CISSP要点第七章网络安全.docx
《CISSP要点第七章网络安全.docx》由会员分享,可在线阅读,更多相关《CISSP要点第七章网络安全.docx(17页珍藏版)》请在冰豆网上搜索。
CISSP要点第七章网络安全
表示层(PresentationLayer),第六层,从应用层协议接收信息,然后将信息变成所有遵守OSI模型的计算机都能理解的格式。
这一层提供了一种能被末端系统正确处理的用一个结构表示数据的方式。
表示层不管数据的含义,只关心数据的格式和语法。
它像一个翻译器那样工作,将应用程序使用的格式翻译成能在网络上用于消息传递的标准格式。
这一层也处理数据压缩和加密。
如果应用层的一个程序请求在将某个文件传送至网络之前,对其进行压缩和加密,这时,表示层就可以向目标计算机提供必要的信息。
这些信息包括有关加密或所使用的压缩类型的指令,以及如何向用户正确呈现这个文件。
指令被添加到数据包中,用于告知接收系统如何正确地解密或解压缩数据。
会话层(SessionLayer),第五层,负责在两台计算机间建立连接,在传送数据的过程中保持连接并控制连接的释放。
与电话电路系统的工作方式相似,会话层的工作分三个阶段:
建立连接,数据传输,释放连接。
如果需要的话,还能提供会话的重新开始和恢复,以及完整会话的维持。
当会话结束时,路径被拆除并且所有参数恢复到初始设置。
这一过程被称为对话管理(DialogManagement〉。
工作在这一层的协议有网络文件系统(NFS)、结构化查询语言(SQL)、NetBIOS和远程过程调用(RPC)。
会话层协议使得两台计算机能以三种不同的模式通信:
•单向模式通信只能是单方向的。
•半双工模式通信能在两个方向进行,但是一次只能有一个系统发送信息。
•全双工模式通信能在两个方向进行,而且两个系统能同时发送信息。
会话层协议控制应用程序之间的通信;而传输层协议处理计算机之间的通信。
表示层
表示层中的服务用于处理标准格式的转译、数据压缩与解压,以及数据加密与解密。
这个层中没有协议工作,只有服务。
下面是表示层中的一些标准:
•美国信息交换标准编码(ASCII)
•扩展二进制编码十进制交换模式(EBCDIC)
•标签图像文件格式(TIFF)
•联合影像专家组(JPEG)
•活动图像专家组(MPEG)
•乐器数字接口(MIDI)
会话层
会话层协议在应用程序之间建立连接:
维持会话控制,并协商、建立、维持和撤销通信通道。
以下为在这个层中工作的一些协议:
•网络文件系统(NFS)
•NetBIOS
•结构化查询语言(SQL)
•远程过程调用(RPC)
两个设备可以通过异步和同步的方式通信,这取决于通信的种类和两个系统是否通过某种方式进行同步。
异步通信(AsynchronousCommunication)在两个设备不进行同步时使用。
发送者可以在任何时刻发送数据,接收者必须总是准备好的。
相反,同步通信(SynchronousCommunication)发生在两个同步的设备之间,通常通过一种时钟机制(ClockingMechanism)。
当两个设备有大量的数据需要传输时,它们会采用同步传输:
而小置的数据,它们会采用异步传输。
异步通信的一个例子发生在终端和终端服务器之间。
调制解调器也使用异步数据传输。
因为数据可能在任何时候发送,而且可能以任何长度,必须有一个结束和开始的分隔标志,告诉接收端何时开始处理一个请求,何时结束。
每个字符实际上是1和0的串,在字符的前后有字符开始位和结束位。
这产生了大量的开销和额外的比特位,但是这在异步通信中是必须的。
同步通信'以比特流的方式传输数据,而不是用开始位和结束位组织数据。
同步可以发生在采用同种时钟机制的两个系统之间,或者信息被编码在数据流中,让接收端同步发送端的消息。
这种同步必须在第一个消息发送之前完成。
发送系统可以发出一个数字时钟脉冲到接收系统,它可以翻译成“我们现在开始,用这种同步方案工作。
”基带占用整条电缆传输,但是宽带(Baseband)通常将电缆分为通道,以便不同的数据能同时发送。
基带只允许同时发送一个信号,而宽带在不同的通道上携带多个信号。
以太网是一次只能发送一个信号的基带网络。
LAN介质访问技术
与WAN相比,对LAN的定义关注得更多的是物理介质、封装协议和功能。
这些技术的差别大多在数据链路层。
以太网定义有以下特征:
•共事介质(所有设备必须轮流使用相同的介质并检测冲突)。
•使用广播和冲突域•
•采用带有冲突检测的载波监听多路访问(CSMA/CD)技术。
•在双绞线实现上支持全双工。
