导图社区 通信与网络安全思维导图
这是一篇关于通信与网络安全的思维导图,1包含安全网络架构和保护网络组件、安全通信与网络攻击等。
编辑于2024-02-22 13:33:53通信与网络安全
11.安全网络架构和保护网络组件
OSI模型
OSI功能
封装/解封
基于 OSI 模型的协议采用“封装“机制。封装是将每个层从上面的层传递到下面的层之前为每个层接收的数据添加头部也可能添加尾部。当消息被封装在每一层时,前一层的头和有效载荷组合成当前层的有效载荷。当数据通过 OSI 模型层从应用层下移到物理层时发生封装。数据从物理层到应用层向上移动时的逆操作称为解封。
OSI模型层次
1.物理层
物理层接受来自数据链路层的帧,并将帧转换为比特,以便通过物理连接介质进行传输。物理层还负责从物理连接介质接收比特并将它们转换为数据链路层使用的帧
物理层的电气规范、协议和接口标准
硬件设备
网卡(NIC)
集线器
中继器
集中器
放大器
2.数据链路层
负责将来自网络层的数据包格式转化为适当的传输格式。正确的格式由网络硬件和技术决定,如以太网(IEEE802.3)、令牌环(IEEE802.5)、异步传输模式(ATM)、光纤分布式数据接口(FDDI)和铜线分布式数据接口(CDDI)但是,只有以太网是现代网络中常用的数据链路层技术。
协议
3.网络层
负责给数据添加路由和寻址信息。网络层接受来自传输层的段,并向其添加信息以创建数据包。该数据包包括源和目标IP地址
路由协议
分类
距离矢量
RIP
链路状态
OSPF
4.传输层
负责管理连接的完整性并控制会话。它接受PDU,来自会话层的PDU被转换为段。传输层控制如何寻址或引用网络上的设备,在节点之间建立通信连接并定义会话规则。会话规则指定每个段可包含多少数据,如何验证传输的数据的完整性,以及如何确定数据是否已丢失。会话规则是通过握手过程建立的,因此通信设备应该遵循该规则
协议
5.会话层
负责建立、维护和终止两台计算机之间的通信会话。它管理对话规则或对话控制(单工、半双工、全双工),建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的 PDU
6.表示层
负责将从应用层接收的数据转换为遵循 OSI 模型的任何系统都能理解的格式。它对数据强加了通用或标准化的结构和格式规则。表示层还负责加密和压缩。因此,它充当网络和应用程序之间的接口。该层允许各种应用程序通过网络进行交互,并通过确保两个系统都支待的数据格式来实现。大多数文件或数据格式在此层运行,包括图像、视频、声音、文档、电子邮件、网页、控制会话等格式。
子主题
7.应用层
负责将用户应用程序、网络服务或操作系统与协议栈连接。它允许应用程序与协议栈通信。应用层确定远程通信伙伴是否可用且可访问,还确保有足够资源来支持所请求的通信。
TCP/IP模型
模型简化
1.链路层
2.互联网层
3.传输层
4.应用层
TCP/IP传输协议
TCP
在OSI模型的第4层上运行,支持全双工模式,面向连接,采用可靠的会话
UDP
融合协议
专有协议与标准协议结合,使用现有的TCP/IP网络基础设施来托管特殊服务或专有服务,不需要独立部署备用网络硬件,可显著降低成本
无线网络
保护无线接入点
无线蜂窝是无线设备可连接到无线接入点的物理环境中的区域。无线蜂窝可在安全环境之外泄露,并允许入侵者轻松访问无线网络。你应调整无线接入点的强度,以最大限度地提高授权用户访问权限并最大限度地减少入侵者访问。这样做可能需要独特的无线接入点放置、屏蔽和噪声传输。
保护SSID
