HCIA安全笔记1
HCIA安全
学习内容简介:
模块一:信息安全概述。
模块二:操作系统和主机安全。
模块三:网络安全基础。
模块四:加解密应用
模块五:安全运营
学习路线:
设备安全——HCIA HCIP HCIE
信息安全——CISP(国内,管理、架构) CISSP(国际认证) CISP-PTE(国内,渗透测试)
第一章 信息安全基础概念P1-35
什么是信息?他与数据、知识的关系是什么?
数据:他的范围很广每天浏览的新闻等系信息。
信息:基于庞大的数据,提供有用价值的信息,我们基于信息进行决策。
知识:对信息进行系统化梳理,落地成知识,供我们学习
信息安全:采用一系列的安全技术,保障信息在其生命周期中的安全性,确保其机密性、完整性、可用性不被破坏。
CIA模型:机密性(保密性),完整性,可用性。P15
什么是APT?
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
特点:
- 利用0Day漏洞进行攻击。
- 它的背后是一个组织,甚至是一个国家。
- 它有很长的潜伏期。
第二章 信息安全标准与规范。P36-64
标准: 是规范性文件,经协商一致,并由公认机构批准,共同使用和重复使用的一种规范性文件。
组织:
ISO国际标准化组织
IEC国际电工委员会
ITU国际电信联盟
IETF工程任务组
标准:
GB等保
ISO27001
标准体系:
ISO27000 概念、名词解释
ISO27001 信息安全标准体系、流程方针、安全目标
ISO27002 最佳实践,明确了控制措施
ISO27003 实施指南,支撑27002,落地为程序
ISO27004 度量标准
ISO27005 风险管理
等级保护:
做等保的意义:
- 提供整体保障水平、优化资源分配。
- 合法、合规。
级别1-5级,三级以上,具有强制性要求,一年一测。
其他标准:
美国TCSEC
可信计算机系统评价标准。
欧洲ITSEC
塞班斯法案 针对财务。
第三章 网络基本概念 p65-113
流量主要是:南北向
接入层:二层交换机,接口多,成本低,直接面向终端。
汇聚层:三层交换机,楼宇交换机,跑路由,网关在汇聚层,把数据汇聚在本地。
核心层:高速的传流量,放在机房,做链路聚合,转发数据,连服务器。
防火墙上面的路由器:一些低速接口。
数据中心一般是两层架构,没有汇聚层,流量一般东西向多,有频繁的数据交互。
OSI模型:1984年ISO提出的。
OSI模型:
来克服使用众多网络模型所带来的互联困难和低效性。
设计原则:
层与层之间有清晰的界限,比如应用工程师(实现什么样的应用功能)和电气工程师(定义接口类型、物理介质如何进行数据传输)可以钻研各自所在领域。
每个层实现特定的功能,且相互不影响
每个层即是服务者,又是被服务者
层次的数目足够多,避免各层次功能重复
优点:
1、提供了不同厂商之间的标准接口
2、每个厂商能够设计可互操作的网络设备,加快数据通信网络发展
3、每一层的协议都能单独快速升级
4、把复杂的网络问题分解为小的简单问题,易于学习和操作
OSI模型:
7 应用层:老板--应用程序利用此接口产生数据
6 表示层:替老板写信的助理,将老板产生的不同信息用不同的格式表示,如果需要加密则进行加密,需要压缩进行压缩
5 会话层:公司中收寄信,维护每封信之间的通信 --FTP-会话认证、建立通信点,进行断点续传
4 传输层:为寄件选择邮寄方式--邮政--特快与普快 --tcp、udp
3 网络层:寄件的发信人和寄信人信息, 邮局根据此信息进行寄件分拣和投递 --IP
2 数据链路层:为寄件选择运输方式并进行装箱---空运、陆运-- PPP 、Ethernet
1 物理层:寄件根据之前选择的方式在路上运输-- 光纤、双绞线 、串口线缆
应用层:为应用服务提供接口。
表示层:对数据进行处理,加解密。
会话层:应用程序之间的会话建立。
传输层:终端之间的连接建立。
网络层:寻址和路由
数据链路层:介质访问、链路管理,ppp。
物理层:不同的线,双绞线或者串行线
现在用的模型是TCP/IP模型。
两个终端之间对等层通信。
实际上, 数据链路层和物理层还是分开的。
各层的协议:
应用层:Message
传输层:segment
网络层:Packet
网络接口层:Frame
HTTP/HTTPS:用于Web服务
Telnet: 远程登录。(是明文的,不安全),现在多用SSH。
FTP:文件传输协议。(也是明文)SFTP这个安全,用的多。