•能使用同轴电缆或双绞线介质。
•由IEEE802.3标准定义。
光纤分布式数据接白(FiberDistributedDataInterface,FDDI)技术是由美国国家标准协会(ANSI)提出,它是高速令牌传递介质访问技术。
FDDI拥有100Mb/s的数据传输速率,通常使用光缆作为主千网络。
FDDI同时通过第二个反向旋转光纤环路实现容错。
主环以顺时针传送数据,用于常规的数据传输。
副环以逆时针传送数据,它在主环出故障时才会被激活。
传感器监视主环,如果它出现故障,这些传感器激活环回(RingWrap),以便数据转到副环。
FDDI网络上的每个节点都有中继,连到两个外环上,因此如果环上出现断裂,两个环还能够接起来。
FDDI有一个能工作在UTP布线上的版本:
铜缆数据分布接口(CDDI)。
如果说FDDI更多地用于主干的话,CDDI能用于LAN环境中连接系统。
内核代理(KernelProxy)防火墙被认为是第五代防火墙,和以往的所有防火墙技术不同,一旦需要处理数据包,它会建立动态的、定制(Customized)的TCP/IP栈。
网络操作系统(NOS)是一种特殊的软件,它旨在控制网络资源访问和提供必要的服务,帮助一台计算机与周围的网络进行交互。
NOS不同于单用户操作系统。
NOS在客户机/服务器模式下工作,它对资源、文件和应用程序进行集中控制,所有用户在服务器上访问它们(而不畢在每个工作站上都保存这些资源的单个备份)NOS对系统和组件之间的连接和链接进行管理。
NOS也有网络环境和审计功能所必需的内置验证机制。
单用户操作系统能够在一个对等环境(一种工作组)下运行,并执行资源和文件共享。
但是,对等环境并不提供多数环境所必需的安全、集中管理和访问控制。
网络信息系统(NIS)主要用于分配网络资源。
NIS通过一个中央NIS服务器,帮助用户和应用程序定位和访问网络上的文件和程序。
NIS—般用于“追踪”密码文件、电子邮件别名和主机表。
NIS在一个客户机/服务器构架下工作。
工作站运行一个客户端进程(ypbind),它通过一个广播识别NIS服务器进程(ypserv)。
为安全起见,开发人员实际上只增加了安全远程过程调用(S-RPC)。
RPC是一个协议,将在第11章详细讨论;但现在,你只需要知道它允许客户端和服务器在客户机/服务器模式下进行通信。
当NIS客户端需要与NIS服务器建立通信,以及NIS服务器需要与NIS客户端进行通信时,它们的通信在会话层RPC协议上进行。
通过应用S-RPC,NIS+具备了验证、授权和加密功能。
可以对NIS+进行配置,使它在下面三种安全模式下运行:
•0级:
不安全,任何系统或用户都能访问所有的NIS+对象。
只能用于配置与测试过程。
•1级:
提供低级安全,但不需要验证。
仅用于测试过程。
•2级:
默认等级,激活验证和授权功能。
如果有人没有证书就提出请求,就将其放入nobody授权类中,限制他的所有行为。
目录服务(DirectoryService)是一个由用户、计算机、打印机、资源和它们的属性组成的等级数据库。
该目录主要用于查询操作,使用户能够方便地追踪资源和其他用户,从而加快访问速度。
大多数目录服务数据库是基于X.500模型,并使用轻量级目录访问协议(LDAP)来访问目录数据库。
目录本身使用对象类和对象子类为组织提供目录仓库,这个仓库通常为一个数据库。
在使用几个目录时,它们之间需要建立一种通信方式;这可以通过元目录来实现。
元数据(Metadata)是数据的数据。
元目录(Metadirectory)中保存和目录有关的顶级信息,它使目录中的用户能够快速定位他在一个完全不同的目录中寻找的对象。
这个模式为目录仓库提供一个结构,定义对象和它们之间关系的表述方式。
每个目录服务向量有一个基线模式,它帮助管理员定义他们自己的对象和相应的属性。
目录服务为用户、管理员和网络提供丰富的服务。
它们帮助管理员维护和控制环境中的所有资源和用户。
目录服务就像是一个储藏场所,其中保存了几乎所有网络重要信息,帮助用户方便快速地追踪所需的服务或资源。
微软活动目录(ActiveDirectory)和Novell目录服务(NDS)是目录服务的两个典型例子。
虽然它们都基于X.500模型,但它们彼此之间不能方便地建立通信。
轻量级目录访问协议(LDAP)是一种用来访问网络目录,如微软活动目录(ActiveDirectory)或NDS的客户机/服务器协议。
这些目录遵循X.500标准。
这个协议的第一个迭代——目录访问协议(DAP)—作为一个提供X.500目录服务的前台客户端而建立。