为无线网络分配 SSID(即 BSSID ESSID) 以将一个无线网络与另一个无线网络区分开
进行现场检查
发现非预期无线访问的物理环境区域的一种方法是执行现场调查。现场调查是调查环 境中部署的无线接入点的位置、强度和范围的过程。此任务通常涉及使用便携式无线设备走动,记录无线信号强度,并将其映射到建筑物的图纸上。
使用安全加密协议
WEP(有线等效保密)
安全性比较差
WPA(Wifi受保护访问)
密码较短容易被破解
WPA2
目前在用的无线加密方式
802.1X/EAP
WPA WPA2 都支持称为 802.lX/EAP 的企业身份验证,这是一种基千端口的标准网络访问控制,可确保客户端在进行正确身份验证之前无法与资源通信。实际上 802.lX 是一种切换系统,允许无线网络利用现有网络基础设施的身份验证服务。通过使用802.lX, 可将其他技术和解决方案(如 RADIUS TACACS 、证书、智能卡、令牌设备和生物识别技术)集成到无线网络中提供相互身份验证多因素身份验证。
PEAP
受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol, PEAP) EAP法封装在提供身份验证和可能加密的 TLS 隧道中。由于 EAP 最初设计用于物理隔离通道,因此假定为安全通道,因此EAP 通常不加密。 PEAP 可为 EAP 方法提供加密。
LEAP
轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol, LEAP)是针对安全网络架构和保护网络组件WPA TKlP 的思科专有替代方案。这是为了解决在 802.lli/WPA2 系统作为标准之前的 TKlP中存在的缺陷。 2004 年发布了一种名为 Asleap 的攻击工具,可利用 LEAP 提供的最终弱保护。应尽可能避免 LEAP; 建议改用 EAP~TLS, 但如果使用 LEAP, 强烈建议使用复杂密码。
MAC过滤器
MAC 过滤器是授权无线客户端接口 MAC 地址的列表,无线接入点使用该 MAC 地址来阻止对所有未授权设备的访问。虽然这是一个有用的实现功能,但它可能很难管理,并且往往只在小型静态环境中使用。此外,具有基本无线黑客工具的黑客可发现有效客户端的 MAC 地址,然后将该地址伪装到其攻击无线客户端上。
TKIP协议
TKlP 被设计为 WEP 的替代品,不需要替换传统的无线硬件。 TKlP WPA(Wi-Fi 保护访 问)的名称实施到 802.11 无线网络中。 TKlP 改进包括密钥混合功能,该功能将初始化向量(即随机数)与秘密根密钥组合,然后使用该密钥与 RC4 进行加密;序列计数器用千防止数据包重放攻击;并使用了名为 Michael 的强大完整性检查。TKlP WPA 2004 年被 WPA2 正式取代。此外,针对 WPA TKIP 的攻击(即 coWPAtty和基于 GPU 的破解工具)使 WPA 的安全性不可靠。
CCMP
天线放置
天线类型
调整功率电平控制
WPS
Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。它旨在减少将新客户端添加到无线网络的工作量。当管理员通过按下基站上的 WPS 按钮触发该功能时,它通过自动连接第一个新的无线客户端来寻找网络。但是,该标准还要求可以远程发送到基站的代码或个人身份识别码(Personal Identification Number, PIN), 以便在不需要按下物理按钮的情况下触WPS 协商。这导致了蛮力猜测攻击,使得黑客能在数小时内(通常不到 小时)猜测 WPS码,这反过来又使黑客能将自己的未授权系统连接到无线网络。
