4通信和网络安全
4.1 通信
通信是数据在系统之间的电子传输,采用模拟、数字或无线传输类型。数据沿着铜线、同轴电缆、光纤、空气、电话公司的公共交换电话网PSTN或服务供应商的光缆、交换机和路由器流动
国际通信协会ITU
国际标准化组织ISO
4.2 开放系统互联参考模型
网络协议是决定系统如何在网络中通信的规则标准集
计算机通信方式 物理通道(电信号通过线缆从一台计算机传递到另一台计算机);逻辑通道(封装)
对每层内的功能进行模块化的好处在于:不同的技术、协议和服务能够相互交互,并且提供支持通信的适当接口
应用层:提供文件传输、消息交换、终端会话以及更多功能
应用需要通过网络发送数据,则将指令和数据发送至这一层上支持该应用的协议
简单邮件传输协议SMTP、超文本传输协议HTTP、文件传输协议FTP、Telnet、普通文件传输协议TFTP(小型文件传输协议)、简单网络管理协议SNMP、行式打印机后台程序LPD
表示层:没有协议,只有服务
接收来自应用层的消息,提供了一种其结构能被终端系统正确处理的数据表示方式,将文件转换成不同的标准文件格式
不考虑数据的含义,只关系数据格式和语法
标准格式的转换、处理数据压缩和加密问题
会话层:
负责在两个应用程序之间建立连接,提供进程之间的通信通道,需提供安全身份验证功能
连接建立、数据传输和连接释放
在该层上工作的协议:结构化查询语言SQL、网络基本输入输出系统NetBIOS、远程过程调用RPC、密码身份验证协议PAP
工作模式:单工模式、半双工模式、全双工模式
传输层:控制计算机到计算机的通信
提供端对端的数据传输服务,在两台计算机之间建立一个逻辑连接
工作的协议有:传输控制协议TCP(Transmission Control Protocol)、用户数据报协议UDP、安全套接字层SSL、序列包交换SPX(Sequenced Packet Exchange)
网络层:
在数据包的首部插入信息,将数据正确地编址和路由,并将数据实际路由至正确目的地
工作的协议:网际协议IP、网际控制消息协议ICMP、路由信息协议RIP、开放最短路径优先OSPF、边界网关协议BGP、互联网组管理协议IGMP、网际数据包交换IPX
数据链路层:
数据包转换成局域网和广域网技术的二进制格式,以便沿线路正确传送
LAN和WAN使用不同的协议、网络接口卡NIC、线缆和传输方法
两个子层:
逻辑链路控制层LLC;负责控制数据流和检查错误
介质访问控制MAC(Media Access Control);确定网络是以太网、令牌还是ATM
针对以太网的IEEE MAC规范是802.3,令牌环802.5,无线LAN是802.11等
工作的协议:点对点协议PPP、第二层隧道协议L2TP、FDDI、ATM、以太网和令牌环、地址解析协议ARP、逆向地址解析协议RARP、串行线路网际协议SLIP
每种网络技术(以太网、ATM、FDDI等)都定义了支持网络通信所需的兼容物理传输类型(同轴电缆、双绞线、光纤和无线),定义相应的电信号和解码模式。
网卡桥接数据链路层与物理层
物理层:
根据所使用的网络技术,网卡驱动程序在数据链路层对位进行编码,并在物理层将其转变为电信号状态,然后通过线缆传送
将位转换为用于传送的电压,控制同步、数据传送速率、线路噪声与介质访问
该层上的标准接口:10BASE-T、10BASE2等、综合服务数字网络ISDN、数字用户线路DSL、同步光纤网络SONET
路由器,工作在网络层;网桥(数据链路层);中继器(物理层)
多层协议:
(1)分布式网络协议3 DNP3
电力和自来水等公用事业中大量使用的数据采集与监视控制系统SCADA的核心是DNP3协议
