CISSP4 : Connection and Network Security
2.Data Link Layer802.1 802.11 WPA(Wifi Protected Access) PPP ARPRARP L2TP(Layer2 Tunneling Protocol) EAP(Entension Authentication Protocol)2.1局域网有线802.3(以太网标准)、、STP无线802.11(Wi-Fi标准)802.1802.1Q(VLAN)802.1AEMACsec媒体访问控制安全链路层加密对二层帧做加密、完整性校验。802.1ARSecure Device Identity安全设备身份设备唯一标识认证。802.1AF密钥协商配合 MACsec 做密钥分发。802.1X端口准入认证网络接入控制 NAC身份认证不做数据加密。WPA(1/2/3) 替代了WEP无线安全加密WPA代替WEPWi-Fi Protected AccessWired Equivalent PrivacyWPA(TKIP MIC加密)-WPA2/WPA3(AES加密)2.2 地址解析ARP/RARPIPv4 地址32 位→ MAC 硬件地址48 位Address Resolution Protocol2.3 PPP拨号PPP(替代SLIP):PPPoE/PPTPPAP明文 → 不安全CHAP质询 哈希 → 更安全Serial Line Internet ProtocolPoint-to-Point Protocol over EthernetPoint-to-PointTunnelingProtocolISDN早期承载PPP现被已被光纤、宽带、4G/5G 淘汰Integrated Services Digital Network2.4远程接入L2TP/L2FLayer2 Tunneling Protocol/Layer 2 Forwarding2.5认证框架EAP(认证框架)PEAP/LEAP(认证)Extensible Authentication Protocol(Protected/Lightweight)FCoE不使用 IP/TCP直接在以太网上承载光纤通道报文3.Network LayerIP(IPv4/IPv6)寻址、路由选择实现跨网络转发数据IPSec(AH/ESP/IKE非本层)AH认证头部完整性 数据源认证不加密ESP封装安全载荷加密 认证主流使用IKE对等身份验证、密钥交换协议不属于网络层负责协商 IPSec 密钥IKE Phase 1 完成对等体身份认证建立IKE SA管理通道IKE Phase 2 依托阶段 1 的安全通道协商IPSec SA数据隧道不重复身份认证Tunnel Mode整个原始 IP 数据包原始 IP 头部 载荷数据再新增一层外部 IP 头Transport Mode只加密数据保留原始 IP 头部| 仅保护传输内容不加密 IP 包头。Encapsulating Security PayloadInternet Key Exchange基础寻址 / 控制ICMP专门传递网络层报错、告警、状态信息ping、路由追踪、故障提示全靠它IGMP组播一对一组Internet Control Message ProtocolInternet Group Management Protocol把数据藏在 ping 包里的通过ICMP传输路由协议RIP/OSPF/BGPRouting Information ProtocolOpen Shortest Path FirstBorder Gateway Protocol4.Transport Layer都是16 bits的端口TCPTransmission Control Protocol--Segment长消息、可靠、具备重传、纠错、流量控制UDPUser Datagram Protocol--Datagram6.Presentation LayerSSL/TLS 介于应用层与传输层之间专门加密 HTTP 流量形成HTTPS非对称算法运算慢只用来做认证和密钥交换对称算法速度快负责全程数据加密是业界标准组合方案SSL最初Netscape公司研发后续逐步被 TLSSSL 先握手协商密钥会话层底部再传输业务数据传输层顶部一钥共用是对称公私成对是非对称A 的公钥加密→ 只能用 A 的私钥 解密一、SSL 握手核心流程密钥协商客户端、服务器交换随机数客户端生成预主密钥PMS用服务器公钥加密PMS发送给服务端服务器用自身私钥解密得到原始PMS两端共同持有PMS 客户端随机数 服务器随机数双方使用统一算法、独立运算算出完全一致的主密钥 (Master Secret)。由主密钥衍生出对称会话密钥短期用于后续数据加密二、SSL 数据传输加密 完整性校验1. MAC 消息认证码Message Authentication Code (MAC) Hash(共享密钥 原始数据) 哈希摘要不能反推2. 发送流程原始数据 → 生成MAC值→ 数据MAC加密 → 发送3. 接收校验流程解密 → 拆分数据与 MAC → 重新计算 MAC → 对比两者是否一致注意对称加密 做不到不可否认性不具备不可否认性无签名无法抵赖溯源编码ASCII、MIME多媒体JPEG,MPEG, and MIDISecure Sockets LayerTransport Layer Security7.Application Layer文件传输类FTP/FTPS/TFTP/SFTP---Trivial/SSH文件TFTP极简设计无认证、无安全局域网内传输设备引导文件、固件、配置文件File Transfer Protocol SecureFile Transfer Protocol邮件SMTP/POP3/IMAP MIMESimple Mail Transfer Protocol 简单邮件传输协议Post Office Protocol v3 邮局协议版本 3Internet Message Access Protocol 互联网消息访问协议Multipurpose Internet Mail Extensions 多用途互联网邮件扩展S/MIME:Secure/****网络基础服务DNS/DHCPDomain Name SystemDynamic Host Configuration ProtocolLDAP/LDAPS(目录)Lightweight Directory Access Protocol Secure身份认证Kerberos/RADIUS/TACACS/Diameter先用 RADIUS/TACACS/Kerberos 验证用户身份再由 IKE 协商 IPSec 隧道加密密钥协同完成安全接入Kerberos票据式单点认证RADIUS集中式远程认证、计费DiameterRADIUS 升级版TACACS远程访问认证、授权、审计AAA加密PGP Pretty Good Privacy主要用于邮件、文件加密 / 签名登录Telnet/SSH/RDP()Telnet明文 → 不安全淘汰SSH全程加密 →替代Telnet 以实现安全远程登录非对称算法运算慢只用来做认证和密钥交换对称算法速度快负责全程数据加密是业界标准组合方案Teletype NetworkSecure Shell 安全外壳协议RDPRemote Desktop Protocol运维类SNMPSNMP 版本 1 和 2 以明文形式发送字符串值但在版本 3 中添加了加密功能提供加密、消息完整性和身份验证安全性NTP / SyslogSimple Network Management Protocol 简单网络管理协议Network Time Protocol 网络时间协议文件共享SMB / CIFS CIFS 是 SMB 的早期版本CIFSCommon Internet File System早期 Windows 文件共享标准SMBServer Message Block 服务器消息块其他iSCSI基于 TCP存储挂载将 SCSI 存储指令封装在 IP 网络传输 低成本替代光纤通道的方案VoIPNNTP/XMPPNetwork News Transfer Protocol 网络新闻传输协议Extensible Messaging and Presence Protocol 可扩展消息与存在协议SQL音视频SIP/RTP/SRTPSession Initiation Protocol 会话初始协议Real-time Transport Protocol 实时传输协议Secure Real-time Transport Protocol 安全实时传输协议5 1层5.Session LayerRPC NetBIOS(window局域网)NFS RPC(远程调用)SOCKSRemote Procedure CallNetwork Basic Input/Output SystemSocket SecureNetwork File System1.Physical LayerHSSI E.21 V.35High-Speed Serial Interface