使用强制门户
强制网络门户是一种身份验证技术,可将新连接的无线 Web 客户端重定向到门户网站访问控制页面。门户页面可能要求用户输入支付信息,提供登录凭据或输入访问代码。强制门户还用千向用户显示可接受的使用策略、隐私策略和跟踪策略,用户必须先同意策略才能通过网络进行通信。强制网络门户通常位千为公共用途实施的无线网络上,例如酒店、餐馆、酒吧、机场、图书馆等。但它们也可用千有线以太网连接。
一般WI-FI安全程序
无线攻击
wifi扫描器
无线扫描仪用于检测无线网络的存在。由千基站将发射无线电波,即使是禁用 SSID 广 播的基站,也可以检劓到任何未封装在法拉第笼中的活动的无线网络。
恶意接入点
Evil Twin
黑客操作虚假接入点,该接入点将根据客户端设备的连接请 求自动克隆(或李生)接入点的身份。每当典型设备成功连接到无线网络时,它都会保留无线 网络配置文件。当设备处千相关基站的范围内时,可用这些无线配置文件自动重新连接到网 络。每次在设备上启用无线适配器时,都会在其无线配置文件历史记录中向每个网络发送重 新连接请求
安全网络组件
网络访问控制(network access control)
通过严格遵守和执行安全策略来控制对环 境的访问。 NAC 是一个自动检测和响应系统,可实时做出反应,以确保所有受监控系统的补 丁和更新都是最新的,并符合最新的安全配置,同时防l卜未经投权的设备进入网络。
防火墙
防火墙是管理、控制和过滤网络流量的重要工具
端点安全
EDR 端点检测和响应(endpointdetection and response)
EPP
EPP是EDR的变体,就像IPS是IDS的变体一样。 EPP的重点是四个主要的安全功能: 预测、预防、检测和响应。
布线、无线、拓扑、通信和传输介质技术
传输介质
同轴电缆
基带和宽带电缆
双绞线
导线
光缆
网络拓扑
环形拓扑
环形拓扑将每个系统连接为圆上的点
总线拓扑
总线拓扑将每个系统连接到干线或主干电缆
线型
树型
12.安全通信与网络攻击
网络与协议安全机制
身份验证协议
密码身份认证协议PAP
征询握手身份认证协议CHAP
可扩展身份认证协议EAP
端口安全
物理控制
管理TCP和UDP端口开放
增加身份验证
IEEE 802.lX
服务质量
关注吞吐量、比特 率、数据包丢失、延迟、抖动、传输延迟和可用性
语音通信的安全
VoIP(Voiceover Internet Protocol, 网络电话)
是一种将语音封装在 IP 包中的技术,该技术 支持在 TCP/IP 网络中打电话。 VoIP 也是许多结合音频、视频、聊天、文件交换、白板和应 用程序协作的多媒体消息服务的基础。
社会工程
语音钓鱼
电话飞客
防范
要一直对任何看起来奇怪的、来历不明的或意外的语音通信倍加小心。
在继续进行涉及敏感、个人、财务或机密信息的通话之前,要一直进行身份认证。
对于所有单一语音请求的网络变更行为,要进行“回叫“授权。回叫授权的过程是: 首先断开来电者的通话,然后使用来电者的预设号码回叫该用户(该号码通常存储在 公司目录中),以验证用户身份。
对信息(用户名、密码、 IP 地址、经理姓名、拨入号码等)进行分级,并渚楚地标识出 可通过语音通信讨论或确认的信息。
如果有人通过电话索要特权信息,而且此人应该知道此种行为是违反公司安全策略 的,那么,你应询问此人请求信息的原因,并再次检验他的身份,还应将此种活动报 告给安全管理员。
