第11章 安全网络架构和保护网络组件

11.1 OSI模型

11.1.1 OSI模型的历史

20 世纪70 年代后期开发

开发OSI协议是为给所有计算机系统建立通用的通信结构或标准。

11.1.2 OSI功能

7 应用层

6 表示层

5 会话层

4 传输层

3 网络层

2 数据链路层

1 物理层

OSI模型表达了网络的实际运行方式。

基于OSI模型的协议能通过识别远程通信实体以及验证所接收数据的来源来支持一种身份验证。

11.1.3 封装/解封

基于OSI模型的协议采用“封装“机制。

封装 是将每个层从上面的层传递到下面的层之前为每个层接收的数据添加头部也可能添加尾部。

当消息被封装在每一层时,前一层的头和有效载荷组合成当前层的有效载荷。

解封 数据向上移动时的逆操作称为解封。

封装/解封过程如下:

(1) 应用层创建一条消息。

(2) 应用层将消息传递给表示层。

(3) 表示层通过添加信息头来封装消息。

信息通常仅在消息的开头(称为头部)添加;但某些层还会在消息末尾添加内容(称为尾部)。

第11章 安全网络架构和保护网络组件_第1张图片

(4) 向下传递消息并添加特定层的信息的过程将一直持续到消息到达物理层。

(5) 在物理层,消息被转换为用比特表示的电脉冲,并通过物理连接传输。

(6) 接收计算机从物理连接中捕获比特,在物理层中重新创建消息。

(7) 物理层将消息从位转换为数据链路帧,将消息发送到数据链路层。

(8) 数据链路层剥离其信息并将消息发送到网络层。

(9) 执行解封过程直到消息到达应用层。

(10) 当邮件到达应用程序层时,邮件中的数据将发送给目标收件人。

每层删除的信息包含指令、校验和等,只能由最初添加或创建信息的对等层理解。

此信息用于创建逻辑通道使不同计算机上的对等层能够通信。

第11章 安全网络架构和保护网络组件_第2张图片

发送到协议栈第七层的信息被称为数据流。它保留数据流的标签(有时是PDU的标签),

直至它到达传输层(第4层),在那里被称为段(TCP)或数据报(UDP协议)

在网络层(第3层)中,它被称为数据包

在数据链路层(第2层)中,它被称为

在物理层(第1层)中,数据已被转换为比特,以通过物理连接介质传输。

11.1.4 OSI模型层次

1. 物理层

物理层(第1层)接受来自数据链路层的帧,并将帧转换为比特,以便通过物理连接介质进行传输。

物理层还负责从物理连接介质接收比特并将它们转换为数据链路层使用的帧。

物理层包含设备驱动程序,它告诉协议如何使用硬件来传输和接收比特。

位于物理层的电气规范、协议和接口的标准如下所示:

• EIA/TIA-232 和EIA/TIA-449

• X.21

• 高速串行接口(HSSI)

• 同步光纤网络(SONET)

• V.24 和V.35

物理层通过设备驱动程序和这些标准来控制吞吐率、处理同步、管理线路噪声和介质访问,

并确定是采用数字信号、模拟信号还是光脉冲通过物理硬件接口传输或接收数据。

在第1层(物理层)运行的网络硬件设备是:网卡(NIC) 、集线器、中继器、集中器和放大器。

2. 数据链路层

数据链路层(第2层)负责将来自网络层的数据包格式化为适当的传输格式。

正确格式由网络硬件和技术决定,

以太网(IEEE 802.3)、令牌环(IEEE802.5)、异步传输模式(ATM)、光纤分布式数据接口(FDDI)和铜线分布式数据接口(CDDI) 。

在数据链路层中,存在基于特定技术的协议,这些协议将数据包转换为格式正确的帧。

格式化帧后,将其发送到物理层进行传输。

数据链路层中的协议:

• 串行线路互联网协议(Serial Line Internet Protocol, SLIP)

• 点对点协议(Point-to-Point Protocol, PPP)

• 地址解析协议(Address Resolution Protocol, ARP)

• 第二层转发(Layer 2 Forwarding, L2F)

• 第二层隧道协议(Layer 2 Tunneling Protocol, L2TP)

• 点对点隧道协议(Point-to-Point Tunneling Protocol, PPTP)

• 综合业务数字网(Integrated Services Digital Network, ISDN)

对数据链路层内的数据处理包括将硬件源和目标地址添加到帧

硬件地址是MAC地址,是一个6字节(48位)的二进制地址并以十六进制表示法编写(如00-13-02-1F-58-F5) 。

前3个字节(24位)地址表示网卡制造商。

这称为组织唯一标识符(OUI)。OUI在电气和电子工程师协会(IEEE) 注册,并控制其发行。

OUI可用于通过IEEE网站发现网卡的制造商,网址是http://standards.ieee.org/regauth/oui/index.shtml 。

最后3个字节(24位)表示制造商分配给该接口的唯一编号。

在同一本地以太网广播域中,每个设备的MAC地址都唯一;否则会发生地址冲突。

供应商的错误会产生重复的MAC地址:必须更换网卡硬件将MAC地址修改成不冲突的地址

地址解析协议(ARP) 用于将IP地址解析为MAC地址。

使用MAC地址将网段上的流量从其源系统定向到其目标系统。ARP作为以太网帧的有效载荷携带,属于第2层协议。

在第2 层(数据链路层)运行的网络硬件设备是:交换机和网桥。

这些设备支持基于MAC的流量路由。交换机在一个端口上接收帧,并根据目标MAC地址将其发送到另一个端口。

MAC地址目的地用于确定帧是否通过网桥从一个网络传输到另一个网络。

3. 网络层

网络层(第3 层)负责给数据添加路由和寻址信息。

网络层接受来自传输层的段,并向其添加信息以创建数据包。该数据包包括源和目标IP地址。

路由协议位于此层,包括以下内容:

• 互联网控制消息协议(Internet Control Message Protocol, ICMP)

• 路由信息协议(Routing Infonnation Protocol, RIP)

• 开放最短路径优先(Open Shortest Path First, OSPF)

• 边界网关协议(Border Gateway Protocol, BGP)

• 互联网组管理协议(Internet Group Management Protocol, IGMP)

• 互联网协议(Internet Protocol, IP)

• 互联网协议安全(Internet Protocol Security, IPsec)

• 网络数据包交换(Internetwork Packet Exchange, IPX)

• 网络地址转换(Internetwork Packet Exchange, NAT)

• IP 简单密钥管理(Simple Key Management for Internet Protocols, SKIP)

网络层负责提供路由或传递信息,但它不负责验证信息是否传递成功(这是传输层的责任)。

网络层还管理错误检测和节点数据流量(即流量控制)。

路由器和桥接路由器(brouter)属于在第3层运行的网络硬件设备。

路由器根据速率、跳数、首选项等确定数据包传输的最佳路径。

路由器使用目标IP地址来指导数据包的传输。

桥接路由器主要在第3层工作,但必要时也可在第2层工作,会首先尝试路由,如果路由失败则默认为桥接。

路由协议有两大类:距离矢量和链路状态。

距离矢量路由协议,维护目标网络的列表,以及以跳数度量的方向和距离度量(即到达目的地的路由器的数量)。

链路状态路由协议,维护所有连接网络的拓扑图,并以此映射来确定到目的地的最短路径。

距离矢量路由协议的常见示例是RIP,而链路状态路由协议的常见示例是OSPF 。

4. 传输层

传输层(第4 层)负责管理连接的完整性并控制会话。

它接受PDU(可指代协议数据单元、分组数据单元或有效载荷数据单元——即在网络层之间传递的信息或数据的容器),来自会话层的PDU被转换为段。

传输层控制如何寻址或引用网络上的设备,在节点(也称为设备)之间建立通信连接并定义会话规则。

会话规则指定每个段可包含多少数据,如何验证传输的数据的完整性,以及如何确定数据是否已丢失。

会话规则是通过握手过程建立的,因此通信设备都遵循该规则。

传输层在两个设备之间建立逻辑连接,并提供端到端传输服务以确保数据传输。

该层包括:用于分段、排序、错误检查、控制数据流、纠错、多路复用和网络服务优化的机制。

在传输层中运行的协议:

• 传输控制协议(Transmission Control Protocol, TCP)

• 用户数据报协议(User Datagram Protocol, UDP)

• 顺序数据包交换(Sequenced Packet Exchange, SPX)

• 安全套接字层(Secure Sockets Layer, SSL)

• 传输层安全(Transport Layer Security, TLS)

5. 会话层

会话层(第5 层)负责建立、维护和终止两台计算机之间的通信会话。

它管理对话规则或对话控制(单工、半双工、全双工),建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的PDU。

在会话层内运行的协议:

• 网络文件系统(Network File System, NFS)

• 结构化查询语言(Structured Query Language, SQL)

• 远程过程调用(Remote Procedure Call, RPC)

• 通信会话可以按下列三种不同的控制模式之一运行:

单工,单向通信。

半双工,双向通信,但一次只能有一个方向发送数据。

全双工,双向通信,可以同时向两个方向发送数据。

6. 表示层

表示层(第6 层)负责将从应用层接收的数据转换为遵循OSI模型的任何系统都能理解的格式。

它对数据强加了通用或标准化的结构和格式规则。表示层还负责加密和压缩。因此,它充当网络和应用程序之间的接口。

该层允许各种应用程序通过网络进行交互,并通过确保两个系统都支持的数据格式来实现。

大多数文件或数据格式在此层运行,包括图像、视频、声音、文档、电子邮件、网页、控制会话等格式。

下面列出表示层中的一些格式标准:

• 美国信息交换标准码(American Standard Code for Information Interchange, ASCII)

• 扩展二进制编码十进制交换模式(Extended Binary-Coded Decimal Interchange Mode,EBCDICM)

• 标签图像文件格式(Tagged Image File Format,TIFF

• 联合图像专家组(Joint Photographic Experts Group,JPEG)

• 动态图像专家组(Moving Picture Experts Group, MPEG)

• 乐器数字接口(Musical Instrument Digital Interface, MIDI)

7. 应用层

应用层(第7 层)负责将用户应用程序、网络服务或操作系统与协议栈连接。

它允许应用程序与协议栈通信。应用层确定远程通信伙伴是否可用且可访问,还确保有足够资源来支持所请求的通信。

应用程序不在此层内;相反,这里可找到传输文件、交换消息、连接到远程终端等所需的协议和服务。

在该层中可找到许多特定应用程序的协议,例如:

• 超文本传输协议(Hypertext Transfer Protocol, HTTP)

• 文件传输协议(File Transfer Protocol, FTP)

• 行打印后台程序(Line Print Daemon, LPD)

• 简单邮件传输协议(Simple Mail Transfer Protocol, SMTP

• 远程登录(Telnet)

• 普通文件传输协议(Trivial File Transfer Protocol, TFTP)

• 电子数据交换(Electronic Data Interchange, EDI)

• 邮局协议版本3(Post Office Protocol version 3, POP3)

• Internet 消息访问协议(Internet Message Access Protocol, IMAP)

• 简单网络管理协议(Simple Network Management Protocol, SNMP)

• 网络新闻传输协议(Network News Transport Protocol, NNTP)

• 安全远程过程调用(Secure Remote Procedure Call, S-RPC)

• 安全电子交易(Secure Electronic Transaction, SET)

有一个在应用层工作的网络设备或服务,即网关

但应用层网关是特定类型的组件,充当协议转换工具。

例如,IP到IPX网关从TCP/IP获取入站通信,并将它们转换为IPX/SPX以进行出站传输。

应用层防火墙也在此层运行。其他网络设备或过滤软件可观察或修改该层的流量。

OSI 模型七层中每层支持的协议如下:

•• 应用层: HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP3、IMAP、SNMP、NNTP、S-RPC和SET。

• 表示层:加密协议和格式类型,如ASCII、EBCDICM、TIFF、JPEG、MPEG和MIDI。

• 会话层: NFS、SQL和RPC。

• 传输层: SPX、SSL、TLS、TCP和UDP。

• 网络层: ICMP、RIP、OSPF、BGP、IGMP、IP、IPsec、IPX、NAT、SKIP。

• 数据链路层: SLIP、PPP、ARP、L2F、L2TP、PPTP、FDDI、ISDN。

• 物理层: EIA/TIA-232、EIA/TIA-449、X.21、HSSI、SONET、V.24和V.35。

11.2 TCP/IP模型

TCP/IP模型(也称为DARPA或DOD模型)仅由四层组成。

TCP/IP模型的四个层是:

应用层(也称为进程)

传输层(也称为主机到主机)

互联网层(也称为网络互联)

链路层(也称为数据链路或网络接入层。尽管使用网络接口,有时也使用网络访问)

第11章 安全网络架构和保护网络组件_第3张图片

TCP/IP协议套件概述:

最广泛使用的协议套件是TCP/IP,但它不仅是一个协议,而且是一个包含许多单独协议的协议栈。

TCP/I是一种基于开放标准的独立于平台的协议。然而,这既有优势又有缺点。

TCP/IP几乎支持所有操作系统,但会消耗大量系统资源并且相对容易被入侵,因为它的设计初衷是易用性而不是安全性。

第11章 安全网络架构和保护网络组件_第4张图片

保护TCP/IP的安全:

(1)可使用系统之间的虚拟专用网络(VPN)链接来保护TCP/IP 。

VPN链接经过加密,可增强隐私、保密性和身份验证,并保持数据完整性。

用于建立VPN的协议有PPTP、L2TP、SSH、OpenVPN(SSL/TLS VPN)和IPsec。

(2)提供协议级安全性的另一种方法是使用TCP封装器。

TCP封装器是一种可作为基本防火墙的应用程序,它通过基于用户ID或系统ID限制对端口和资源的访问。

使用TCP封装器是一种基于端口的访问控制。

1. 传输层协议

TCP/IP的两个主要传输层协议是TCP和UDP

TCP是一种面向连接的全双工协议,而UDP是一种无连接单工协议。

在两个系统之间使用端口建立通信连接。TCP和UDP都有65536个端口。

由于端口号是16位二进制数,因此端口总数为2^16 或65536, 编号为0到65535。

端口只是通信链路两端在传输层内传输数据时同意使用的地址编号。

端口允许单个IP地址同时支持多个通信,每个通信使用不同端口号。

IP地址和端口号的组合称为套接字

这些端口中的前1024个(0-1023)称为众所周知的端口或服务端口。这是因为对它们支持的服务进行了标准化分配。

例如,

端口80是Web(HTTP)流量的标准端口、

端口23是Telnet 的标准端口、

端口25是SMTP 的标准端口。这些端口是专门预留给服务器用的(不能用作客户端请求的源端口)。

端口1024~49151称为己注册的软件端口。

这些端口具有一个或多个专门在IANA(互联网编号分配机构)注册的网络软件产品,以便为尝试连接其产品的客户提供标准化的端口编号系统。

端口49152-65535被称为随机、动态或临时端口,它们通常被客户端随机地临时用作源端口。

在初始服务或注册端口之外在客户端和服务器之间协商数据传输管道时,一些网络服务也使用这些随机端口,例如FTP 。

TCP在OSI模型的第4 层(传输层)上运行。它支持全双工通信,面向连接,并采用可靠的会话。

TCP面向连接,在两个系统之间使用握手过程来建立通信会话。

完成该握手过程后,建立可支持客户端和服务器之间的数据传输的通信会话。

三次握手过程如下:

(1) 客户端将SYN(同步)标记的数据包发送到服务器。

(2) 服务器以SYN/ACK(同步和确认)标记的数据包响应客户端。

(3) 客户端以ACK(确认)标记的数据包响应服务器。

通信会话完成后,有两种方法可断开TCP会话。

首先,最常见的是使用FIN(完成)标记的数据包。

一旦所有数据被传输,会话的每一侧都将发送FIN标记的分组,触发对方用ACK标记的分组进行确认。

因此,需要四个数据包来优雅地终止TCP会话。

其次是使用RST(重置)标记的数据包,这导致会话立即或突然终止。

TCP传输的段用序列号标记。

这允许接收器通过将接收的段重新排序来重建原始通信,不管它们被接收的顺序如何。

通过TCP会话传送的数据定期通过确认进行验证。

通过将TCP报头的确认序列值设置为在传输窗口内从发送方接收的最后序列号,接收方将确认发送回发送方。

在发送确认分组前发送的分组数称为发送窗口。

数据流通过“滑动窗口“机制来控制。

TCP能在发送确认之前使用不同大小的窗口(换句话说,发送的数据包数量不同)。

较大窗口允许更快的数据传输,但它们应该只用在丢失或损坏数据最少的可靠连接上。

当通信连接不可靠时,应使用较小窗口。当需要数据传输时,应采用TCP。

滑动窗口的大小动态变化,因为TCP会话的可靠性在使用时会发生变化。

在未接收到传输窗口所有分组的情况下,不发送确认。

超时后,发送者将再次发送整个传输窗口的数据包。

TCP报头结构:

大小       字段

16          源端口

16          目的端口

32          序列号

4            数据偏移

4            保留供将来使用

8            标志

16          窗口大小

16          校验和

16          紧急指针

变量       多种选择:必须是32位的倍数

第11章 安全网络架构和保护网络组件_第5张图片

另一个重要消息是TCP的IP头协议字段值是6(0x06) 。

协议字段值是在每个IP数据包的报头中找到的标签或标志,它告诉接收系统它是什么类型的数据包。

IP报头的协议字段指示下一个封装协议的标识(换句话说,来自当前协议层的有效载荷中包含的协议,如ICMP或IGMP,或下一层,如TCP或UDP)。

把它设想成是从冰箱里拿出的用屠夫纸包裹的神秘肉类包装上的标签。

没有标签,你必须打开并检查以弄清楚它是什么。

但使用标签,你可快速搜索或过滤以查找感兴趣的项目。

UDP也在OSI模型的第4层(传输层)上运行,是一种无连接的“尽力而为"的通信协议,

不提供错误检测或纠正,不使用排序,不使用流量控制机制,不使用预先建立的会话,被认为是不可靠的。

UDP具有非常低的开销,因此可以快速传输数据。但是,只有在传输不重要的数据时才应使用UDP。

UDP通常用于音频或视频的实时或流通信。UDP的IP头协议字段值是17 (0x11).

与TCP头相比,UDP头相对简单。UDP报头长度为8 个字节(64 位)。

此报头分为四个部分或字段(每个16 位长):

• 源端口

• 目的端口

• 消息长度

• 校验和

2. 网络层协议和IP网络基础

IP为数据包提供路由寻址。

这条路线成为全球互联网通信的基础,提供了一种身份识别手段并规定了传输路径。

IP是无连接的,是一种不可靠的数据报服务,必须在IP上使用TCP来建立可靠和受控的通信会话

IP分类:

完整的A类子网支持16777214个主机

完整的B类子网支持65534个主机

完整的C类子网支持254个主机

D类用于多播

E类用于将来使用

子网划分的另一个选择是使用无类别域间路由(Classless Inter-Domain Routing, CIDR)

CIDR使用掩码位而不是完整的点分十进制表示子网掩码。

例如掩码为255.255.0.0的网段172.16.0.0 可用CIDR表示为172.16.0.0/16 。

CIDR相对于传统子网掩码技术的一个显著优势是能将多个不连续的地址组合成一个子网

例如,可将多个C类子网组合成一个更大的子网分组。

第11章 安全网络架构和保护网络组件_第6张图片

ICMP和IGMP 是OSI 模型的网络层中的其他协议。

ICMP IGMP用于确定网络或特定链路的运行状况。

ICMP可用于ping、traceroute、pathping等网络管理工具。

ping实用程序使用ICMP回显包并将它们从远程系统反馈回来。

可使用ping来确定远程系统是否在线,远程系统是否正在及时响应,中间系统是否支持通信,以及中间系统正在通信的性能效率级别。

ping实用程序包含一个重定向函数,该函数允许将回显响应发送到与源系统不同的目的地。

不幸的是,ICMP的功能常用于各种形式的基于带宽的DoS攻击,例如死亡之ping、Smurf攻击和ping洪水攻击。

这一事实影响了网络处理ICMP流量的方式,导致许多网络限制了ICMP的使用,或者至少限制了其吞吐景。

死亡之ping向计算机发送大于65 535字节(大于最大1Pv4数据包大小)的畸形ping包,以尝试使其崩溃。

smurf攻击通过欺骗广播ping 在目标网络上产生大篇的流量洪水,是一种基本的DoS攻击,依赖于消耗目标可用的所有带宽。

你应该了解有关ICMP 的几个重要细节。

首先,ICMP的IP头协议字段值是1(0x01) 。

其次,ICMP头中的类型字段定义ICMP有效载荷中包含的消息的类型或目的。

有超过40种已定义的类型,但通常只使用7种(见表11.5) 。

注意,列出的许多类型也可能支持代码。

代码只是一个附加的数据参数,它提供了关于ICMP消息有效载荷的功能或用途的更多细节。

导致ICMP响应事件的一个示例是当试图连接到UDP服务端口时,该服务和端口实际上不在目标服务器上使用;

这将导致ICMP Type 3响应返回源地址。由于UDP没有错误回显机制,因此通过ICMP实现该功能。

第11章 安全网络架构和保护网络组件_第7张图片

IGMP IGMP允许系统支持多播。多播将数据传输到多个特定接收者(RFC 1112 讨论了执行IGMP 多播的要求)。

IP主机使用IGMP来注册其动态多播组成员资格。连接的路由器也使用它来发现这些组。

通过使用IGMP多播,服务器最初可为整个组发送单个数据信号,而非为每个预期接收者发送单独的初始数据信号。

对于IGMP, 如果到预期接收者之间存在不同路径,则单个初始信号在路由器处复用。

IGMP 的IP 报头协议字段值为2(0x02) 。

ARP ARP 对于逻辑和物理寻址方案的互操作性至关重要。

ARP 用于将IP地址(32位二进制数用于逻辑寻址)解析为MAC地址(用于物理寻址的48位二进制数)EUI-48 或EUI-64 。

网段上的流量(例如跨集线器的电缆)使用MAC地址从源系统定向到其目标系统。

ARP使用缓存和广播来执行其操作。

将IP地址解析为MAC地址的第一步(立亦然)是检查本地ARP 缓存。

如果所需信息已存在于ARP缓存中,则使用它。

有时这项活动使用称为ARP缓存中毒的技术滥用,攻击者将伪造信息插入ARP缓存。

如果ARP 缓存不包含必要信息,则发送广播形式的ARP请求。

如果查询地址的所有者位于本地子网,则可使用必要信息进行响应。

如果不是,系统将默认使用其默认网关来转发。然后,默认网关(或者路由器)将需要执行自己的ARP过程。

3. 通用应用层协议

TCP/IP模型的应用层(包括OSI 模型的会话层、表示层和应用层)的应用或服务的协议。

Telnet

Telnet 使用TCP23端口,是一个终端仿真网络应用程序。

支持远程连接以执行命令和运行应用程序,但不支持文件传输。

FTP

TCP20(被动数据)/短暂(活动数据)和21(控制连接)端口,是一个网络应用程序。

支持需要匿名或特定身份验证的文件传输。

TFTP

使用UDP69端口,是一个支持不需要身份验证的文件传输的网络应用程序。

SMTP

使用TCP25端口,

是一种用于将电子邮件从客户端传输到电子邮件服务器,

以及从一个电子邮件服务器传输到另一个电子邮件服务器的协议。

POP3

使用TCP110端口,是一种用于将电子邮件从电子邮件服务器上的收件箱中拉到电子邮件客户端的协议。

IMAP

使用TCP端口143, 是一种用于将电子邮件从电子邮件服务器上的收件箱拉到电子邮件客户端的协议。

IMAP比POP3更安全,并能从电子邮件服务器中提取标头以及直接从电子邮件服务器删除邮件,而不必先下载到本地客户端。

DHCP

使用UDP 67和68端口,DHCP使用端口67作为服务器上的目标端口来接收客户端通信,使用端口68作为客户端请求的源端口。

它用于在启动时为系统分配TCP/IP配置设置。DHCP支持集中控制网络寻址。

HTTP

使用TCP80端口,是将Web页面元素从Web服务器传输到Web浏览器的协议。

SSL

使用TCP443端口(用于HTTP 加密),是一种类似于VPN的安全协议,在传输层运行。

SSL最初设计用于支持安全Web通信(HTTPS) ,但能保护任何应用层协议通信。

LPD

使用TCP端口515,这是一种网络服务,用于假脱机打印作业和将打印作业发送到打印机。

XWindow

使用TCP 6000-6063端口,是用于命令行操作系统的GUIAPI。

NFS

使用TCP2049端口,是一种网络服务,用于支持不同系统之间的文件共享。

SNMP

使用UDP 161端口(用于陷阱消息的是UDP162端口)。

是一种网络服务,用于通过从中央监控服务器轮询监控设备来收集网络运行状况和状态信息。

多层协议的含义

TCP/IP作为协议套件,包含分布在各种协议栈层上的许多单独协议。,是一种多层协议。

TCP/IP从其多层设计中获得了若干好处,这与其封装机制有关。

例如,当通过典型的网络连接在Web服务器和Web浏览器之间通信时,会封装HTTP在TCP中,

后者封装在IP中,而IP又封装在以太网中。这可表述如下:

[以太网 [IP [TCP [HTTP] ] ] ]

但这不是TCP/IP封装支持的程度。还可添加额外的封装层。

例如,向通信添加SSL/TLS加密将在HTTP和TCP之间插入新的封装:

[以太网 [IP [TCP [SSL [HTTP] ] ] ] ]

这反过来可通过网络层加密(如IPsec)进一步封装:

[以太网 [IPsec [IP [TCP [SSL [HTTP] ] ] ] ]

封装并不总是用于良性目的。

有许多隐蔽通道通信机制使用封装来隐藏或隔离另一个授权协议内的未授权协议。

例如,如果网络阻止使用FTP但允许使用HTTP, 则可使用HTTP隧道等工具来绕过此限制。

这可能导致如下的封装结构:

[以太网 [IP [TCP [HTTP [FTP] ] ] ] ]

通常,HTTP携带自己的与Web相关的有效负载,但使用HTTP隧道工具,标准有效负载被替代协议代替。

这种错误封装甚至可发生在协议栈中。例如,ICMP通常用于网络健康测试,而不用于一般通信。

然而,利用Loki等实用工具,ICMP被转换成支持TCP通信的隧道协议。

Loki的封装结构如下:

[以太网 [IP [ICMP [TCP [HTTP] ] ] ] ]

由无限封装支持引起的另一个关注领域是在虚拟局域网(VLAN)之间跳跃的能力。

VLAN是由标签在逻辑上分隔的网络段。这种攻击称为VLAN跳变,是通过创建双封装的IEEE 802.1Q VLAN 标签来执行的:

[以太网 [VLANl [VLAN2 [IP [TCP [HTTP] ] ] ] ] ]

通过这种双重封装,第一个遇到的交换机将剥离第一个VLAN标记,

然后下一个交换机将被内部VLAN标记欺骗,并将流量移到另一个VLAN。

多层协议具有以下优点:

• 可在更高层使用各种协议。

• 加密可包含在各个层中。

• 支持复杂网络结构中的灵活性和弹性。

多层协议有一些缺点:

• 允许隐蔽通道。

• 可以绕过过滤器。

• 逻辑上强加的网段边界可超越。

4. TCP/IP漏洞

不正确地实现TCP/IP堆栈容易受到以下攻击:

• 缓冲区溢出

• SYN洪水攻击

• 各种拒绝服务(DoS)攻击

• 碎片攻击

• 超大数据包攻击

• 欺骗攻击

• 中间人攻击

• 劫持攻击

• 编码错误攻击

TCP/IP(以及大多数协议)也会通过监控或嗅探进行被动攻击。

网络监控 是监控流量模式以获取有关网络的信息的行为。

数据包嗅探 是从网络捕获数据包的行为,希望从数据包内容中提取有用信息。

有效的数据包嗅探器可以提取用户名、密码、电子邮件地址、加密密钥、信用卡号、IP地址和系统名称等。

5. 域名系统

寻址和命名是使网络通信成为可能的重要组件。

如果没有寻址方案,联网计算机将无法区分一台计算机或指定通信目的地。

同样,如果没有命名方案,人类就必须记住并依赖编号系统来识别计算机。

记住Google.com 要比64.233.187.99 容易得多。

因此,大多数命名方案是为人类使用而不是计算机使用而制定的。

掌握基于TCP/IP的网络上使用的寻址和编号的基本思想是非常重要的。

有三个不同的层需要注意。这里以相反顺序呈现,因为第三层是最基本的:

• 第三层或底层是MAC地址。MAC地址或硬件地址是“永久物理地址”。

• 第二层或中间层是IP地址是在MAC地址上分配的“临时”逻辑地址。

• 顶层是域名。域名或计算机名是在IP 地址上分配的“临时“人性友好约定。

人类获得人性化的域名,网络协议获得路由器友好的IP 地址,网络接口获得物理地址。

DNS和ARP系统可在域名和IP地址或IP地址和MAC地址之间转换。

DNS将人性化的域名解析为对应IP 地址。

然后,ARP将IP地址解析为对应的MAC地址。

如果定义了PTR记录,也可通过DNS反向查找将IP地址解析为对应的域名。

DNS是公共和专用网络中使用的分层命名方案。

DNS将IP地址和人性化的完全限定域名(FQDN)链接在一起:

• 顶级域名(TLD)——www.google.com中的com

• 注册域名——www.google.com中的google

• 子域或主机名——www.google.com中的www

顶级域名可以是任意数量的官方选项,包括最初的七个顶级域名中的六个:

com、org、edu、mil、gov 、net——以及许多新的顶级域名,如info 、museum、telephone、mobi、biz等。

还有国家/地区的变化,称为国家/地区代码(www.iana.org/domains/root/db/具有当前TLD和国家代码的详细信息)。

注意,第七个初始TLD是int;

国家和地区代码用两个字母表示。

域名必须在任意数量的已批准域名注册商之一正式注册,例如Network Solutions 或landl.com。

FQDN最左边部分可以是单个主机名,例如www、ftp或多节子域名称,server1.group3. bldg5.mycompany.com。

FQDN的总长不能超过253个字符(包括点)。任何单个部分不能超过63个字符。

FQDN只能包含字母、数字和连字符。

每个注册的域名都有一个指定的权威名称服务器。

主要权威名称托管域的原始区域文件。

辅助权威名称服务器可用于托管区域文件的只读副本。

区域文件是资源记录的集合或有关特定域的详细信息。

最初,DNS由HOSTS文件的静态本地文件处理。

此文件现在仍然存在,但动态DNS查询系统大多数情况下已经取代它,特别是在大型专用网络以及互联网中。

当客户端软件指向FQDN时,协议栈启动DNS查询,以便将名称解析为可用于构建IP头的IP地址。

解析过程首先检查本地DNS缓存。DNS缓存包括来自本地HOSTS文件的预加载内容以及当前执行的任何DNS查询(尚未超时)。

如果所需答案不在缓存中,则DNS查询被发送到本地IP配置中显示的DNS服务器。

DNS通过TCP和UDP端口53运行。

TCP端口53用于区域传输。这些是DNS服务器之间的区域文件交换,用于特殊手动查询,或响应超过512 字节的情形。

UDP端口53用于大多数典型的DNS 查询。

域名系统安全扩展(Domain Name System Security Extensions, DNSSEC)是对现有DNS 基础结构的安全性改进。

DNSSEC的主要功能是在DNS操作期间在设备之间提供可靠的身份验证。

DNSSEC已在DNS系统的重要部分实施。

每个DNS服务器都会获得一个数字证书,然后用于执行证书身份验证。

DNSSEC的目标是防止一系列DNS滥用,可将错误数据注入解析过程中。

6. DNS中毒

DNS中毒是伪造客户端用于到达所需系统的DNS信息的行为。

它可以多种方式发生。每当客户端需要将DNS名称解析为IP地址时,它可能经历以下过程:

(1) 检查本地缓存(包括HOSTS文件中的内容)。

(2) 将DNS查询发送到已知的DNS服务器。

(3) 将广播查询发送到任何可能的本地子网DNS服务器(此步骤未得到广泛支持)。

如果客户端在上述三个步骤都没有解析到对应的IP, 则解析失败。

DNS中毒可在这些步骤中的任何一步发生,但最简单的方法是破坏HOSTS文件或DNS服务器查询。

有许多方法可以攻击或利用DNS。攻击者可能使用以下技术之一。

1.部署流氓DNS服务器(也称为DNS欺骗或DNS域欺骗)。

流氓DNS服务器可侦听网络流量以查找与目标站点相关的任何DNS查询或特定DNS查询。

然后流氓DNS服务器使用错误的IP信息向客户端发送DNS响应。

此攻击要求恶意DNS服务器在真实DNS服务器响应之前将其响应返回给客户端。

一旦客户端收到来自流氓DNS服务器的响应,客户端就会关闭DNS查询会话,

这会导致真实DNS服务器的响应被丢弃并作为会话外数据包被忽略。

DNS查询未经过身份验证,但它们包含一个16位值,称为查询ID(Query ID, QID)

DNS响应必须包含与要接受的查询相同的QID。因此,流氓DNS服务器必须在虚假回复中包括请求QID。

2.执行DNS 中毒。

DNS中毒涉及攻击真实的DNS服务器并将不正确的信息放入其区域文件中。

这会导致真正的DNS服务器将错误数据发送回客户端。

3.改变HOSTS文件。

通过在其中放置虚假DNS数据来修改客户端上的HOSTS文件会将用户重定向到错误位置。

4.破坏IP 配置。

破坏IP配置可能导致客户端具有错误的DNS服务器定义。

这可直接在客户端上或在网络的DHCP服务器上完成。

5.使用代理伪造。

此方法仅适用于Web通信。此攻击将虚假Web代理数据植入客户端的浏览器,然后攻击者操作恶意代理服务器。

恶意代理服务器可修改HTTP流量包,以将请求重新路由到黑客想要的任何站点。

采取一些基本安全措施,降低其威胁程度:

• 限制从内部DNS 服务器到外部DNS 服务器的区域传输。

这是通过阻止入站TCP端口53(区域传输请求)和UDP端口53(查询)来实现的。

• 限制外部DNS服务器从内部DNS服务器中拉取区域传输的外部DNS服务器。

• 部署网络入侵检测系统(NIDS) 以监视异常DNS流量。

• 正确加固专用网络中的所有DNS 、服务器和客户端系统。

• 使用DNSSEC保护DNS基础设施。

要求内部客户端通过内部DNS解析所有域名。

这将要求你阻止出站UDP端口53(用于查询),同时保持打开的出站TCP端口53(用于区域传输)。

域名欺诈 是将有效网站的URL或IP地址恶意重定向到虚假网站。

这通常是网络钓鱼攻击的一部分,攻击者试图欺骗受害者放弃登录凭据。

如果潜在的受害者不小心或不注意,他们可能会受骗,向虚假网站提供登录信息。

通常通过修改系统上的本地HOSTS文件或通过中毒或欺骗DNS解析来进行域名欺骗。

域名欺骗是一项越来越有问题的活动,因为黑客已经发现了利用DNS漏洞为大量目标用户制定各种域名的手段。

7. 域名劫持

域名劫持或域名盗窃 是在未经所有者授权的清况下更改域名注册的恶意行为。

这可通过窃取所有者的登录凭据,使用XSRF、会话劫持,使用MitM或利用域名注册商系统中的缺陷来实现。

有时当另一个人在原始所有者的注册过期后立即注册域名时,被称为域名劫持,但事实并非如此。

这可能是一种不道德的做法,但它并非真正的黑客攻击。它正是利用了原始所有者未能自动续订域名的漏洞实现的。

如果原始所有者因未能保持注册而丢失域名,除了联系新所有者并协商重新获得控制权外,通常没有追索权。

许多注册商都有一个“你打盹,你输了"的失效注册策略。

当一个组织失去域名控制权并且其他人接管控制权时,这对组织及其客户和访问者来说都是一个毁灭性事件。

原始网站或在线内容将不再可用(或至少在同一域名上不可用)。

并且新所有者可能托管完全不同的内容或托管上一个网站的虚假副本。

后续活动可能导致欺骗访问者,类似于网络钓鱼攻击,可能会提取和收集个人身份信息(PII)。

11.3 融合协议

融合协议 是专业(或专有)协议与标准协议的结合,如那些源自TCP/IP套件的协议。

融合协议的主要好处 是能使用现有的TCP/IP支持网络基础设施来托管特殊服务或专有服务,不需要独立部署备用网络硬件。

这可显著降低成本。但并非所有融合协议都提供与其专有实现相同的吞吐量或可靠性级别。

融合协议的一些常见示例:

以太网光纤通道(Fibre Channel over Ethernet, FCoE)

光纤通道是一种网络数据存储解决方案(SAN或NAS),允许高达128Gbps的文件传输速率。

它设计用于光纤电缆;后来增加了对铜缆的支持,以提供更便宜的选择。

光纤通道通常需要自己的专用基础设施(单独电缆)。

但FCoE可用于通过现有网络基础架构支持它。

FCoE用于封装以太网网络上的光纤通道通信。

它通常需要10Gbps以太网才能支持光纤通道协议。

利用这项技术,光纤通道可作为网络层或OSI第3层协议运行,将IP替换为标准以太网网络的有效载荷。

MPLS(Multiprotocol Label Switching, 多协议标签交换)

MPLS是一种高吞吐量的高性能网络技术,它基于短路径标签而不是更长的网络地址来引导网络上的数据。

这种技术比传统的基于IP的路由过程节省了大量时间,但可能非常复杂。

此外,MPLS旨在通过封装处理各种协议。因此,网络不仅限于和TCP/IP 兼容。

这使得能够使用许多其他网络技术,包括Tl/El、ATM、帧中继、SONET和DSL 。

Internet小型计算机系统接口(Internet Small Computer System Interface, iSCSI)

iSCSI是一种基于IP的网络存储标准。

此技术可用于通过LAN 、WAN 或公共互联网连接启用与位置无关的文件存储、传输和检索。

iSCSI通常被视为光纤通道的低成本替代方案。

网络电话(Voice over IP, VoIP)

VoIP是一种用于通过TCP/IP网络传输语音和/或数据的隧道机制。

VoIP有可能取代PSTN, 因为它通常更便宜,并提供更多种选择和功能。

VoIP可用作计算机网络和移动设备上的直接电话替代品。

但VoIP能支持视频和数据传输,以便在项目上进行视频会议和远程协作。

VoIP可用于商业和开源项目。

一些VoIP解决方案需要专门的硬件来取代传统的电话手机/基站,或者允许它们连接到VoIP系统并在VoIP系统上运行。

某些VoIP解决方案仅限软件,例如Skype, 并允许用户使用现有的扬声器、麦克风或耳机取代传统的电话手机。

其他的基于硬件,例如magicJack允许使用插入USB适配器的现有PSTN电话设备来利用互联网上的VoIP。

通常,VoIP到VoIP呼叫是免费的(假设相同或兼容的VoIP 技术),而VoIP到传统电话的呼叫按每分钟收费。

软件定义网络(Software-Defined Networking, SDN)

SDN 是一种独特的网络操作、设计和管理方法。

该概念基于以下理论:传统网络与设备(即路由器和交换机)上配置的复杂性经常迫使组织坚持使用单一设备供应商(例如思科),限制了网络的灵活性,因而难以应对不断变化的物理和商业条件。

SDN旨在将基础设施层(即硬件和埜于硬件的设置)与控制层(即妏据传输管理的网络服务)分离。

此外,这还消除了IP寻址、子网、路由等传统网络概念,不必将其编写到托管应用程序中或由托管应用程序解密。

SDN提供了一种新的网络设计,可直接从集中位置编程,灵活,独立于供应商,并且基于开放标准。

使用SDN可使组织免于从单个供应商处购买设备。

它允许组织根据需要混合和匹配硬件,例如选择最具成本效益或最高吞吐量的设备,而不会被某个供应商锁定。

然后通过集中管理接口控制硬件的配置和管理。此外,可根据斋要动态更改和调整应用于硬件的设置。

另一种思考SDN的方式是它实际上是网络虚拟化。

它允许数据传输路径、通信决策树和流控制在SDN 控制层中虚拟化,而不是在每个设备的基础上在硬件上处理。

内容分发网络(Content Distribution Network, CDN)或内容传递网络

CDN是在互联网上的多个数据中心中部署的资源服务的集合,以便提供托管内容的低延迟、高性能和晶可用性。

CDN 通过分布式数据主机的概念提供客户所需的多媒体性能质盖。

不是将媒体内容存储在单个位置以传输到互联网的所有位置,而将其分发到互联网上的多个位置。

这实现了地理和逻辑上的负载均衡。

在所有资源请求的高负载场景下,任何一台服务器或服务器集群的资源都不会紧张,并且托管服务器更靠近请求客户。

最终结果是更低的延迟和更高质量的吞吐量。

有许多CDN服务提供商,包括CloudFlare、Akamai、Amazon CloudFront、CacheFly 和Level 3 Communications 。