(2)控制器区域网络总线CAN bus
运行在大部分汽车上
4.3 TCP/IP模型
1、TCP和UDP
TCP 全双工、可靠的、面向连接、支持包序列、流量和拥塞控制、错误检测和纠正
UDP 无连接,侧重传输效率
使用端口与上面的层通信并跟踪同时发生的不同会话,也用于确定其他计算机如何访问服务的机制
套接字:IP+端口号,IP知道该去哪,端口号知道如何与其他计算机的服务通信
SMTP(端口25) FTP(端口20和21) HTTP(端口80) Telnet(23) SNMP(161和162)
端口0-1023仅可供特权系统或根进程使用;1024—49151注册端口;49152-65535动态端口
(1)TCP握手 端口号16bits
三次握手,系统之间建立虚拟连接,协商某些参数、数据流、窗口系统、错误检测和选择
1.主机向接收方发送同步SYN包
2.接收方发送SYN/ACK应答请求
3.发送主机发送应答ACK包进行应答
SYN flood:攻击者发送大量SYN包给系统,导致系统可用的TCP连接资源耗尽(使用SYN缓存缓解)
TCP会话劫持:TCP握手过程约定TCP序列号插入数据包首部,若攻击者预测TCP序列号,则能欺骗系统接管连接
应用层(消息)—传输层(TCP分片/UDP数据报文)—网络层(数据包)—数据链路层(帧)—物理层(位)
消息通过TCP传输,则称为“分片”;如果通过UDP传输,称为“数据报文”
2、IP寻址
IPv4 32位 IPv6 128位 由主机部分和网络部分组成,子网掩码区分地址组
A类 0.0.0.0——127.255.255.255(一字节网络部分,首位固定为0)
B类 128.0.0.0——191.255.255.255(两字节网络,前两位固定为10)
C类 192.0.0.0——223.255.255.255(三字节网络,前三位固定为110)
D类 用于多播地址
E类 保留
子网:从IP地址主机部分创建,将主机部分进一步分解成逻辑分组,减少管理难题,改善通信性能,潜在地提高安全性
无类别域间路由CIDR即超网
生存时间TTL:每经过一个路由器,TTL值减1
IP报头中包含一个协议字段,17代表UDP 1(ICMP)、2(IGMP)、6(TCP),51(AH)
3、IPv6
支持更多的寻址层次结构级别;提高多播路由的可扩展性
任播地址的地址,用于向节点组中的任一节点发送数据包
指定了支持身份验证、数据完整性和机密性的扩充部分
IPv4与IPv6通信:通过隧道技术完成,把IPv6封装在IPv4中,或者执行自动地址转换
(1)6to4隧道:把IPv4地址数据嵌入本地端的IPv6地址中
(2)Teredo:使用UDP封装自动隧道技术,NAT地址转换不受影响
(3)站点内自动隧道寻址协议ISATAP:把IPv4当做一个虚拟的IPv6本地链接,把IPv4映射到本地IPv6地址
前两个是站间隧道机制,用于不同网络间的链接;ISATAP是站内机制,用户特定网络内
4、第二层安全标准
虚拟专用网络VPN提供网络层保护
802.1 AE是IEEE MAC安全标准(MACSec),用来提供数据保密性、完整性和数据源认证;只有经过认证的可信设备才能通信,未经授权的设备不允许通过网络通信,有助于防止攻击者安装恶意设备;MACSec对帧进行解密,计算帧的完整性校验值,判断帧是否为篡改
802.1 AR为每个设备定义全局唯一的安全标识符,该标识符通过公钥加密和数字证书与设备绑定,提供数据加密、完整、原始身份验证
802.1 AF为用于数据加密的会话密钥实施密钥协商功能
5、汇聚协议
协议开始独立,随着时间推移封装在另一个协议中