严禁通过单一语音通信交出或更改密码。
阻止与语音钓鱼关联的号码。
不要假设显示的来电 ID 是有效的。应该利用来电 ID 标示你不想和谁说话,而不是 确认谁在打电话。
远程访问安全管理
远程访问形式
在互联网上通过 VPN 接入网络。
连接到 WAP(本地环境将其视为远程访问)。
通过瘦客户端连接接入终端服务器系统、大型机、虚拟私有云(VPC)端点、虚拟桌面 接口或虚拟移动接口。
使用远程桌面服务,如 Microsoft 的 Remote Desktop、 TeamViewer、 GoToMyPC、 LogMeIn、 CitrixWorkspace或VPC接入办公区域的个人计算机
使用基千云的桌面解决方案,如 AmazonWorkspace、 AmazonAppStream、 V2Cloud和 MicrosoftAzure。
使用调制解调器直接拨入远程访问服务器。
远程访问技术类型
特定服务
远程控制
远程节点操作
抓屏录屏
远程连接安全
远程用户应该经过严格的身份认证才能获得访问权限。
只有那些工作中需要远程访问的特定用户,才有权建立远程连接。
所有远程通信都要防止被拦截和窃听。这样做通常需要加密技术来保护身份认证信息 与数据传输。
在传输敏感、有价值或个人信息前需要建立安全的通信通道。如果没有充分的保护和监 视,远程连接可能带来几个潜在的安全问题。
任何具备远桯连接的人员,如果企图破坏组织的安全,物理安全的防护效果会降低。
远程办公人员可能使用不安全或低安全的远程系统来访问敏感数据,这样会给数据带 来巨大的丢失、破坏与泄露风险。
远程系统可能遭受恶意代码攻击,并可能成为恶意代码传入专用网络的载体。
远程系统可能在物理上不够安全,因而也存在被非法实体滥用或偷窃的风险。
远程系统可能难以进行故障定位,尤其是出现有关远程连接的问题时。
远程系统可能难以升级或打补丁,原因在千其较少的连接或较慢的连接速度。如果存 在高速宽带连接,这些问题会有所缓解。
规划远程访问安全策略
远程连接技术
每种连接都有其独特的安全问题。要对所选连接的各个方面进行全面的 检查。可能的连接包括蜂窝/移动通信、 PSTN调制解调器、有线电视互联网服务、数字用户 线路 (DSL)、光缆连接、无线网络和卫星通信
传输保护
有几种形式的加密协议、加密连接系统以及加密网络服务或应用。根据远程 连接的需要选择合适的安全服务组合。可供选择的服务包括 VPN/TLS。
身份认证保护
除了要保护数据流量,还要确保所有登录凭证的安全。需要采用安全身 份认证协议以及必要的中心化远程访问身份认证系统和多因素验证。
远程用户助手
远程访问用户有时可能需要技术上的协助。所以必须提供尽可能有效的 获得协助的方法。比如,解决软硬件问题以及培训问题。如果组织无法给远程用户提供必要 的技术支持,可能导致工作效率下降、远程系统受损,或破坏组织整体的安全。
多媒体合作
远程会议
远程会议技术可应用于任何产品、硬件或软件,支持远程实体间进行交互。这些技术或 方案被冠以很多术语:数字合作、虚拟会议、视频会议、软件或应用合作、共享白板服务、 虚拟培训方案等。任何支持不同用户之间进行通信、交换数据、协作完成材料/数据I文档以 及其他合作的服务,都可被视为远程会议技术服务。
存在的问题
服务是否使用了强身份认证技术?
通信是否采用了开放协议或加密通道?
加密是从端点到中心服务器,还是端到端?
.是否允许真正删除会议内容?
是否对用户活动进行审计与日志记录?
未经授权的实体能否参加私人会议?
与会者能否通过语音、图像、视频或文件共享插入会议?