11.4 无线网络

11.4.1 保护无线接入点

无线蜂窝 是无线设备可连接到无线接入点的物理环境中的区域。

无线蜂窝可在安全环境之外泄露,并允许入侵者轻松访问无线网络。

你应调整无线接入点的强度,以最大限度地提高授权用户访问权限并最大限度地减少入侵者访问。

这样做可能需要独特的无线接入点放置、屏蔽和噪声传输。

802.1 是用于无线网络通信的IEEE标准。

该标准的各种版本(技术上称为修订)已经在无线网络硬件中实现,包括802.lla、802.llb、802.llg和802.lln。

802.llx 有时用于壮所有这些特定实现统称为一个组;

然而,802.11是首选,因为802.llx很容易与802.lx混淆,后者是一种独立于无线的身份验证技术。

802.11标准的每个版本或修订都提供了更高的吞吐置:分别为2MB、11MB、54MB和200MB+,如表11.7 所述。

b、g和n修正都使用相同的频率;因此,它们保持向后兼容性。

第11章 安全网络架构和保护网络组件_第8张图片

在部署无线网络时,应部署配置为使用基础架构模式而非ad hoc模式的无线访问点。

ad hoc模式意味着任何两个无线网络设备(包括两个无线网卡(NIC))都可在没有集中控制权限的情况下进行通信。

基础结构模式意味着需要无线接入点,系统上的无线NIC不能直接交互,并且强制执行无线网络访问的无线接入点限制。

在基础架构模式概念中有几种变体,包括:独立、有线扩展、企业扩展和桥接。

当有无线接入点将无线客户端相互连接但不连接任何有线资源时,就会出现独立模式基础架构。

无线接入点专门用作无线集线器。当无线接入点充当将无线客户端连接到有线网络的连接点时,形成有线扩展模式基础设施。

当使用多个无线接入点(Wireless Access Points, WAP)将大型物理区域连接到同一有线网络时,会发生企业扩展模式基础结构。

每个无线接入点将使用相同的扩展服务集标识符(Extended Service Set Identifier, ESSID),以便客户端可在保持网络连接的同时漫游该区域,

即使无线NIC将关联从一个无线接入点更改为另一个无线接入点。

当使用无线连接来连接两个有线网络时,会发生桥接模式基础结构。

这通常使用专用无线网桥,并且在有线网桥不方便时使用,例如在楼层或建筑物之间连接网络时。

SSID(代表服务集标识符)通常被误用以指示无线网络的名称。

从技术角度看,有两种类型SSID,即扩展服务集标识符(ESSID)和基本服务集标识符(BSSID)。

ESSID是使用无线基站或WAP时的元线网络名称(即基础设施模式)。

独立服务集标识符(ISSID)是处于ad hoc或对等模式(即不使用基站或WAP) 时的无线网络的名称。

然而,在基础设施模式下操作时,BSSID是托管ESSID的基站的MAC地址,以便区分支持单个扩展无线网络的多个基站。

无线信道:

在无线信号的指定频率内对频率的细分,称为信道

将通道视为同一条高速公路上的车道。

在美国有11个信道,在欧洲有13个信道,在日本有14个信道。

差异源于当地有关频率管理的法律(如美国联邦通信委员会的国际版本)。

无线通信通过单个信道在客户端和接入点之间进行。

然而,当两个或更多个接入点在物理上彼此相对靠近时,一个信道上的信号可能干扰另一个信道上的信号。

避免这种情况的一种方法是尽可能区别物理上靠近的接入点的信道,以最小化信道重叠干扰

例如,如果建筑物有四个接入点沿着建筑物的长度排成一行,则通道设置可是1、11、1和11。

但是,如果建筑物是方形的,并且每个角落都有一个接入点,频道设置可能需要为1、4、8 和11。

将单个通道内的信号视为高速公路上的宽载卡车。宽载卡车占用每条车道的一部分,从而使卡车在这些车道中通过会非常危险。

同样,相邻信道中的无线信号将相互干扰。

11.4.2 保护SSID

为无线网络分配SSID(即BSSID或ESSID) 以将一个无线网络与另一个无线网络区分开。

如果在同一无线网络中涉及多个基站或无线接入点,则定义ESSID。

SSID类似于工作组的名称。如果无线客户端知道SSID, 则可将其无线NIC配置为与关联的WAP进行通信。

但SSID并不总是允许接入,因为WAP可使用许多安全功能来阻止不必要的访问。

供应商默认定义SSID,并且由于这些默认SSID是众所周知的,因此标准安全实践规定在部署之前应将默认SSID更改为唯一的SSID 。

WAP通过称为信标帧的特殊传输来广播SSID 。

这允许范围内的任何无线NIC看到无线网络并使连接尽可能简单。

但应禁用此SSID的默认广播以保持无线网络的安全。

即便如此,攻击者仍可通过无线嗅探器发现SSID, 因为SSID仍可用于无线客户端和WAP之间的传输。

因此,禁用SSID广播不是真正的安全机制。

因此应该使用WPA2作为可靠的身份验证和加密解决方案,而不是试图隐藏无线网络的存在

禁用SSID广播:

传统无线网络在称为信标帧的特殊分组内定期宣告其SSID 。

广播SSID时,任何具有自动检测和连接功能的设备不仅能看到网络,还可启动与网络的连接。

网络管理员可选择禁用SSID广播,隐藏其网络,以防止未经授权的人员。

但仍然需要SSID来引导数据包进出基站,因此对于拥有无线数据包嗅探器的任何人来说,它仍可以被发现。

因此,如果不是公共网络,则应禁用SSID, 但要意识到隐藏SSID不是真正的安全性措施,

因为任何具有基本无线知识的黑客都可轻松发现SSID 。

11.4.3 进行现场调查

用于发现非预期无线访问的物理环境区域的一种方法是执行现场调查

现场调查是调查环境中部署的无线接入点的位置、强度和范围的过程。

此任务通常涉及使用便携式无线设备走动,记录无线信号强度,并将其映射到建筑物的图纸上。

应进行现场调查,以确保在需要使用无线网络的所有位置都有足够的估号强度,

同时最大限度地减少或消除不需要无线网络区域的信号(如公共区域、跨楼层、进入其他房间或建筑物外)。

现场调查对于评估现有无线网络部署、规划当前部署的扩展以及规划未来部署都非常有用。

11.4.4 使用安全加密协议

IEEE 802.11标准定义了无线客户端可在无线链路上发生正常网络通信之前用于向WAP进行身份验证的两种方法。

这两种方法是开放系统身份验证(Open SystemAuthentication, OSA)共享密钥身份验证(Shared Key Authentication, SKA)


OSA意味着不需要真正的身份验证。只要可在客户端和WAP之间传输无线电信号,就可通信。

情况也是如此,使用OSA的无线网络通常以明文形式传输所有内容,因此不提供保密或安全性。

SKA 意味着必须在网络通信发生前进行某种形式的身份验证。

802.11标准为SKA 定义了一种称为有线等效保密(Wired Equivalent Privacy, WEP) 的可选技术。

后来802.11标准增加了WPA、WPA2和其他技术。

1. WEP有线等效保密

有线等效保密(WEP) 由IEEE802.ll标准定义。

它旨在提供与有线网络相同级别的无线网络全性和加密。

WEP提供针对无线传输的数据包嗅探和窃听的保护。

WEP的第二个好处是可防止未经授权的无线网络访问。

WEP使用预定义的共享密钥;

然而,共享密钥不是典型的动态对称密码解决方案,而是静态的,并在所有无线接入点和设备接口之间共享。

该密钥用于在数据包通过无线链路传输之前对数据包进行加密,从而提供保密性保护。

散列值用于验证在传输过程中接收的数据包未被修改或损坏;因此WEP还提供完整性保护。

知道或拥有密钥不仅可进行加密通信,还可作为基本的身份验证形式;因为没有密钥,就不能访问无线网络。

WEP几乎一发布就被破解了。今天,可在不到一分钟的时间内破解WEP, 从而使其成为毫无价值的安全预防措施。

幸运的是,WEP 还有其他选择,即WPA和WPA2。WPA是对WEP的改进,因为它不使用相同的静态密钥来加密所有通信。

相反,它与每个主机协商一个唯一的密钥集。但单个密码短语用于授权与華站的关联(即允许新客户端建立连接)。

如果密码不够长,可能会猜到。通常建议密码短语使用14个字符或更多字符。

WEP加密采用Rivest Cipher 4(RC4), RC4 是一种对称流密码。

由于RC4的设计和实施存在缺陷,WEP在几个方面都很薄弱,其中两个主要方面是静态公共密钥的使用和IV(初始向量)的不合理实现。

由于这些弱点,只要找到足够糟糕的初始向量就可破解WEP密钥。现在可在不到60秒的时间内完成此攻击。

当发现WEP密钥时,攻击者可加入网络,然后监听所有其他无线客户端通信。

因此,不应使用WEP 。它没有提供真正的保护,可能导致错误的安全感。

2.WPA

Wi-Fi受保护访问(WiFi Protected Access, WPA)被设计为WEP的替代品;

在新的802.lli版本发布前,这是一个临时版本。

制定新版本方案的过程需要数年时间,因此WPA在市场上获得了立足点,并且至今仍在广泛使用。

此外,WPA可用于大多数设备,而802.lli的功能不支持某些低端硬件。

802.lli是定义用于替换WEP的加密解决方案的版本。

但当802.lli 最终确定时,WPA解决方案已被广泛使用,因此他们无法按原计划使用WPA名称;因此将它命名为WPA2。

但这并不表示802.lli是WPA的第二个版本。实际上,它们是两套完全不同的技术。

802.lli 或WPA2实现类似于IPsec的概念,为无线通信带来最新的加密和安全性。

Wi-Fi保护访问基于LEAP和临时密钥完整性协议(Temporal Key Integrity Protocol, TKIP)密码系统,并且通常使用秘密密码进行身份验证。

但WPA 使用单一静态密码短语,这是它的一个败笔。攻击者可简单地对WPA 网络进行蛮力猜测攻击,以发现通行证短语。

如果密码短语是14个字符或更多,这通常需要足够长的时间,但不是不可能成功。

此外, WPA的LEAP和TKIP加密选项现在都可使用各种破解技术进行破解。

虽然它比WEP更复杂,但WPA不再提供长期可靠的安全性。

3. WPA2

最终,开发了一种保护无线的新方法,该方法通常仍被认为是安全的。

这是称为802.lli的修正版本或Wi-Fi受保护访问2(WPA2)。它是一种新的加密方案,称为CCMP, 它基于AES加密方案。

在2017年底,公开了一种称为KRACK(密钥重新安装攻击)的攻击概念,

它能破坏客户端和WAP之间的初始四次握手,以重用以前使用的密钥,并在某些情况下使用仅由零组成的密钥。

最易受攻击的无线设备已更新或有可用于解决此问题的更新。

4. 802.1X/EAP

WPA和WPA2都支持称为802.lX/EAP的企业身份验证,这是一种基于端口的标准网络访问控制,

可确保客户端在进行正确身份验证之前无法与资源通信。

实际上802.lX是一种切换系统,允许无线网络利用现有网络基础设施的身份验证服务。

通过使用802.lX, 可将其他技术和解决方案集成到无线网络中提供相互身份验证多因素身份验证。

(如RADIUS、TACACS、证书、智能卡、令牌设备和生物识别技术)

可扩展身份验证协议(EAP)不是特定的身份验证机制;相反,它是一个身份验证框架。

实际上,EAP允许新的身份验证技术与现有的无线或点对点连接技术兼容。

超过40种不同的EAP身份验证方法得到广泛支持。

这些包括LEAP、EAP-TLS、EAP-SIM、EAP-AKA和EAP-TILS的无线方法。

并非所有EAP方法都是安全的。例如,EAP-MD5和称为LEAP的预发布EAP也是可破解的。

5. PEAP

受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol, PEAP)将EAP方法封装在提供身份验证和可能加密的TLS隧道中。

由于EAP最初设计用于物理隔离通道,因此假定为安全通道,因此EAP通常不加密。PEAP可为EAP方法提供加密。

6. LEAP

轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol, LEAP)是针对WPA的TKlP的思科专有替代方案。

这是为了解决在802.lli/WPA2系统作为标准之前的TKlP中存在的缺陷。

2004年发布了一种名为Asleap的攻击工具,可利用LEAP提供的最终弱保护。

应尽可能避免LEAP; 建议改用EAP~TLS, 但如果使用LEAP, 强烈建议使用复杂密码。

7.MAC过滤器

MAC过滤器是授权无线客户端接口MAC地址的列表,无线接入点使用该MAC地址来阻止对所有未授权设备的访问。

虽然这是一个有用的实现功能,但它可能很难管理,并且往往只在小型静态环境中使用。

此外,具有基本无线黑客工具的黑客可发现有效客户端的MAC地址,然后将该地址伪装到其攻击无线客户端上。

8. TKIP 协议

TKlP被设计为WEP 的替代品,不需要替换传统的无线硬件。

TKlP以WPA(Wi-Fi 保护访问)的名称实施到802.11 无线网络中。

TKlP改进包括密钥混合功能,该功能将初始化向量(即随机数)与秘密根密钥组合,然后使用该密钥与RC4 进行加密;

序列计数器用于防止数据包重放攻击;并使用了名为Michael 的强大完整性检查。

TKlP和WPA在2004年被WPA2正式取代。

此外,针对WPA和TKIP的攻击(即coWPAtty和基于GPU的破解工具)使WPA的安全性不可靠。

9. CCMP

创建CCMP以替换WEP和TKlP/WPA。

CCMP使用带有128位密钥的AES(高级加密标准)。

CCMP是802.lli指示的802.11无线网络的首选标准安全协议。

到目前为止,还没有针对AES/CCMP加密的攻击获得成功。

11.4.5 天线放置

部署无线网络时,天线放置应该是一个问题。

在进行适当的现场调查前,请勿固定在特定位置。

将无线接入点和其天线放在可能的位置;然后测试各个位置的信号强度和连接质量。

只有在确认当前天线放置提供令人满总的连接质量后,才能始终固定设备和天线的位置。

在寻求最佳天线放置时,请考虑以下准则:

•使用中心位置。

•避免固体物理障碍。

•避免反光或其他扁平金属表面。

•避免电气设备。

如果基站具有外部全向天线,则通常应将它们垂直向上定位。

如果使用定向天线,请将焦点指向所需的区域。

请记住,无线信号会受到干扰、距离和障碍物的影响。

在设计安全无线网络时,工程师可以选择定向天线以避免在他们不希望提供信号的区域中广播或专门覆盖具有更强信号的区域。

11.4.6 天线类型

各种天线类型可用于无线客户端和基站。

许多设备可将其标准天线替换为更强的天线(即信号增强)。

标准直线或极天线是全向天线,可在垂直于天线的所有方向上发送和接收信号。

这是在大多数基站和一些客户端设备上采用的天线类型。

这种类型的天线有时也称为基础天线或橡胶鸭天线(由于大多数天线被柔性橡胶涂层覆蛊)。

大多数其他类型的天线是定向的,这意味着它们将发送和接收能力集中在一个主要方向上。

定向天线的一些示例:包括八木天线、卡特纳天线、平板天线和抛物线天线。

•八木天线 的结构类似于传统的屋顶电视天线。八木天线由直杆形成,横截面可在主杆方向捕捉特定的无线电频率。

•卡特纳天线 由一个一端密封的管构成。它们沿着管的开口端方向聚焦。最早的卡特纳天线是用罐头盒制作的。

•平板天线 是扁平设备,仅从面板的一侧聚焦。抛物线天线用于聚焦来自极长距离或弱源的信号。

11.4.7 调整功率电平控制

一些无线接入点提供天线功率电平的物理或逻辑调整。

功率电平控制通常由制造商设置为适合大多数情况的值。

但是,如果在进行现场勘测和调整天线放置后,无线信号仍然不能令人满意,则可能需要进行功率电平调整。

但请记住,在提高连接可靠性方面,改变通道、避免反射和信号散射面以及减少干扰通常更重要。

调整功率级别时,请进行微调,而不是尝试最大化或最小化设置。

另外,请记下初始/默认设置,以便你可根据需要回退到默认设置。

每次调整功率级别后,重启无线接入点,然后重新进行现场勘测和质量测试。

有时降低功率水平可以提高性能。需要记住,某些无线接入点能够提供比当地法规允许的更高功率水平。

11.4.8 WPS

Wi-Fi保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。

它旨在减少将新客户端添加到无线网络的工作量。

当管理员通过按下基站上的WPS按钮触发该功能时,它通过自动连接第一个新的无线客户端来寻找网络。

但是,该标准还要求可以远程发送到基站的代码或个人身份识别码(Personal Identification Number, PIN), 以便在不需要按下物理按钮的情况下触发WPS协商。

这导致了蛮力猜测攻击,使得黑客能在数小时内(通常不到6 小时)猜测WPS代码,这反过来又使黑客能将自己的未授权系统连接到无线网络。

WPS是大多数无线接入点默认启用的功能,因为它是设备Wi-Fi联盟认证的必要条件。

作为以安全为中心的预部署过程的一部分,禁用它非常重要。

如果设备无法关闭WPS(或关闭开关不起作用),请升级基站固件版本或更换整个基站。

通常情况请关闭WPS。每次升级固件后,请再次执行安全配置,包括WPS。

如果你需要向网络添加大量客户端,你可以暂时重新启用WP, 并确保在添加完客户端后立即禁用它。

11.4.9 使用强制门户

强制网络门户是一种身份验证技术,可将新连接的无线Web客户端重定向到门户网站访问控制页面。

门户页面可能要求用户输入支付信息,提供登录凭据或输入访问代码。

强制门户还用于向用户显示可接受的使用策略、隐私策略和跟踪策略,用户必须先同意策略才能通过网络进行通信。

强制网络门户通常位于为公共用途实施的无线网络上,例如酒店、餐馆、酒吧、机场、图书馆等。

但它们也可用于有线以太网连接。

11.4.10 一般Wi-Fi 安全程序

根据无线安全和配置选项的详细信息,以下是部署Wi-Fi网络时要遵循的一般指南或步骤。

这些步骤按照规划和应用(安装)的顺序进行。此外,此顺序并不意味着哪一步提供更多安全性。

例如,与SSID广播禁用相反,使用WPA2是一种真正的安全功能。步骤如下:

(1) 更改默认管理员密码。

(2) 根据部署要求决定是否禁用SSID广播。

(3) 将SSID更改为唯一的。

(4) 如果无线客户端数量很少(通常小于20),请启动MAC地址过滤并使用静态IP地址。

(5) 请考虑使用静态IP地址,或使用预留配置DHCP(仅适用于小型部署)。

(6) 打开支持的最强的身份验证和加密方式,目前是WPA2, 可能很快就成为WPA3。

如果你的设备上没有WPA2或更强的解决方案,那么需要更换无线设备。

(7) 将无线视为远程访问,并使用802.lX管理访问。

(8) 将无线视为外部访问,并使用防火墙将WAP与有线网络分开。

(9) 将无线视为攻击者的入口点,并使用入侵检测系统(Intrusion Detection System, IDS)监控所有WAP到有线网络的通信。

(10) 要求加密无线客户端和WAP之间的所有传输;换句话说,需要一个VPN链接。

11.4.11 无线攻击

1. 战争驾驶(war driving)

战争驾驶(war driving)是使用检测工具寻找无线网络信号的行为。

通常,战争驾驶指寻找本来无权访问的无线网络的人。

在某种程度上,战争驾驶需要现场勘察,这可能是恶意或至少是未经授权的。

该名称来自战争拨号的传统攻击概念,用于通过拨打前缀或区号中的所有数字来发现活动的计算机调制解调器。

可使用专用手持式探测器,使用带有Wi-Fi功能的个人电子设备(PED)或移动设备,或使用带有无线网卡的笔记本电脑来进行战争驾驶。

它可以使用操作系统的本机功能或使用专门的扫描和检测工具来执行。

检测到无线网络后,下一步是确定网络是打开还是关闭的。

开放式网络对设备连接没有技术限制,而封闭网络具有技术限制以防止未经授权的连接。

如果网络关闭,攻击者可能试图猜测或破解阻止连接的技术。

通常,使无线网络关闭(或至少隐藏)的设置是禁用服务集标识符(SSID)广播。

使用无线SSID扫描仪可轻松克服此限制。

此后,黑客确定目标网络是否使用加密,是什么类型是否可以被破解。

从那里,攻击者可通过专业的破解工具,试图破解连接或尝试进行中间人攻击。

防护措施越陈旧、越脆弱,这种攻击可能会越快,也越容易成功。

2. 战争粉化(war chalking)

战争粉化(war chalking)是一种极客涂鸦,一些无线黑客在无线早期使用(1997—2002年)。

这是一种用无线网络存在的信息来物理标记一个区域的方法。

闭合圆圈表示封闭或安全的无线网络,两个背靠背半圈表示开放网络。

战争粉化通常用于向他人透露无线网络的存在,以便共享已发现的互联网连接。

然而,现在互联网连接几乎无处不在,我们大多数人都随身携带联网设备(通常是智能手机),

便携式Wi-Fi热点的流行,以及许多零售企业提供免费Wi-Fi, 这导致对战争粉笔的需求已经基本消失。

当攻击者使用战争拨号来定位无线目标以进行攻击时,他们不会使用特殊符号标记该区域以通知其他人他们的意图。

3. 重放(replay attack)

重放攻击(replay attack)是捕获通信的重传,以期获得对目标系统的访问。

与无线环境相关的重放攻击需要重点关注初始身份验证滥用。

但存在许多其他无线重放攻击变体。

它们包括捕获典型客户端的新连接请求,然后重放该连接请求,以便欺骗基站进行响应,就像启动了另一个新的客户端连接请求一样。

无线重放攻击还可通过重新发送基站的连接请求或资源请求来关注DoS, 以使其专注于管理新连接而不是维护现有连接并为其提供服务。

减轻无线重放攻击的措施:

(1)保持基站的固件更新

(2)操作以无线为中心的网络入侵检测系统(Network Intrusion Detection System, NIDS)

一个W-IDS或W-NIDS 能检测到此类滥用情况,并及时通知管理员有关情况。

4. IV (初始化向量,Initialization Vector)

IV代表初始化向量(Initialization Vector),是随机数的数学和加密术语。

大多数现代加密功能使用IV来降低可预测性和可重复性,从而提高其安全性。

当IV过短,以纯文本交换或选择不当时,IV会成为弱点。

因此,IV攻击是使用不当或错误的IV处理方式。

IV攻击的一个例子是破解无线等效保密(Wireless Equivalent Privacy, WEP)加密

WEP是802.11无线网络的原始加密选项。它基于RC4。

但是,由于其设计和实施方面的错误,WEP的主要缺陷与其IV有关。

WEP IV只有24位长,以明文形式传输。再结合WEP不检查数据包新鲜度的问题,可在不到60秒的时间内实现实时WEP破解。

5. 恶意接入点

在站点调查期间通常发现的安全问题是存在恶意无线接入点。

为方便起见,员工可种植流氓WAP,也可由攻击者在外部操作。

(1)员工种植的无线接入点

员工种植的无线接入点可连接到任何开放的网络端口。

此类未经授权的访问点通常未配置或做安全设置,或者未能与组织合法的访问点保持一致的安全配置。

应该发现和删除流氓无线接入点,以消除不受监管的指向安全网络的访问路径。

(2)攻击者在外部操作

攻击者通常会找到一种方式来进入公司(比如参观,冒充维修技师或送餐员,甚至在晚上闯入)以便种植一个流氓接入点。

在定位恶意接入点后,攻击者可从距离公司较近的位置轻松进入网络。

外部攻击者也可针对你现有的无线客户端或未来访问的无线客户端,部署流氓WAP 。

对现有无线客户端的攻击要求将流氓WAP配置为复制有效WAP的SSID、MAC地址和无线信道,但以更高的额定功率运行。

这可能导致保存无线配置文件的客户无意中选择或更喜欢连接到流氓WAP而不是有效的原始WAP。

第二种方法侧重于吸引新的访问无线客户端。

通过将SSID设置为看起来和原始有效SSID一样合法的备用名称,这种类型的流氓WAP配置有社会工程技巧。

例如,如果原始SSID是ABCcafe, 则流氓WAPSSID 可是ABCcafe-2、ABCcafe-LTE或ABCcafe-VIP。

流氓WAP不需要克隆原始WAP的MAC地址和信道。

这些替代名称对于新访问者来说似乎是更好的网络选项,因此诱使他们选择连接到虚假网络而不是合法网络。

为防御流氓WAP,要知道正确有效的SSID。

对于组织来说,操作无线IDS来监视无线信号滥用也是有益的,例如新出现的WAP, 尤其是那些使用模仿的SSID和MAC操作的WAP。

6. 邪恶双胞胎

邪恶双胞胎攻击过程:

黑客操作虚假接入点,该接入点将根据客户端设备的连接请求自动克隆(或孪生)接入点的身份。

每次设备成功连接到无线网络时,它都会保留无线网络配置文件。

这些无线配置文件用于当设备处于相关基站的范围内时自动重新连接到网络。

每次在设备上启用无线适配器时,它都希望连接到网络,因此会在其无线配置文件历史记录中向每个网络发送重新连接请求。

这些重新连接请求包括原始基站的MAC地址和网络的SSID。邪恶的孪生攻击系统窃听这些重新连接请求的无线信号。

一旦邪恶的双胞胎看到重新连接请求,它就用这些参数欺骗它的身份,并提供与客户端的明文连接。

客户端接受请求并与虚假双基站建立连接。这使得黑客能通过中间人攻击窃听通信,这可能导致会话劫持、数据操纵凭据被盗和身份盗用。

此攻击有效,因为身份验证和加密由基站管理,而不是由客户端强制执行。

因此,即使客户端的无线配置文件将包括认证凭据和加密信息,客户端也将接受基站提供的任何类型的连接,包括纯文本。

邪恶的双胞胎攻击的防御:

(1)断开不安全的无线网络

(2)从历史记录列表中删除不必要的旧无线配置文件

11.5 安全网络组件

11.5.1 网络访问控制(Network Access Control, NAC)

网络访问控制指通过严格遵守和实施安全策略来控制对环境的访问。

NAC的目标如下:

•防止/减少零日攻击

•在整个网络中实施安全策略

•使用标识执行访问控制

NAC的目标可通过使用强大的详细安全策略来实现,这些策略定义了从客户端到服务器以及

每个内部或外部通信的每个设备的安全控制、过滤、预防、检测和响应的所有方面。

NAC充当自动检测和响应系统,可实时做出反应,以在威胁发生或造成损害或破坏之前阻止威胁。

最初,802.lX(提供基于端口的NAC)被认为是NAC的应用,但大多数支持者认为802.lX

只是一种简单的NAC形式,或只是完整NAC 解决方案中的一个组件。

NAC可通过接入前控制或接入后控制(或两者)来实现:

•接入前控制原则要求系统在允许与网络通信之前满足所有当前的安全要求(例如补丁应用程序和反病毒软件更新)。

•接入后控制原则允许和拒绝基于用户活动的访问,该用户活动基于预定义的授权矩阵。

NAC的其他问题包括:

客户端/系统代理与整体网络监控(无代理);

带外与带内监测;