光纤通道以太网PCoE,允许光纤通道帧通过以太网网络,用于存储区域网络SAN
多协议标签交换MPLS
互联网小型计算机系统接口iSCSI
4.4 传输类型
物理数据传输
1、模拟和数字 数据传输方式
信号是指以物理形式从一个地方向另一个地方传送信息的方式
模拟信号:波纹形式,振幅和频率
数字信号:二进制表示电脉冲,远距离传输更可靠
调制解调器:负责把数字数据调制成模拟信号
2、同步和异步 传输控制机制
同步:通过由时钟脉冲启动的时间序列同步数据传输;具有强大的错误检测,通过循环冗余校验CRC实现;用于高速高质量传输
异步:使用开始和停止位进行通信;使用校验位控制错误,每个字节需要开始、停止、奇偶校验指令
3、宽带和基带 一次能有多少通信会话发生
基带:使用整个通信通道进行传输,一次只允许传输一个信号
宽带:将通信通道分为若干不同且独立的通道,传输不同类型的数据,运载多个信号;划分频率,并把数据调制到各个频率通道
4.5 线缆 电信号以电流方式沿线缆传播
布线具有与之相关联的带宽和数据吞吐速率值,带宽指示它采用的最高频率范围,数据吞吐速率是经过压缩和编码之后实际通过线缆的数据量。带宽可视为管道的大小,数据吞吐速率则是通过管道的实际数据量。
(1)同轴电缆
用作传输无线射频信号
与双绞线相比,更加抗电磁干扰EMI,提供更高的带宽,更大的线缆长度;但是双绞线更便宜
可克服双绞线的长度问题
(2)双绞线 具有被外保护层包裹的隔离铜线
屏蔽双绞线STP:线缆存在外围金属屏蔽层
非屏蔽双绞线UTP:没有屏蔽层,最不安全的网络互连线缆
价格便宜,易于使用;但铜线对电流阻抗大,电流传播一段距离后引起信号衰减
(3)光缆
光纤使用一种玻璃,运载光波,具有更高的传输速率,信号传送更远,难以被偷听,更安全,极为昂贵,不会受到衰减和EMI影响
光缆通常在主干网络和需要高速数据传输的环境中使用,大多数网络使用UTP,然后连接到使用光纤的主干网络
传输模式:
单一模式:小玻璃芯,用于远距离高速数据传输,与多模式相比,不易衰减
多模式:大玻璃芯,比单芯承载更多数据,衰减快,适用于短距离传输
光探测器:把光信号转换回电子信号
布线问题:噪声、衰减(传输数据的频率越高,线缆的长度应越短,保证衰减不会导致问题,标准规定线缆最大长度不得超过185米,若超过则需要使用中继器)、串扰(一根线路上的电信号溢出到另一根线路上)、线缆的阻燃率
(增压空间:房屋天花板和上一层楼地板之间的空间)
4.6 网络互连基础
可扩展性、冗余、性能、安全、可管理性和可维护性
网络由路由器、交换机、web服务器、代理、防火墙、名称解析技术、协议、IDS、IPS、存储系统、抗恶意程序软件、VPN、非军事区DMZ、数据丢失防护解决方案、电子邮件系统、云计算、web服务、身份验证服务、冗余技术、公钥基础设施、专用分组交换机PBX等构成。
1、网络拓扑 计算机和设备的物理安排
环形拓扑ring:单向传输链路组成闭合回路
总线型拓扑bus:线性和树状,一根线缆跨越整个网络,线缆会成为单一故障点;以太网采用总线型和星型拓扑
星型拓扑:所有节点连接到一台集中式设备,每个节点到集中式设备都有一条专用链路,集中式设备需提供足够的吞吐量,潜在的单一故障点
网状型拓扑mesh:每个节点都与其他所有节点直接相连,提供冗余路径
2、介质访问技术
网络拓扑决定使用的物理介质类型以及如何建立连接,介质访问技术处理系统如何在介质上通信的问题
LAN访问技术建立计算机在网路上如何通信、如何处理错误、采用何种物理介质、数据帧最大传输单元MTU(Maximum Transmission Unit)大小等规则
网络传输通道是该网络上所有系统和设备所必须共享的主要资源,可