TFTP: 协议简单,不支持交互,只是文件的单向传输。
DNS:域名到IP的解析。
TCP:面向连接,可靠的连接协议。
UDP:不可靠的,不建立连接,只负责传。
IP
ICMP:
IGMP:组播成员管理协议
ARP
PARP
Ethernet 802.3 两个局域网场景。
PPP HDLC FR 广域网场景。
SMTP:邮件发送协议。
DNS:可以使用TCP和UDP53。大多数使用UDP。
TCP/IP 模型(TCP/IP协议簇):
应用层 HTTP-tcp80 FTP-tcp20/21 Telnet-tcp23 dns-udp53 smtp-tcp25 pop3-tcp 110 snmp-udp161
传输层 tcp/udp
网络层 ip icmp igmp arp/rarp
网络接口层 局域网:ethernet-II 802.3 广域网:PPP HDLC FR
主机在彼此通信时,实际是TCP/IP模型层与层之间在进行交互,
在发送数据时,会经历层层封装,分别打上各层所对应的头部信息,在接受数据时,会经历解封装过程。
封装与解封装
五元组:在终端之间可以交互多种不同的数据流,不同数据流是通过5元组进行区分。
源IP,目的IP,源端口,目的端口,协议。
常见网络层协议。
ARP:地址解析协议,将IP解析成MAC。
IP地址:可以灵活配置,主要是在Internet网络中,唯一的标识一个网络节点。
MAC地址:直接烧制到网卡中,它只需要做到本网络内唯一即可,它可以网络内进行节点的标识。
免费ARP用来探测IP地址是否冲突,是否有人在用。
NMS:网关平台。
ARP:地址解析协议,将IP解析成MAC。
DHCP:用于IP地址分配。
全F是广播MAC。
ICMP:用于在IP网络之间发送控制报文,传递差错、控制、查询等信息。
他的应用:
ping查询消息
tracert 差错消息
工作原理:利用了TTL超时后,路由器会返回TTL差错消息给发送方,发送方根据报文得到经过的路由IP。
OSPF 一种基于链路状态的路由协议。
SNMP P94:网络管理平台(NMS)与被管设备之间传输信息的协议。
华为的网络管理平台:esight
SNMP的版本有 v1,v2c,v3,目前用的比较多的是v2c,单就安全来说,v3最安全。
SNMP架构:NMS,Agent,MIB。
Agent 和MIB是被管设备。
MIB是数据库,包含被管设备的维护变量。
NMS通过Agent 实现对设备的管理。Agent是一个小程序,代理进程。
NMS通过SNMP协议向Agent发送指令,对MIB库进行操作(可以获取设备的状态信息,可以对设备进行参数的设置)
传输层协议
TCP
面向连接的可靠传输协议
可靠性是基于以下几点来保障:
1、 在传输数据前建立连接
2、 有确认机制
3、 有重传机制建立TCP连接
在建立时,报文头部的确认号有两个作用:
假设当前的确认号为a+1。
- 确认我收到了a+1之前的数据
- 我希望接收到的下一个数据为a+1。
断开TCP连接P100
断开连接的过程是异步进行的,也就是当客户端无数据交互时,可提前发起连接的断开请求,只有当服务器也无数据交互时,并发起连接断开请求,此时TCP连接才会正式断开。
应用层协议
它是C/S架构,多用户可使用FTP实现文件的共享
FTP:文件传输协议。使用20和21端口
传输模式:主动和被动
服务器的21端口用来建立控制连接的,先建立三次握手连接。
主动模式下,才会用到服务器的端口20,客户端告知服务器连接用的端口号。
被动号用的是临时端口,服务器会告知客户端临时端口号
主动模式 被动模式
控制连接 源端口:随机 目的端口:21 源端口:随机 目的端口:21
数据连接 源端口:20目的端口:随机 源目端口:随机
这两种模式的区别在于服务器是主动还是被动与客户端建立数据连接。
DNS:域名解析系统。
实现域名到IP的解析。
DNS服务器类型有四种:
根服务器:全球只有13台。中国没有,DNS的根,包含了顶级域名信息。
顶级域名服务器:存.com、.edu、.cn等顶级域名。
递归服务器:万维网,也成为DNSPod,它存储了最终的域名A记录,存储官方域名解析授权的授权服务器。
缓存服务器:递归的缓存,分担递归服务器的压力,提升了解析速度。
解析的方式:
递归解析:客户端发起解析请求,最终它拿到的解析结果。
迭代解析:缓存服务器发起解析请求,根服务器根服务器会告知它应该向谁进行下一步解析,直到找到递归服务器,才会拿到最终解析结果 。
SMTP(发邮件)/POP3(收邮件)/IMAP(收邮件)