Featured image of post 第05节:通信和网络安全(上)
CISSP

第05节:通信和网络安全(上)

CISSP课程笔记

目录

image-20240421141454182

网络安全概述

网络安全目标

image-20240421143450209

1、互操作性:不同的安全机制互相配合的方便性

2、对终端用户透明:减少对用户日常使用的干扰

3、防数据流非授权泄露与消息非授权泄露的区别:数据流的特征,比如流量大小、频率

4、如何防范数据流非授权泄露?

在没有业务的时候放上一些垃圾流量,干扰入侵者的判断

网络通信基础

数据网络及其分类

image-20240421143739916

增值网:在该网络上传播的信息比一般网络更有价值

数据网络构成

image-20240421151214633

信道服务单元:监视数据转换的结果,两边电路的情况,保证转换过程可靠、正常的使用

数据服务单元:将局域网的信息数据帧转换成能在广域网上传输的格式

image-20240421152101459

1、一个设备越偏向于应用层,它的安全功能往往就越多,反之功能越少

2、考试中,网关的定义有可能是应用层的概念(连接不同协议)

数据网络技术

1、同步通信要求通信双方的时钟保持一致;异步通信则不需要,但需要引入时钟开始标记,占用部分带宽资源。

2、宽带连接:用以太网的技术将用户设备连接到局端的设备上

3、基带通信:信号仅用一个频率的载波承载,以太网属于典型的基带网络

4、宽带通信:信号可以分布到不同载波的电缆中,即整个电缆被划分为不同信道。有线电视是典型的宽带网络

数据发送模式

1、单播:一次只向一个地址发生数据包

2、广播:每次向同一个子网或网络中的所有地址发生数据包,广播滥用容易引发系统性能问题

3、多播(组播):每次向多个地址发送数据包(借助成员地址)

5、任播:IPv6带来的技术手段,向一个地址发送信息时,多个主机都能收到,都有类似的业务能力,任何一个主机实现了服务后,这个业务就结束了(类似DNS服务)

传输介质

1、同轴电缆:成本高、抗电磁干扰能力强;分为粗缆和细缆,细缆传输距离近,粗缆远

安全规则:5-4-3规则,可借助4个中继器连接最多5个网段,但只有其中3个网段可以连接主机

2、双绞线:

image-20240421163137661

①双绞线的分类不影响传输距离,但影响传输速率

②双绞线是最受距离限制的常规通信介质(除了无限通讯以外)

③距离越长受干扰的几率就越大

3、光纤

image-20240421163644951

注:光纤不抗窃听!!!!

局域网技术

网络拓扑结构

总线型、环型、星型、树型、网型

总线拓扑

总线如何保证安全性?

载波侦听、多路存取(存在征用问题),所以要有冲突检测

2、存在单点故障,即任何一处中断,整个总线将丧失功能

3、总线拓扑也称为被动拓扑:只听不发(相对于其他设备而言)

环型拓扑

1、环型拓扑也称为主动拓扑,即每个设备都帮其他设备转发信号

2、也存在单点故障,不但线断了会丧失功能,设备坏了也会丧失功能

星型拓扑

1、集线器或者交换机为拓扑的核心

2、只要核心不坏就不会出现单点故障(解决了总线和环的单点问题)

3、用的线很多,在早期不适用,自从双绞线诞生后才普及

树型拓扑

总线和星型拓扑的融合,结构中不存在闭环

网状拓扑

1、每个节点与其他所有节点进行互联

2、互联网出现的原因

介质访问方法

1、CSMA:载波监听,多路存取

CSMA/CD:带有冲突检测的载波监听,多路存取(监听线路上的电平值)

3、CSMA/CA:带有冲突避免的载波监听,多路存取(无线网络用的多),每个设备的使用时间都是错开的,但如果设备某时段不使用,则会浪费资源,通信效率比较低

4、轮询:一个主站点定期检查次站点是否有数据传输,次站点只有得到主站点许可后才能传输。

5、令牌传递:环型拓扑里防冲突的方式。

冲突域和广播域

image-20240421171030431

由于现在大多使用交换机组网,很少使用集线器。而交换机上一个端口就是一个冲突域,所以冲突域的概念逐渐被淡化。

2、一个网段在发送广播数据帧的时候,该网段下的设备都能收到,这个网段就构成一个广播域。而广播容易带来性能问题,因此一个网段的机器数量不能太多。因此用路由器来分割广播域,降低广播带来的性能问题。

局域网设备

image-20240421171509126

一个安全域出于划分广播域的要求,可以使用VLAN来隔离;不同的安全域不应该通过一个交换机的VLAN来隔离,而应该通过不同的物理交换机来隔离。

image-20240421172634361

广域网技术

电路交换链接

真正的电路交换是传统意义上通信双方独占一根线路进行通信

image-20240421173111361

分组交换链接

帧中继是一种分组交换技术

image-20240421173148050

X.25会在每个节点检查信号的完整性。后来传输条件好了才有了帧中继技术,即不需要每个节点进行检查。

信元交换链接

image-20240421173631181

广域网虚电路★

为了保证在某些资源有限设备上,用户通信的时候不会产生严重的质量问题(满负荷情况下,如何防止新的接入把原有的通信挤掉),而产生虚电路技术。

image-20240421174021803

虚电路其实就是一个检查链路上每个节点是否有满负荷的情况,若有满负荷的情况,则让通信等待一段时间。

广域网接入技术

image-20240421174600017

War Dialer是一种类似于nmap的扫描技术,可以发现一些缺乏安全保护的老旧设备。

image-20240421174832528

PBX是一种交换机,即公司内部使用的电话业务网络

image-20240421175126171

网络协议常识

OSI参照模型

表示层的安全问题很复杂

TCP/IP协议组

重要,送分,略

IP协议

image-20240423204102663

NAT端口映射可以缓解IPv4不足的情况

IPv6缩位表示法

image-20240423204642661

TCP协议

image-20240423204759612

stream流表示需要确保顺序的准确性,乱序就会失去价值

序列号、旗标位需要加深理解

UDP协议

image-20240423205117538

ICMP协议(故障诊断网络)

image-20240423205232208

有针对ICMP协议的DOS攻击(死亡之ping)

DNS协议(域名解析协议)

DNS污染攻击(UDP攻击)

ARP协议(地址解析协议)

image-20240423205722078

© 2024 B1ain | 行者
本博客已稳定运行
发表了13篇文章 · 总计29.11k字
森 ICP备2024001234
Built with Hugo
主题 StackJimmy 设计