即时通讯
IM(instant messaging, 即时通信,实时消息或聊天)是一种实时通信工具,能为互联网上 任何地方的两个或更多用户提供基于文字的聊天功能。
负载均衡
负载均衡的目的是获得更优化的基础设施利用率,最小化响应时间,最大化吞叶量,减 少过载和消除瓶颈
调度技术
管理邮件安全
邮件安全目标
消息只有收件人可以访问(即隐私与保密性)。
维护消息的完整性。
身份认证和验证消息源
提供不可否认性
验证消息的传递。
对消息或附件中的敏感内容进行分级。
理解邮件安全问题
邮件是较常见的传播病毒、蠕虫、特洛伊木马、文档宏病毒及其他恶意代码的途径
垃圾邮件 (spamming)攻击
拒绝服务(DoS)攻击
邮件安全解决方案
安全/多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extensions, S/MIME) s/MlME
良好隐私 (Pretty Good Privacy, PGP)
域名关键字标识邮件(DomainKeys Identified Mail, DKIM)
发件人策略框架 (Sender Policy Framework, SPF)
域消息身份认证报告和一致性 (Domain Message Authentication Reporting and Conformance, DMARC)
虚拟专用网
隧道技术
隧道技术(tunneling)是一种网 络通信过程,通过将协议数据包封装到另一种协议报文中,对协议数据内容进行保护。从逻 辑上看,这种封装在不可信的网络中创立了通信隧道。这个虚拟通道位千不同通信端上的封 装实体与解封实体之间。
VPN的工作机理
传输模式
在传输模式下, IPsec 仅为有效负载提供加密保护,并使原始消息头保待不变。这种类型的 VPN 也被称为主机到主机 VPN 或端到端加密 VPN, 因为通 信在连接的主机之间传输时保持加密。传输模式 VPN 不对通信的报头进行加密,因此最好 仅在单个系统之间的可信网络中使用。当需要跨越不受信任的网络或链接到和/或来自多个系 统时,应使用隧道模式。
子主题
隧道模式
隧道模式链路或 VPN 在连接网络(或一个远程设备)边界上的 VPN 设备处终止(即被铀定 或终止)。在隧道模式下, IPsec 通过封装整个原始 LAN 协议数据包并添加自己的临时 IPsec 头,为有效负载和消息头提供加密保护
子主题
常用的VPN协议
点对点隧道协议
PPTP(Point-to-Point Tunneling Protocol, 点对点隧道协议)是一种在拨号点对点协议基础 上开发的淘汰的封装协议。它运行在 OSI 参考模型的数据链路层(第 2 层),用于 IP 网络。 PPTP 使用 TCP 1723 端口。 PPTP 通过 PPP 同样支持的身份认证协议,为身份认证流量提供保护:
密码身份认证协议 (PAP)
征询握手身份认证协议(CHAP)
可扩展身份认证协议(EAP)
微软的征询握手身份认证协议 (MS-CHAPv2)
第2层隧道协议(L2TP)
第 2 层隧道协议(Layer 2 Tunneling Protocol, L2TP)是结合 PPTP 和 Cisco 的第 2 层转发 (L2F)VPN 协议的特点开发的。
ssh
Secure Shell(SSH)是-Telnet(TCP23端口)和许多UMX行“工具(如-rlogin、 rshrexec 和 rep)的安全替代品。 Telnet 提供对系统的明文远程访问,而所有 SSH 传输(身份认证和数据交 换)都是加密的, SSH通过 TCP22端口运行。 SSH经常与终端仿真器程序(如 Minicom或 PuTTY) 一起使用。 SSH 的用例涉及远程连接到 Web 服务器、防火墙、交换机或路由器,以便进行配 置更改。
openvpn
OpenVPN基千 TLS(正式的 SSL)提供了一个易千配置但安全可靠的 VPN选项。OpenVPN 是一种开源实现,可以使用预共享密码或证书进行身份认证。许多 WAP 支待 OpenVPN, 这是一种本机 VPN 选项,用千将家庭或商业 WAP 用作 VPN 网关。
虚拟局域网
分割隧道与全隧道
分割隧道
分割隧道(split tunnel)是一种 VPN 配置,允许 VPN 连接的客户端系统(即远程节点)同时 通过 VPN 和互联网直接访问组织网络。因此,分割隧道同时授予到互联网和组织网络的开 放连接。这通常被认为是组织网络的安全风险,因为当建立分割隧道 VPN 时,存在从互联 网通过客户端到 LAN 的开放路径。通过 VPN 连接到 LAN, 客户机被认为是可信的,因此不 常使用过滤。客户机本身通常没有好的过滤服务。因此,若要传输恶意代码,发起入侵或泄 露机密数据,这种分割隧道路径比直接局域网到互联网链接(由防火墙过滤)更易千使用。
