全策略,在安全策略中必须解决:

1、可接受的邮件使用策略

2、访问控制

3、隐私

4、邮件管理

5、邮件备份与保留策略

邮件安全问题:

1、邮件未进行加密存储,全部以明文形式呈现

2、使用邮件传输病毒木马等内容

3、邮件炸弹,发送大量邮件造成dos拒绝服务攻击

邮件安全解决方案:

保证邮件安全并不是难事,但是采取的措施要依据传输信息的价值及保密性要求而定。可采用:s/MIME、MOSS、PEM及PGP来保证邮件安全

安全/多用途互联网邮件扩展(S/MIME):是一种邮件安全标准,能通过公钥加密及数据签名,为邮件提供身份验证及保密性保护。身份验证时通过X.509数字证书完成的。通过公钥加密标准pkcs来提供隐私保护,采用S/MIME能形成两种类型的消息,签名消息与安全信封。签名消息提供完整性,发件人身份验证及不可否认,安全信封消息提供完整性,发件人身份验证及保密性

MIME对象安全服务(MOSS):能为邮件提供身份验证、保密性、完整性及不可否认保护。

隐私增强邮件PEM:PEM是一种邮件加密技术,能提供身份验证、完整性、保密性以及不可否认保护。

域名关键字标识邮件DKIM:通过验证域名标识,确定来自组织的邮件是否有效

良好隐私PGP:是一种对称秘钥系统,使用大量的加密算法加密文件以及邮件消息‘’

SMTP网关的tls:使用TLS上 的安全SMTP,该技术会在邮件服务器之间建立加密连接,否则就会使用明文传输

发件人策略框架(SPF):组织可通过为SMTP服务器配置SPF,来防止垃圾邮件以及邮件欺骗。SPF通过检查发送消息的主机是否获得SMTP域名拥有者的授权,来确定消息的有效性。

远程访问安全管理:

远程访问安全计划:

远程链接技术:每种连接都有独特的安全问题,对于所选择连接的各个方面要进行全面检查,可能的连接包括蜂窝/移动通信、调制解调器、数字用户线路(DSL)、综合业务数字网(ISDN)、无线网络、卫星通信以及有限调制解调器

传输保护:VPN、ssl、TLS、SSH、IPsec

身份验证保护:除了要保护数据流量,还要确保所有登录凭据的安全,需要采用身份验证协议以及必要的中心化远程访问身份验证系统。这可能包括密码身份验证协议(PAP)、征询握手身份验证协议(CHAP)、可扩展身份验证协议(EAP或其扩展PEAP、LEAP)、远程身份验证拨入用户服务(RADIUS)、以及终端访问控制器访问控制系统(TACACS+)

远程用户助手:远程访问用户有时可能需要技术上的协助,所以必须提供尽可能有效的获得协助的方法,比如,解决软硬件问题以及培训问题

拨号上网协议:当建立了远程链接网络,必须要使用协议来管理链路的创建,以及管理供其他协议使用的统一通信基础,两个主要的拨号协议:PPP与SLIP,都提供链路管理功能,不只是对于真实的拨号连接,对于一些VPN链路也是

PPP点对点协议:是一种全双工协议,用于在各种非局域网环连接上传输TCP/Ip数据包,如调制解调器、ISDn,VPN,帧中继等,chap、pap可保证ppp协议的身份验证安全,同时ppp是slip的替代品,不只是支持tcp/ip、更支持许多其他的LAN

slip串行线路互联网协议:是一种比较早的点击数,主要为了在异步串行链接中,进行TCP/IP通信。

中心化远程身份验证服务:

中心化远程身份验证服务如RADIUS、TACACS+、能提供这道安全防护。该服务实现了远程用户的身份验证与授权过程与本地用户的分离。这种分离对于安全是非常重要的,因为如果RADIUS。TACACCS+服务器被攻破,只有远程链接会受到影响,而不会搏击网络的其他地方。