补救、隔离或强制门户策略。

11.5.2 防火墙

防火墙是管理和控制网络流量的重要工具。防火墙是用于过滤流量的网络设备。

它通常部署在专用网络和Internet的链接之间,但可在组织内的部门之间部署。

如果没有防火墙,就无法阻止来自互联网的恶意流量进入你的专用网络。

防火墙根据一组定义的规则(也称为过滤器或访问控制列表)过滤流量。

它们基本上是一组指令,用于区分授权流量与未授权和/或恶意流量。

只允许授权流量穿过防火墙提供的安全屏障。

防火墙可用于阻止或过滤流量。

它们对于未请求的通信量和从专用网络外部连接的尝试最有效,

并可用于基于内容、应用程序、协议、端口或源地址阻塞已知的恶意数据、消息或分组。

它们能对公众隐藏私有网络结构和寻址方案。

大多数防火墙提供广泛的日志记录、审计和监视功能,以及警报和基本入侵检测系统(IDS)功能。

防火墙通常无法做到以下几点:

阻止通过其他授权通信渠道传输的病毒或恶意代码(即,防火墙通常不像反病毒扫描程序那样扫描流量),

防止用户未经授权蓄意或无意间泄露信息,

防止恶意用户攻击防火墙后面的设施,或在数据传出或进入专用网络后保护数据。

但你可通过特殊的附加模块或配套产品(如反病毒扫描程序和IDS 工具)添加这些功能。

有些防火墙设备预配置了这些附加模块。

除了记录网络流量活动外,防火墙还应记录其他几个事件:

• 重启防火墙

• 代理或依赖项无法启动或无法启动

• 代理或其他重要服务崩溃或重新启动

• 更改防火墙配置文件

• 防火墙运行时的配置或系统错误

防火墙只是整体安全解决方案的一部分。

使用防火墙,许多安全机制集中在一个地方,因此防火墙可能存在单点故障。

防火墙故障通常是由人为错误和配置错误引起的。

防火墙仅针对从一个子网到另一个子网的流量提供保护。

它们不提供对子网内(也就是防火墙后面)流量的保护。

各种防火墙类型并讨论防火墙部署体系结构:

静态数据包过滤防火墙

静态数据包过滤防火墙通过检查消息头中的数据来过滤流量。

通常,规则涉及源、目标和端口地址。

使用静态过滤,防火墙无法提供用户身份验证或判断数据包是来自私有网络内部还是外部,它很容易被假冒的数据包所欺骗。

静态包过滤防火墙被称为第一代防火墙;它们在OSI 模型的第3层(网络层)运行。它们也可以称为筛选路由器

应用级网关防火墙(也称为代理防火墙)

代理是一种将数据包从一个网络复制到另一个网络的机制;复制过程还会更改源和目标地址以保护内部或专用网络。

应用级网关防火墙根据用于传输或接收数据的Internet服务(即应用程序)过滤流量。

每种类型的应用程序都必须拥有自己唯一的代理服务器因此,应用级网关防火墙包括许多单独的代理服务器。

这种类型的防火墙会对网络性能产生负面影响,因为每个数据包在通过防火墙时都必须进行检查和处理。

应用级网关称为第二代防火墙,它们在OSI模型的应用层(第7层)运行。

电路级网关防火墙(也称为电路代理)

电路级网关防火墙用于在可信赖的合作伙伴之间建立通信会话。它们在OSI模型的会话层(第5层)上运行。

SOCKS(来自Socket Secure, 如在TCP/IP 端口中)是电路级网关防火墙的常见实现方式。

电路级网关防火墙也称为电路代理,管理基于电路的通信,而不是流量的内容。

它们仅根据通信线路的端点名称(即源和目标地址以及服务端口号)允许或拒绝转发。

电路级网关防火墙被认为是第二代防火墙,因为它们代表了对应用级网关防火墙概念的修改。

状态检查防火墙(也称为动态数据包过滤防火墙)

状态检查防火墙评估网络流量的状态或上下文。

通过检查源和目标地址、应用程序使用清况、来源以及当前数据包与同一会话的先前数据包之间的关系,

状态检查防火墙能为授权用户和活动授予更广泛的访问权限,并主动监视和阻止未经授权的用户和活动。

状态检查防火墙通常比应用级网关防火墙更有效地运行。

它们被称为第三代防火墙,在OSI模型的网络和传输层(第3层和第4层)上运行。

深度数据包检测防火墙(DPI)

深度数据包检测防火墙是一种过滤机制,通常在应用程序层运行,以便过滤通信的有效内容(而不仅是报头值)。

DPI也可称为完整的数据包检查和信息提取(IX) 。

DPI过滤能够阻止有效通信负载中的域名、恶意软件、垃圾邮件或其他可识别元素。

DPI通常与应用层防火墙和状态检测防火墙集成在一起。

下一代防火墙

下一代防火墙是一种多功能设备(MFD),除防火墙外,还包含多种安全功能;

集成组件可包括IDS、入侵预防系统(IPS)、TLS/SSL代理、Web过滤、QoS管理、带宽限制、NAT转换、VPN和反病毒。

1. 多宿主防火墙(也称为双宿主防火墙)

某些防火墙系统具有多个接口。例如,多宿主防火墙必须至少有两个接口来过滤流量。

所有多宿主防火墙都应具有IP转发功能,可自动将流量发送到另一个接口或禁用。

这将强制过滤规则控制所有流量,而不是简单地在一个接口和另一个接口之间转发流量。

堡垒主机是在互联网上公开的计算机或设备,通过删除所有不必要的元素(如服务、程序、协议和端口)来加固。

屏蔽主机是一个受防火墙保护的系统,逻辑上位于专用网络内。

所有入站流晕都被路由到屏蔽主机,而后者又充当专用网络内所有可信系统的代理。

它负责过滤进入专用网络的流量以及保护内部客户端的身份。

屏蔽子网在概念上类似于屏蔽主机,子网位于两个路由器或防火墙之间,并且堡垒主机位于该子网内。
所有入站流量都定向到堡垒主机,只有授权流量才能通过第二个路由器/防火墙进入专用网络。

这将创建一个子网,允许一些外部访问者与网络提供的资源进行通信。

这是DMZ的概念,它是一个网络区域(通常是子网),旨在由外部访问者访问,但仍然与组织的专用网络隔离。

DMZ通常是公共Web、电子邮件、文件和其他资源服务器的主机。

2. 防火墙部署架构

有三种常见的防火墙部署体系结构:单层、两层和三层(也称为多层)。

单层部署 将专用网络置于防火墙后面,然后通过路由器连接到Internet(或其他一些不受信任的网络)。

单层部署仅对通用攻击很有用。该架构仅提供最小的保护。

第11章 安全网络架构和保护网络组件_第9张图片

双层部署体系结构 有两种设计。一种使用具有三个或更多接口的防火墙。另一种使用两个防火墙。

这允许DMZ或可公开访问的外联网。

在第一种设计中,DMZ位于主防火墙的一个接口之外,

而在第二种设计中,DMZ位于两个串行防火墙之间。

DMZ用于托管外部用户应有权访问的信息服务器系统。

防火墙根据严格的过滤规则将流量路由到DMZ或可信网络。该架构引入了适度级别的路由和过滤复杂性。

第11章 安全网络架构和保护网络组件_第10张图片

三层部署体系结构 是在专用网络和由防火墙隔离的Internet之间部署多个子网。

每个后续防火墙都有更严格的过滤规则,以限制仅受信任来源的流量。

最外层的子网通常是DMZ。中间子网可充当事务子网,其中系统需要支持DMZ驻留中的复杂Web应用程序。

第三个或后端子网可以支持专用网络。这种架构是这些选项中最安全的;然而,它的设计、实施和管理是最复杂的。

第11章 安全网络架构和保护网络组件_第11张图片

11.5.3 端点安全

端点安全性是每个单独的设备必须保持本地安全性的概念,无论其网络或电信信道是否也提供安全性。

有时这表示为“终端设备负责其自身的安全性”。

然而,更清晰的观点是,网络中的任何弱点,无论在边界上、在服务器上,还是在客户机上,都给组织内的所有元素带来风险。

传统安全性依赖于网络边界,例如设备防火墙、代理、集中式病毒扫描程序,甚至IDS/IPS/IDP解决方案,以便为网络的所有内部节点提供安全性。

这不再被视为最佳业务实践,因为内部和外部都存在威胁。网络安全性取决于最薄弱的因素。

当远程访问服务(包括拨号、无线和VPN)可能允许外部实体(已授权或未授权)访问专用网络而不需要通过边界安全措施时,缺乏内部安全性的问题变得更严重。

因此,应将端点安全视为每个主机提供足够安全性的努力的一个方面。

每个系统都应该是本地主机防火墙、反恶意软件扫描程序、身份验证、授权、审核、垃圾邮件过滤器和IDS/IPS等服务的适当组合

11.5.4 硬件的安全操作

这些是网络中的一些硬件设备:

中继器、集中器和放大器

中继器、集中器和放大器用于加强电缆通信信号以及连接使用相同协议的网段。

这些设备可用于沿着冗长线路部署一个或多个中继器来扩展特定电缆类型的最大传输距离。

中继器、集中器和放大器在OSI第1层运行。中继器、集中器或放大器两侧的系统是同一冲突域和广播域的一部分。

集线器

集线器用于连接多个系统并连接使用相同协议的网段。

集线器是多端口中继器。集线器在OSI第1层运行。集线器两侧的系统是相同冲突和广播域的一部分。

这可确保流量将到达其预期的主机,但代价是同一冲突域和广播域的所有成员也将接收通信。

大多数组织都采用无中心安全策略来限制或降低嗅探攻击的风险,会首选交换机,因为集线器是过时技术。

• 调制解调器

传统的landline 调制解调器是一种通信设备,它覆盖或调制模拟载波信号和数字信息,

以支持公共交换电话网(Public Switched Telephone Network, PSTN)线路的计算机通信。

从大约1960年到1995年,调制解调器是WAN通信的常用手段。

调制解调器通常被数字宽带技术所取代,包括ISDN、电缆调制解调器、DSL调制解调器、802.11无线以及各种形式的无线调制解调器。

网桥

网桥用于将两个网络(甚至是不同拓扑结构、布线类型和速率的网络)连接在一起,以便连接使用相同协议的网段。

桥接器将流量从一个网络转发到另一个网络。

使用不同传输速度连接网络的网桥可能具有缓冲区来存储数据包,直到它们可转发到较慢的网络。

这称为存储转发设备。网桥在OSI第2层运行。网桥两侧的系统是同一广播域的一部分,但位于不同的冲突域中。

交换机

你可考虑用交换机或智能集线器来替代集线器。交换机知道每个出站端口上连接的系统的地址。

交换机不是在每个出站端口上重复流量,而仅在已知目的地的端口重复流量。

交换机为流量传输提供更高效率,创建单独的冲突域,并提高数据的整体吞吐量。

交换机在创建VLAN时,可创建单独的广播域。

在这样的配置中,允许在单个VLAN内进行广播,但不允许从一个VLAN到另一个VLAN不受阻碍地进行广播。

交换机主要在OSI第2层运行。如果交换机具有其他功能(如路由),它们也可在OSI第3层运行(例如在VLAN之间路由时)。

在第2层操作的交换机两侧的系统是同一广播域的一部分,但处于不同的冲突域中。

在第3层操作的交换机两侧的系统是不同广播域和不同冲突域的一部分。交换机用于连接使用相同协议的网段。

路由器

路由器用于控制网络上的流量,通常用于连接类似的网络并控制两者之间的流量。

它们可使用静态定义的路由表运行,也可使用动态路由系统。

有许多动态路由协议,例如RIP、OSPF和BGP。路由器在OSI第3层运行。

路由器任一侧的系统是不同广播域和不同冲突域的一部分。

路由器用于连接使用相同协议的网段。

桥路由器

桥路由器是包括路由器和桥接器的组合设备。桥路由器首先尝试路由,但如果失败,则默认为桥接。

因此,桥路由器主要在第3 层运行,但在必要时可在第2 层运行。

在第3层运行的桥路由器两侧的系统是不同广播域的一部分,并且是不同的冲突域。

在第2层运行的桥路由器两侧的系统是同一广播域的一部分,但在不同的冲突域中。

桥路由器用于连接使用相同协议的网段。

网关

网关连接使用不同网络协议的网络。

网关负责通过将该流量的格式转换为与每个网络使用的协议或传输方法兼容的形式,将流量从一个网络传输到另一个网络。

网关,也称为协议转换器,可以是独立的硬件设备或软件服务(例如,IP到IPX网关)。

网关两侧的系统是不同广播域和不同冲突域的一部分。网关用于连接使用不同协议的网段。

有许多类型的网关,包括数据、邮件、应用程序、安全和互联网。网关通常在OSI第7层运行。

代理

代理是一种不跨协议转换的网关形式。相反,代理充当网络的调解器、过滤器、缓存服务器甚至NAT/PAT服务器。

代理执行功能或代表另一个系统请求服务,并连接使用相同协议的网段。

代理最常用于在私有网络上为客户端提供互联网访问,同时保护客户端的身份。

代理接受来自客户端的请求,更改请求者的源地址,维护请求到客户端的映射,并发出更改的请求包。

这种机制通常称为网络地址转换(NAT) 。

一旦接收到回复,代理服务器通过检查其映射来确定它要去往哪个客户端,然后将数据包发送到客户端。

代理的任何一边的系统都是不同的广播域和不同的冲突域的一部分。

LAN扩展器

LAN扩展器是一种远程访问的多层交换机,用于在广域网链路上连接远程网络。

这是一个奇怪的设备,因为它创建广域网,但是这个设备的营销人员避开术语广域网,只使用局域网和扩展的局域网。

这个设备背后的想法是使术语更容易理解,从而使产品比具有复杂概念和术语的常规WAN设备更容易销售。

最终,它是与广域网交换机或广域网路由器相同的产品。

11.6 布线、无线、拓扑、通信和传输介质技术

局域网与广域网:

有两种基本类型的网络: LAN和WAN。

局域网(LAN)是通常跨越单个楼层或建筑物的网络。这通常是有限的地理区域。

广域网(WAN)是通常分配给地理上远程网络之间的长距离连接的术语。

WAN连接和通信链路可包括专用电路技术和分组交换技术。

常见的专用电路技术包括专用或租用线路以及PPP、SLIP、ISDN和DSL连接。

分组交换技术包括X.25、帧中继、异步传输模式(Asynchronous Transfer Mode, ATM)、

同步数据链路控制(Synchronous Data Link Control,SDLC)和高级数据链路控制(High-Level Data Link Control, HDLC) 。

分组交换技术使用虚拟电路而非专用物理电路。仅在需要时创建虚拟电路,这有利于传输介质的有效使用并且极具成本效益。

11.6.1 传输介质

网络中使用的连接介质类型对网络的设计、布局和功能非常重要。

如果没有正确的布线或传输介质,网络可能无法跨越整个企业,或者可能无法支持必要的流量。

事实上,网络故障(或者说违反可用性)的最常见原因是电缆故障或配置错误。

了解不同类型的网络设备和技术与不同类型的布线一起使用非常重要。

每种电缆类型都有独特的有效传输距离、吞吐率和连接要求。

1. 同轴电缆(也称为coax)

同轴电缆也称为coax, 是一种流行的网络电缆类型,在整个20世纪70年代和80年代使用。

在20世纪90年代早期,由于双绞线的普及和能力,其使用迅速下降。

进入本世纪,几乎不再使用同轴电缆作为网络电缆,但仍可能将其用作音频/视频连接电缆。

例如使用某些有线电视设备或卫星天线设备,尽管电视服务设备的最终连接在当今很可能是HDMI。

同轴电缆具有由一层绝缘层包围的铜线芯,该绝缘层又由导电编织屏蔽层包围并封装在最终绝缘护套中。

中心的铜芯和编织屏蔽层是两个独立的导体,因此允许通过同轴电缆进行双向通信。

同轴设计电缆使其具有相当的抗电磁干扰(Electromagnetic Interference, EMI)能力,

支持高带宽(与同时期的其他技术相比),提供比双绞线更长的有效传输距离。

它最终未能保持其作为流行的网络电缆技术的地位,因为双绞线的成本低得多且易于安装。

同轴电缆需要使用分段终端器,而双绞线不需要。

同轴电缆较重,并且具有比双绞线更大的最小电弧半径(圆弧半径是电缆在损坏内部导体之前可以弯曲的最大距离)。

此外,随着交换网络的广泛部署,由于分层布线模式的实施,电缆距离的问题已经不重要了。

有两种主要类型的同轴电缆:细网和粗网。

细网也称为10Base2, 通常用于将系统连接到粗网布线的主干中继线。

细网可以跨越185米的距离,并提供高达l0Mbps 的吞吐量。

粗网也称为10Base5, 可以跨越500米,最高吞吐量达I0Mbps。

同轴电缆最常见的问题如下:

• 使同轴电缆弯曲超过其最大圆弧半径,造成中心导体断裂。

• 部署同轴电缆的长度超出其建议的最大长度(10Base2为185米, 10Base5为500米)。

• 使用50欧姆电阻器未正确端接同轴电缆的末端。

• 未将端接的同轴电缆的至少一端接地。

2. 基带和宽带电缆

用于标记大多数网络电缆技术的命名约定遵循语法:XX:yyyyZZ

XX表示电缆类型提供的最大速度,例如10Base2电缆为10Mbps。

yyyy代表电缆的基带或宽带方面,例如10Base2电缆的基带。

基带电缆一次只能传输一个信号,宽带电缆可以同时传输多个信号。

大多数网络电缆都是基带电缆。但在特定配置中使用时,同轴电缆可用作宽带连接,例如使用电缆调制解调器。

ZZ代表电缆可使用的最大距离,或用作表示电缆技术的简写;

例如10Base2电缆的长度大约是200米(准确地讲,是185米),或T或TX用于指代10BaseT或

100BaseTX中的双绞线(注意100BaseTX 用两条5UTP或STP电缆实现一一条用于接收,另一条用于传输)。

表11.8 显示了最常见的网络布线类型的重要特性。

第11章 安全网络架构和保护网络组件_第12张图片

3. 双绞线

与同轴电缆相比,双绞线布线非常轻便灵活

它由四对彼此缠绕在一起的电线组成,然后套在PVC绝缘体中。

屏蔽双绞线(STP):外部护套下面的导线周围有金属箱包装,提供额外的外部电磁干扰保护。

非屏蔽双绞线(UTP):没有销的双绞线。

UTP最常用于:10BaseT、100BaseT和1000BaseT。

构成UTP和STP的电线是成对绞合的细小铜线。

线的扭曲缠绕提供了对外部射频和电磁干扰的保护,并减少了线对之间的串扰。

由于电流产生的辐射电磁场,当通过一组导线传输的数据被另一组导线接收时,会发生串扰

电缆内的每根电线对以不同的速率扭曲(即每英寸扭曲的数量);

因此,在一对导线上传播的信号不能交叉到另一对导线上(至少在同一根导线内)。

扭曲越紧(每英寸扭曲越多),电缆对内部和外部干扰和串扰的抵抗力越大,因此吞吐量(即带宽)的容量越大。

有几类UTP布线。通过更紧密的线对扭曲、导体质量的变化以及外部屏蔽质量的变化来制造不同线缆类别。

表11.9 显示了原始UTP类别。

第11章 安全网络架构和保护网络组件_第13张图片

第11章 安全网络架构和保护网络组件_第14张图片

双绞线布线的最常见问题如下:

• 使用错误类别的双绞线电缆进行高吞吐量网络连接。

• 部署双绞线长度超过其建议的最大长度(100米)。

• 在具有显著干扰的环境中使用UTP。

4. 导线

基于导体的网络布线的距离限制源于用作导体的金属的电阻。

铜是最受欢迎的导体,是目前市场上最好、最便宜的室温导体之一。

但它仍然存在电阻。该电阻导致信号强度和质量随电缆长度的增加而降低。

每一种电缆的最大传输长度表明,哪个长度信号可能退化到开始影响数据的有效传输。

这种信号的退化称为衰减

通常可以使用比电缆额定值更长的电缆段,但会增加错误和重传的数量,最终导致网络性能不佳。

随着传输速度的增加,衰减也更明显。建议随着传输速度的增加缩短线缆的长度。

通常可通过使用中继器或集中器来延长电缆长度

中继器是一种信号放大设备,非常类似于汽车或家用立体声的放大器。

中继器提升输入数据流的信号强度,并通过其第二个端口重新广播。

集中器做同样的事情,只是它有两个以上的端口。

但是,不建议连续使用四个以上的中继器或集中器(参见侧栏“5-4-3 规则”)。

5-4-3 规则:

每当使用集中器和中继器作为树状拓扑(即具有各种分裂分支的中央干线)中的网络连接设备部署以太网或其他IEEE 802.3共享接入网络时,使用5-4-3规则。

此规则定义了可在网络设计中使用的中继器/集中器和段的数量。

该规则规定,在任意两个节点(节点可以是任何类型的处理实体,例如服务器、客户端或路由器)之间,最多可有五个段由四个中继器/集中器连接,

并且它仅表明可填充这五个段中的三个(即具有附加用户、服务器或网络设备连接)。

5-4-3 规则不适用于交换网络、桥接器或路由器的使用情形

基于导体的网络布线的替代方案是光纤电缆。光纤电缆传输光脉冲而不是电信号。

这使得光纤电缆具有极快且几乎不受攻击和干扰的优点。

与双绞线相比,光纤部署的成本通常更高,但其价格溢价已降低,与其他部署更一致,并有很好的安全性和抗干扰性。

11.6.2 网络拓扑

计算机和网络设备的物理布局和组织称为网络拓扑。逻辑拓扑将网络系统分组为可信集体

网络的物理布局有四种基本拓扑:环形、总线、星形和网状。

环形拓扑

环形拓扑将每个系统连接为圆上的点(参见图11.9) 。连接介质用作单向传输回路。

一次只有一个系统可传输数据。流量管理由令牌执行。令牌是围绕环行进的数字大厅通行证,直到系统抓住它。

拥有令牌的系统才可以传输数据。数据和令牌会被传输到特定目的地。

当数据在环中传播时,每个系统都会检查它是不是数据的预期接收者。

如果不是则继续传递令牌,如果是则读取数据。

一旦收到数据,令牌就会被释放并返回到循环中行进,直到另一个系统抓住它。

如果循环的任何一个段被破坏,则循环周围的所有通信都将停止。

环形拓扑的一些实现采用容错机制,例如在相反方向上运行的双环路,以防止单点故障。

第11章 安全网络架构和保护网络组件_第15张图片

总线拓扑

总线拓扑将每个系统连接到干线或主干电缆。

总线上的所有系统都可以同时传输数据,这可能导致冲突。

当两个系统同时传输数据时会发生冲突;信号相互干扰

为避免这种情况,系统采用冲突避免机制,该机制基本上“监听”其他任何当前发生的流量。

如果听到流量,系统会等待片刻并再次收听。如果没有听到流量,系统将发送其数据。

当数据在总线拓扑上传输时,网络上的所有系统都会听到数据。

如果数据未发送到特定系统,该系统将忽略该数据。

总线拓扑的好处是:如果单个段发生故障,则其他所有段上的通信将继续,不会间断。但中央干线仍存在单点故障。

总线拓扑有两种类型:线性和树形。

线性总线拓扑采用单干线,所有系统直接连接到该于线。

树形拓扑结构使用单个中继线,其中分支可支持多个系统。

图11.10 说明了这两种类型。

今天很少使用总线的主要原因是它必须在两端终止,任何断开连接都会影响整个网络。

第11章 安全网络架构和保护网络组件_第16张图片

星形拓扑

星形拓扑采用集中式连接设备

该设备可以是简单的集线器或交换机。每个系统通过专用段连接到中央集线器(见图11.11)。

如果任何一个段失败,其他段可以继续运行。但是,中央集线器存在单点故障。

通常,星形拓扑比其他拓扑使用更少的布线,并且更容易识别损坏的电缆。

第11章 安全网络架构和保护网络组件_第17张图片

逻辑总线和逻辑环可实现物理星形网络。以太网是一种基于总线的技术。

它可以部署为物理星形,但集线器或交换机设备实际上是逻辑总线连接设备。

同样,令牌环是一种基于环的技术。它可以使用多站访问单元(MAU)部署为物理星形。

MAU允许将电缆段部署为星形,同时在设备内部进行逻辑环连接。

网状拓扑

网状拓扑使用多个路径将系统连接到其他系统(参见图11.12)。

全网状拓扑将每个系统连接到网络上的其他所有系统。部分网状拓扑将许多系统连接到其他许多系统。

网状拓扑提供与系统的冗余连接,即使多个段出现故障,也不会严重影响连接。

第11章 安全网络架构和保护网络组件_第18张图片

11.6.3 无线通信与安全

无线通信以多种形式发生,包括手机、蓝牙(802.15) 、RFID、NFC和网络(802.11)。

无线通信更容易受到干扰、窃听、拒绝服务和中间人攻击。

1. 通用无线概念

无线通信使用无线电波在一定距离上传输信号。

无线电波频谱数量是有限的,因此,必须妥善管理,以防止多个频谱同时使用时互相干扰。

使用频率测量或区分无线电频谱。

频率是特定时间内波振荡次数的测量值,使用单位赫兹(Hz)或每秒振荡来表示。

无线电波的频率在3Hz和300GHz之间。

已经为特定用这指定了不同的频率范围,例如AM和FM无线电、VI-IF和UHF电视等。

目前,900MHz、2.4GHz和5GHz频率是无线产品中最常用的,因为它们是未经许可的分类。

为管理有限的无线电频率的同时使用,开发了几种频谱使用技术包括:扩频、FHSS、DSSS和OFDM

•扩频(Spread Spectrum) 意味着通信在多个频率上同时发生。

因此,消息被分成几部分,并且每个部分同时发送但使用不同的频率。

实际上,这是并行通估而不是串行通信。

•跳频扩频(Frequency Hopping Spread Spectrum, FHSS) 是扩频概念的早期实现。

然而,它不是以并行方式发送数据,而是在不断改变使用频率的同时以一系列方式发送数据。

它采用整个可用频率范围,但一次只使用一个频率。

当发送方从一个频率变为下一个频率时,接收方必须遵循相同的跳频模式来接收信号。

FHSS旨在通过多个频率来帮助最小化干扰。通过不断变换频率,来最大限度地减少干扰。

•直接序列扩频(Direct Sequence Spread Spectrum, DSSS) 同时并行使用所有可用频率。

这提供了比FHSS更高的数据吞吐率。

DSSS还使用称为码片编码的特殊编码机制,即使信号的某些部分因干扰而失真,也允许接收机重建数据。

这种清况与RAID-5的奇偶校验允许重新创建丢失的驱动器上的数据的方式大致相同。

•正交频分复用(Orthogonal Frequency-Division Multiplexing, OFDM) 是频率使用的另一种变化。

OFDM采用数字多载波调制方案,允许更紧凑的传输。调制信号是垂直的(正交的),因此不会相互干扰。

最终OFDM需要更小的频率集(也称为信道频带),但可提供更大的数据吞吐量。

2. 手机

蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与蜂窝电话运营商的网络以及其他蜂窝电话设备或互联网进行交互。

手机提供商使用的技术很多,而且往往令人困惑。

容易混淆的是使用像2G和3G这样的术语。这些并不是指特定技术,而指手机生产技术的更新换代。

例如,1G是第一代(主要是模拟),2G是第二代(主要是数字的,如3G和4G),以此类推。

当系统集成第二代和第三代技术时,甚至会讨论2.5G。

表11.10 试图澄清其中一些令人困惑的问题(这只是技术的部分列表)。

第11章 安全网络架构和保护网络组件_第19张图片

第11章 安全网络架构和保护网络组件_第20张图片

此表中列出的某些技术虽然标记为4G, 但实际上并未满足4G的技术要求。

国际电信联盟-无线电通信部门(ITU-R)在2008年确定了4G的要求,

但在2010年默许运营商可将其不符合要求的技术称为4G, 只要供应商能够在未来实现服务合规。

5G技术正在开发中,并且在2018已经部署了一些测试网络。

关于手机无线传输,需要记住几个关键问题:

首先,并非所有手机流量都是语音;通常手机系统用于传输文本甚至计算机数据。

其次,通过蜂窝电话提供商的网络进行通信,无论是语音、文本还是数据,都不一定是安全的。

第三,使用特定的无线嗅探设备,你的手机传输的数据可能会被截获(模拟提供商的基站,以进行中间人攻击)。

第四,使用你的手机连接访问互联网或办公室网络为攻击者提供了另一种潜在的攻击、访问和破坏途径。

其中许多设备可能充当桥梁,从而创建对网络的不安全访问。

3. 蓝牙(802.15)

蓝牙或IEEE 802.15个人局域网(PAN)是无线安全问题的另一个领域。

用于手机、鼠标、键盘、全球定位系统(GPS)设备以及许多其他接口设备和外围设备的耳机通过蓝牙连接。

其中许多连接使用称为配对的技术进行设置,其中主设备扫描2.4GHz无线电频率以查找可用设备,

然后,一旦发现设备,使用四位数PIN来“授权”配对。

这个过程确实减少了意外配对的次数;但是,四位数PIN不安全(更何况默认PIN通常为0000) 。

针对蓝牙设备的攻击:

蓝劫(Bluejacking)技术允许攻击者向你的设备发送类似短消息服务(SMS)的消息。

蓝牙侵吞(Bluesnarfing)允许黑客在你不知情的情况下与你的蓝牙设备连接,并从中提取信息。

这种形式的攻击可以让攻击者访问你的联系人列表、数据甚至是通话。

蓝牙窃听(Bluebugging)可让黑客远程控制蓝牙设备的功能。

这可能包括打开麦克风以将手机用作音频bug的功能。

幸运的是,蓝牙通常只具有30英尺的有效范围,但有些设备可在100米以外的地方运行。

蓝牙无线电和天线按其最大允许功率进行分类。这些分类如表11.11 所示。

第11章 安全网络架构和保护网络组件_第21张图片

防御:

将蓝牙用于非敏感或非机密的活动。

更改设备上的默认PIN。

关闭发现模式,并在未处于活动状态时始终关闭蓝牙。

4. RFID(射频识别,Radio Frequency Identification)

RIFD是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术。

RFID可从相当远的距离(通常数百米)触发/供电和读取。

RFID可以连接到设备或集成到其结构中,例如笔记本电脑、平板电脑、路由器、交换机、USB闪存驱动器和便携式硬盘驱动器等。

可进行快速的资产库存跟踪,而不必直接接近物理设备。

只需要携带RFID读取器就可以收集该区域内芯片传输的信息。

有人担心RFID可能是一种侵犯隐私的技术。

如果你拥有带RFID芯片的设备,那么任何拥有RFID阅读器的人都可记录芯片上的信号。

当RFID芯片靠近读取器时会被唤醒并响应,芯片(也称为RFID标签)发送唯一的代码或序列号。

如果没有将数字与特定对象(或人)相关联的相应数据库,该唯一数字是没有意义的。

但是,如果读取器检测RFID芯片代码时将你记录为唯一值,则可将你和你的设备与该代码相关联,以便将来检测相同代码。

5. NFC(近场通信,Near-field communication)

NFC是在非常接近的设备之间建立无线电通信的标准。

它允许你通过将设备接触或将它们放在彼此相距几英寸的范围内来执行设备之间的自动同步和关联。

NFC是RFID的衍生技术,本身就是一种现场供电或触发设备。

NFC通常出现在智能手机和许多移动设备上。

它通常用于通过NFC与无线接入点链接,执行设备到设备数据交换,

建立直接通信或访问更复杂的服务,如WPA2加密无线网络。

因为NFC是一种基于无线电的技术。

针对NFC的攻击包括:中间人攻击、窃听、数据操纵和重放攻击等。

6. 无线电话

无线电话代表了一个经常被忽视的安全问题。

无线电话设计为使用任何一种未经许可的频率,换言之900MHz、2.4GHz 或5GHz。

这三种未经许可的频率范围被许多不同类型的设备使用,如无线电话、婴儿监视器、蓝牙和无线网络设备。

经常被忽视的问题是有人可以轻易地窃听无线电话上的对话,因为它的信号很少被加密。

使用频率扫描仪,任何人都可收听你的对话。

7. 移动设备

移动设备通常支持存储卡,可用使用恶意代码将机密数据传输到组织外部。

许多移动设备还支持USB连接,以执行与桌面和笔记本计算机的通信和联系人的同步,以及文件、文档、音乐、视频等的传输。

设备本身通常包含敏感数据,如联系人、短信、电子邮件,甚至是笔记和文档。

移动设备安全问题:

移动设备的丢失或被盗-个人和公司保密性的破坏。

黑客和恶意代码攻击-移动设备不存储不必要的信息,运行防火墙和反病毒产品,并保持系统锁定和加密。

窃听-使用合适类型的精密设备,指导员工谨慎对待他们在公共场所通过手机传输的内容。

移动设备功能的支持与正确配置和启用。

检查所有需要的安全功能在允许连接到组织网络的任何设备上按预期运行。

11.6.4 局域网技术

LAN技术有三种主要类型:以太网、令牌环和FDDI。

1. 以太网

以太网是一种共享介质LAN技术(也称为广播技术)。

这意味着它允许多个设备通过相同的介质进行通信,但要求设备轮流通信并检测冲突和避免冲突。

以太网采用广播域和冲突域。

广播域是系统的物理分组,其中该组中的所有系统都接收由该组中的单个系统发送的广播。

广播是发送到特定地址的消息,指示所有系统都是预期的接收者。

冲突域由系统分组组成,如果两个系统同时发送,则在这些系统中发生数据冲突。

当两个发送的消息同时尝试使用网络介质时,发生数据冲突。

它会导致一条或两条消息被破坏。

以太网可支持全双工通信(即完全双向),并且通常采用双绞线布线(最初使用同轴电缆)。

以太网通常部署在星形或总线形拓扑上。

以太网基于IEEE 802.3标准。以太网数据的各个单元称为帧。

快速以太网支持100Mbps吞吐量。于兆以太网支持1000Mbps(1Gbps)吞吐量。

万兆以太网支持10000Mbps(10Gbps)吞吐星。

2. 令牌环

令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。

令牌在LAN的所有成员之间以逻辑循环行进。令牌环可用于环形或星形网络拓扑。

令牌环缺点:

令牌环性能有限,与以太网相比成本较高,部署和管理难度较大(大多数网络在十年前停止使用)。

令牌环可以使用多站访问单元(MAU)部署为物理星形MAU允许将电缆段部署为星形,同时在设备内部进行逻辑环连接。

3. 光纤分布式数据接口(FDDI)

FDDI是一种高速令牌传递技术,它采用两个环,其流量方向相反。

FDDI通常用作大型企业网络的主干。

它的双环设计允许通过从环路中移除故障段并从剩余的内环和外环部分创建单个环来进行自我修复。

FDDI很昂贵,但是在快速以太网和于兆以太网出现之前经常用于校园环境。

一个较便宜的、距离有限的和较慢的版本,称为铜线分布式数据接口(CDDI), 使用双绞线电缆。

但CDDI更容易受到干扰和窃听。

技术子集

大多数网络包含许多技术而不是单一技术。

例如,以太网不仅是单一技术,而且是支持其共同和预期活动和行为的技术子集。

以太网包括数字通信、同步通信和基带通信技术。

它支持广播多播和单播通信以及载波侦听多路访问/冲突监测(CSMA/CD) 。

许多LAN技术(如以太网、令牌环和FDDI)可能包含以下各节中描述的许多子技术。

模拟和数字

许多形式的网络通信共有的一种子技术是用于通过物理介质(例如电缆)实际传输信号的机制。

有两种类型:模拟和数字。

• 模拟通信发生在频率、幅度、相位、电压等变化的连续信号上。

连续信号的变化产生波形(与数字信号的方形相反)。实际通信是通过恒定信号的变化发生的。

• 通过使用不连续的电信号和状态改变或开关脉冲进行数字通信。

数字信号比长距离或存在干扰时的模拟信号更可靠。

原因在于采用直流电压的数字信号的明确信息存储方法,其中电压on表示值1, 电压off表示值0。

这些开关脉冲产生二进制数据流。由于长距离衰减和干扰,模拟信号会发生变化和损坏。

由于模拟信号可具有用于信号编码的无限数量的变化(而不是数字的两种状态),

所以对信号的非预期改变使得随着降级程度的增加更难提取数据。

同步和异步:

某些通信与某种时钟或定时活动同步。通信是同步的或异步的:

• 同步通信依赖于基于独立时钟或嵌入数据流中的时间戳的定时或时钟机制。

同步通信通常能够支持非常高的数据传输速率。

• 异步通信依赖于停止和启动分隔符位来管理数据传输。

由于使用了分隔符位及其传输的停止和启动特性,异步通信最适用于较少量的数据。

公共交换电话网(PS1N)调制解调器是异步通信设备的良好示例。

基带和宽带

通过电缆段同时进行多少通信取决于你使用的是基带技术还是宽带技术:

• 基带技术只能支持单个通信通道。

它使用施加在电缆上的直流电。

处于较高电平的电流表示二进制信号为1, 而处于较低电平的电流表示二进制信号为0。

基带是一种数字信号。以太网采用基带技术。

• 宽带技术可支持多个同步信号。

宽带使用频率调制来支持多个信道,每个信道支持不同的通信会话。

宽带适用于高吞吐率,特别是当多个信道被多路复用时。

宽带是一种模拟信号。有线电视、有线调制解调器、ISDN、DSL、Tl和T3是宽带技术的示例。

广播、多播和单播

广播、多播和单播技术确定单个传输可以到达的目的地数量:

广播(Broadcast)技术支持与所有可能的接收者进行通信。

多播(Multicast)技术支持与多个特定接收者的通信。

单播(Unicast)技术仅支持与特定接收者的单一通信。

局域网介质访问

至少有五种LAN介质访问技术用于避免或防止传输冲突。

这些技术定义了同一冲突域内的多个系统如何进行通信。

其中一些技术可主动防止冲突,而其他技术可应对冲突。

载波侦听多路访问(Carrier-Sense Multiple Access, CSMA) 这是使用以下步骤执行通信的LAN介质访问技术:

(1) 主机侦听LAN介质以确定它是否正在使用中。

(2) 如果LAN介质未被使用,则主机发送其通信。

(3) 主机等待确认。

(4) 如果在超时后没有收到确认,则主机从步骤1重新开始。

CSMA不直接解决冲突。如果发生冲突,则通信不会成功,因此不会收到确认。

这导致发送系统重新发送数据并再次执行CSMA过程。

载波侦听多路访问/冲突避免(Carrier-Sense Multiple Access with Collision Avoidance,CSMNCA) 这是使用以下步骤执行通信的LAN 介质访问技术:

(1) 主机有两个到LAN介质的连接:入站和出站。主机侦听入站连接以确定LAN介质是否正在使用中。

(2) 如果未使用LAN介质,则主机请求传输权限。

(3) 如果在超时后未授予权限,则主机将从步骤1重新开始。

(4) 如果授予了权限,则主机通过出站连接发送其通信。

(5) 主机等待确认。

(6) 如果在超时后未收到确认,则主机在步骤1重新开始。

AppleTalk 和802.11无线网络是采用CSMA/CA技术的网络示例。

CSMA/CA 通过仅授予在任何给定时间进行通信的单一权限来尝试避免冲突。

该系统需要指定主系统来响应请求并授予发送数据传输的权限。

载波侦听多路访问/冲突检测(Carrier-Sense Multiple Access with Collision Detection,CSMA/CD) 这是使用以下步骤执行通信的LAN媒体访问技术:

(1) 主机侦听LAN介质以确定它是否正在使用中。

(2) 如果LAN介质未被使用,则主机发送其通信。

(3) 在发送时,主机侦听冲突(即两个或多个主机同时发送)。

(4) 如果检测到冲突,则主机发送阻塞信号。

(5) 如果收到阻塞信号,则所有主机都停止发送。每个主机等待一段随机时间,然后从步骤1开始。

以太网采用CSMA/CD技术。CSMA/CD通过让冲突域的每个成员在开始该过程之前等待一段短暂但随机的时间来响应冲突。

不幸的是,允许冲突发生对冲突做出响应或反应会导致传输延迟以及重复传输。这将导致约40%的潜在吞吐量损失。

令牌传递

这是使用数字令牌执行通信的LAN 介质访问技术。拥有令牌的主机才允许传输数据。

传输完成后,它会将令牌释放到下一个系统。

令牌通过令牌环网(如FDDI)进行传递。令牌环防止冲突,因为只允许拥有令牌的系统传输数据。

轮询

这是使用主从配置执行通信的LAN介质访问技术。一个系统被标记为主系统。

所有其他系统都标记为次要系统。主系统轮询或查询每个二级系统是否需要传输数据。

如果辅助系统指示需要,则授予其传输许可。传输完成后,主系统继续轮询下一个辅助系统。

同步数据链路控制(SDLC)使用轮询。

轮询通过尝试阻止它们使用权限系统来解决冲突。轮询与CSM凶CA方法正好相反。

两者都使用主服务器和从服务器,但当CSMA/CA允许从服务器请求权限,轮询只能通过主服务器分配权限。

可以将轮询配置为授予一个(或多个)系统优先级而不是其他系统。

例如,如果标准轮询模式为1,2,3,4, 那么为给予系统1优先地位,轮询模式可更改为1,2,1,3,1,4。

你可能感兴趣的:(#,OSG8,安全)