子主题
全隧道(full tunnel)是另一种 VPN 配置,在该配置中,客户端的所有流量都通过 VPN 链 路发送到组织网络,然后任何以互联网为目的地的流呈从组织网络的代理或防火墙接口路由 到互联网。全隧道确保所有流晕都由组织网络的安全基础设施过滤和管理。
网络地址转换
私有IP地址
A类地址
10.0.0.0 到 10.255.255.255
B类地址
172.16.0.0 到 172.31.255.255
C类地址
192.168.0.0 到 192.168.255.255
状态NAT
NAT 维护了内部用户请求、内部用户 1P 地址以及互联网服务 1P 地址之间的映射表。当 收到一个来自内部用户的请求报文时, NAT 会将该报文的源地址更改为 NAT 的服务器地址, 所做的更改信息与目标地址一起记录到 NAT 数据库中。从互联网服务器上接收到回复信息 后, NAT将回复信息中的源地址与存储在映射数据库中的地址进行对比,确定该信息所属的 用户地址,再将该回复信息转发给接收者。该过程被称为“状态 NAT", 因为它维护了用户 与外部系统之间的通信会话信息。
自动私有IP分配
自动私有 1P 分配 (Automatic Private IP Addressing, APIPA)也被称为本地链路地址分配(在 RFC3927中定义),它在动态主机配置协议(DynarnicHostConfigurationProtocol, DHCP)分配 失败的情况下,继续为系统分配 IP 地址。 APIPA 主要是 Windows 系统的一个功能,因为没 有其他操作系统采用该标准。
交换技术
电路交换
电路交换(circuit switching)最初旨在管理公用电话交换网络中的电话呼叫。在电路交换 中,两个通信实体之间需要建立专门的物理通道
分组交换
分 组交换(packet switching)技术将估息或通信内容分为很小的段(固定长度单元或可变长度数据 包,具体数值取决千所使用的协议和技术),并通过中间网络将这些分组传送到目的地。
WAN技术
WAN连接技术
W AN(wide area network, 广域网)将远距离网络、节点或单独的设备连接起来。 WAN 链 路能改善通信,提高效率,但也会给数据带来风险。
虚电路
PVC(permanent virtual circuit, 永久虚电路)
SVC(switched virtual circuit, 交换式虚电路)
光纤技术
SDH(Synchronous Digital Hierarchy, 同步数字系列)与 SONET(Synchronous Optical Netwo欢, 同步光纤网络)是光纤高速网络标准。 SDH 是国际电信联盟(ITU)标准,而 SONET 是美国国 际标准化研究所(ANSI)标准。 SDH与SONET主要是硬件及物理层标准,定义了基础设施及 线速需求。 SDH与SONET使用同步时分复用(TDM)技术,实现了高速全双工通信,同时将 日常的控制及管理需求降至最低。
多种安全控制特征
透明性
顾名思义,透明性 (transparency)是服务、安全控制或访问机制的一个特征,确保对用户 不可见
传输管理机制
传输日志
传输日志 (transmission logging)是一种专注千通信的审计技术。传输日志记录源地址、目 标地址、时间戳、识别码、传输状态、报文数量、消息大小等详细信息。对千故障的定位、 非法通信的追踪或系统工作数据的提取,这些信息都是十分有用的。
传输错误纠正
传输错误纠正(transmissionerror correction)是面向连接或会话的协议及服务的内置功能。 该功能要求在确定一条消息的整体或部分受到了破坏、更改或丢失时,能够向信源发送请求, 要求重新发送消息的整体或部分。
防止或减轻网络攻击
窃听
窃听 (eavesdropping)是指偷听通信过程,以复制并获取通信内容。复制可采用 的手段包括:将数据录制到存储装置上,或使用提取程序从流晕数据中动态提取原始内容。 攻击者如果获得流量内容,就可能提取出多种形式的保密信息,如用户名、密码、处理过程 和数据。
篡改攻击
在篡改攻击(modification attacks)中,捕获的报文经过修改后又被发送给系统。修改报文 主要是为了绕过改进型身份认证机制与会话序列的限制。应对篡改重放攻击的措施包括使用 数字签名验证及报文校验和验证(如完整性检查)。