RADIUS:用于为远程拨号连接提供中心化的身份验证服务。网络中部署一台RADIUS服务器,远程访问服务器会将拨号用户的登录凭证传递给RADIUS服务器进行身份验证。

TACACS+:是radius的一种替代方案,TACACS有三个版本:原始的TACACS、扩展TACACS(XTACACS)以及TACACS+,TACACS整合了身份验证和授权过程,XTACACS实现了身份验证、授权和记账过程的分离,TACACS+对XTACACS进行了改进,加入了双因素身份验证,TACACS+是该系列产品线中最新也是最重要的版本。

虚拟专用网

VPN是一种通信安全隧道,能支持在不可信网络中,进行点对点的身份验证和数据传输

常用的VPN协议:

1、点对点隧道协议:PPTP

工作在数据链路层,用于IP网络,PPTP在两个系统之间建立一条点对调隧道,并封装ppp数据帧,通过ppp同样支持的身份验证协议,为身份验证流量提供保护

微软的征询握手身份验证协议(MS-CHAP)

征询握手身份验证协议(CHAP)

密码身份验证协议(PAP)

可扩展身份验证协议(EAP)

Shiva密码身份验证协议(SPAP)

PPTP的初始隧道协商过程是不加密的,一次你在简历会话的数据包中包含发送者以及接受者的ip地址-也可能包含用户名和经过散列的密码,这些信息可能被第三方拦截,在VPN中可能会使用PPTP,但现在经常被L2TP所取代,其使用IPsec为VPN提供流量加密功能,现在使用PPTP协议时,采用的是微软的定制版本,使用微软的点对点加密mppe进行数据加密,并且支持多种安全身份验证选项,PPTP不支持radius和TACACS+

第二层转发协议(L2F)第二层隧道协议(L2TP)

L2F不提供加密,和快被L2Tp所取代,L2Tp缺少内置的加密框架,但通常采用IPsec作为安全机制,同时L2TP支持radius和TACACS+进行身份验证,

IP安全协议:

现在最常用的安全协议是IPsec,IPsec既是单独的VPN协议,也是L2TP的安全机制,并且只能用于IP流量。IPsec只能工作在ip网络中,能够提供安全身份验证以及加密的数据传输

身份验证头(AH):提供身份验证、完整性及不可否认性保护

封装安全载荷(ESP):ESP提供加密,保护传输数据的安全性,也能提供有限的身份验证功能。工作在网络层,能用于传输模式或隧道模式。在传输模式下,ip报文数据进行加密但是报文头部不加密,在隧道模式下,整个IP报文都进行加密,并且会添加新的报文头部,来管理报文在隧道中的传输

虚拟局域网:VLAN:使用VLAN保证必要的通信,组织/拒绝任何不必要的通信,要牢记,拒绝是常态,允许是例外,不只是防火墙规则的指导原则,对通用安全也同样适用。

虚拟化:虚拟化技术用于在单个计算机系统内存中创建一个或者多个操作系统。该机制支持在任何硬件上运行任何OS。

虚拟化网络:OS虚拟化的概念引出了其他虚拟化主题,如虚拟化网络,虚拟化网络或“网络虚拟化”,是将硬件与软件的网络化组件,组合到单一的完整实体中,形成的系统能够通过软件来控制所有网络功能:管理,流量整形,地址分配。

网络地址转换:使用NAT能实现:隐藏内部用户的身份,屏蔽私有网络的设计,降低公网IP地址的租用费用,NAT是一种地址转换技术,能将报文头中的内部IP地址,转换为可在互联网上传输的公网IP地址。NAT只能用于IP网络,工作在网络层。

私有地址:

10.0.0.p-10.255.255.255(全A类地址)

172.16.0.0-172.31.0255.255(16个B类地址)

192.168.0.0-192.168.255.255(256个C类地址)

静态与动态NAT;

交换技术:

电路交换:最初源于公用电话交换网络中对电话呼叫的管理。

分组交换:将信息或者通信内容分为很小的段,并且通过中间网络将这些分组传送到目的地。分组交换系统,在同一个物理连接中,可能会传输来自不同地址的数据,这就存在泄露,破坏和窃听的风险,所以需要恰当的连接管理,流量隔离以及加密技术,来保护共享物理路径的安全,电路交换技术需要依赖于特定的物理连接。

虚电路:

虚电路也成为了通信路径,是一条逻辑路径或电路,在分组交换网络两个特定端点之间建立,分组交换系统中存在:PVC永久虚电路以及SVC交换式虚电路。

PVC永久虚电路会一直保持逻辑电路并时刻等待用户发送数据,SVC则在需要使用时会利用当前可用的最优路径建立虚电路。

wan技术:

WAN广域网将远距离网络,节点或单独的设备连接起来,这能改善通信、提高效率、但是也会给数据带来风险。

专线:一直处于数据传输或等待数据传输状态,客户的LAN与专用wan链路之间的线路一直是打开或者建立的,专线连接只连接两个端点。

非专用线路:只在需要传输数据时才建立连接,使用相同类型的非专用线路也能将任何远程系统连接起来。

DSL数字用户线路使用升级的电话网络,为用户提供144Kbps-20Mbps或更高的传输速率。

WAN连接技术:

1、x.25WAN连接

使用永久虚电路PVC在两个系统或网络间建立专门的点对点连接,x.25是帧中继技术的前身,比帧中继性能较差,吞吐率较小。

2、帧中继连接

帧中继也是一种分组交换技术,与x.25不同的是,帧中继在单一WAN运营商服务连接上支持多条PVC,帧中继是一种第二层技术,采用分组交换技术在通信端点之间建立虚电路。

3、ATM异步传输模式

是一种信元交换WAN通信技术

4、SMDS交换式多兆位数据服务是一种无连接的分组交换技术,smds通常用于连接多个LAN组件MAN或者WAN,SMDS是用于远程连接通信不频繁LAN的首选技术。

5、同步数字系列与同步光纤网

SDH同步数字系列与SONET同步光纤网络是光纤高速网络标准。

6、专用协议

一些wan技术需要额外的专用协议,来支持各类专用系统或者设备

SDLC同步数据链路控制,应用在专线的永久物理连接上,用于连接大型机,如IBM的系统网络架构SNA系统。

HDLC高级数据链路控制,时sdlc的改进版本,工作在第二层数据链路层,支持流量控制,错误检测与纠正

拨号封装协议:

点对点协议PPP是一种封装协议,用于在拨号或者点对点链路上支持IP流量的传输,PPP支持多厂商的串行链路WAN设备间的互操作。

多种安全控制特征:

透明性:

透明性是服务、安全控制或是访问控制的一个特征,确保对用户不可见。透明性常作为安全控制的一项必要特征,安全机制越透明,用户就不可能绕过它。

验证完整性:

为验证传输的完整性,可采用称为hash值的校验和技术。

传输机制:

传输日志是一种专注于通信的审计技术。

安全边界:

安全边界是任何两个具有不同安全需求的区域、子网或环境的交界线。

将安全策略转换为真实的控制时,要分别考虑每个环境与安全边界。并且由此归纳出可供选择的安全机制,这样能为具体环境和情况提供最合理、最具成本效益、最有效率的安全方案。

防止或减轻网络攻击

与IT基础设施中其他脆弱部分一样,通信系统也易于收到攻击,理解威胁以及可能应对措施时确保环境安全的重要方面。

DOS与DDOS

窃听:

假冒/伪装:

重放攻击:

修改攻击:捕获的报文经过修改后又被发送给系统。

地址解析协议欺骗:

DNS毒化欺骗以及劫持:

dns毒化和dns欺骗都称为解析攻击,域名系统毒化是由于攻击者工改了dns系统中的域名ip地址的映射信息,将流量重定向到流量系统或用于执行拒绝服务攻击。

超链接欺骗:该攻击也将流量重定向到流氓或假冒系统上,或者只是让流量偏离目标系统。

你可能感兴趣的:(CISSP备考,web安全,网络,安全)