LDAP与组织其数据库的目录在一个等级树结构下共同运行。
这个树结构有具有唯一标识名(DN)的树叶(条目)。
这些名称呈等级结构,描述对象在树结构中的位置。
例如,如果条目为一台打印机,那么属性可能为IP地址、打印机名称、MAC地址和一段描述。
公司为集中商业信息(如雇员电话号码、策略、活动、新闻和操作指示)而设立内部网。
当公司在它们的网络中采用基于因特网或Web的技术时,它们就是正在使用内部网(Intranet).内部网是一个使用因特网技术(如TCP/IP)的“私有”网络。
公司有Web服务器,装有Web浏览器的客户端,使用TCP/IP协议族。
Web页面用超文本标记语言(HTML)或可扩展标记语言(XML)编写,通过HTTP访问。
外联网(Extranet)往外扩展了公司网络的边界,使得两个或更多公司能共享通用的信息和资源。
商业伙伴常常设立外联网,以进行生意上的交流。
外联网(Extranet)往外扩展了公司网络的边界,使得两个或更多公司能共享通用的信息和资源。
商业伙伴常常设立外联网,以进行生意上的交流。
今天的MAN大多数都是远程通信服务提供商提供的同步光网络(SynchronousOpticalNetwork,SONET)或FDDI环。
SONET实际是光缆上远程通信传输的标准。
电信和电话公司己在北美铺设了SONET网络,如果它们正确地遵循SONET标准,那么不同的网络之间通信将极为方便。
SONET是自我恢复的(Self-Healing),意辱是说它能利用备份的冗余环保证通信的继续。
所有的SONET线路和环全部冗余。
冗余线路在旁守候以防主环或线路发生什么事故。
SONET网络能在光网络上传输语音、视频和数据。
大多数LANMAC协议为非连接协议,而大多数WAN通信协议则是面向连接的协议.面向连接的协议可提供可靠的传输,因为它们能够检测和纠正错误。
多路电话呼叫被隔开并放在同一条线路上,叫做多路复用(Multiplexing)。
多路复用是将多个通道的数据合并到一条传输线路上的方法。
ATM将数据封装入固定的信元(Cell),能在SONET网络上传送数据。
ATM是高速网络技术,电信运营商、ISP和电话公司把它应用在LAN和WAN的实现中。
ATM使用固定的信元大小,而不是原来的可变的数据帧大小。
这种固定大小提供了更好的性能,减少了错误处理的耗费。
SONET在美国开发,它的速率达到50Mb/s,可以支持来自Tl(1.544Mb/s)和T3(44.736Mb/s)线路的数据流量。
数据以电信号的形式从这些T载波传到SONET网络的边缘。
然后这些电信号必须转换成光信号,在光纤,即光载波(OC)线路上传输。
每个OC-1帧的传输速率为51.84Mb/s,吞吐量为44.738Mb/s。
这些线路通过时分多路复用(rune-DivisionMultiplexing,TDM)完成多路复用功能。
以T1线为例,它能多路复用最多24个通道
HSSI
高速串行接口(High-SpeedSerialInterface,HSSI)是将多路复用器和路由器连接到如ATM和帧中继等高速通信服务的接口。
它支持T3WAN连接,速度最高达52Mb/s,通常集成到路由器和多路复用设备中,以提供到WAN的串行接口。
这些接口定义了供DTE/DCE设备使用的电子的和物理的接口;因而,HSSI工作在物理层。
接口由Cisco和T3plusNetworking开发。
多服务访问(MultiserviceAccess)技术将不同的通信种类(数据、语音、视频)合并到一条传输线上。
这种技术提供了更高的性能、降低了运作成本,为管理员提供更大的机动性、集成能力和控制能力。
打电话时,必须先建立连接,控制信号,然后撤销会话。
这通过信令系统7号(SignalingSystem7,SS7)协议完成。
当使用IP语音(VoIP)时,它釆用会话初始化协议(SIP)建立和撤销呼叫会话,就像SS7处理非IP电话一样。
SIP是一种能够在TCP或UDP上工作的应用层协议。
高质量压缩已在VoIP技术中使用,身份认证号码(电话号码)是IP地址。
因为是面向包交换的技术,所以它可能会有反应的迟延。
VoIP需要四个主要的组件:
IP电话设备、呼叫处理器、语音邮件系统和语音网关。
使用VoIP意味着公司只需投资和维护一个网络,而不是用一个网络传输数据,另一个网络传输语音。
H.232
ITU-T建议包括很多多媒体通信服务。
H.323是这个建议家族的一部分,也是处理视频、实时音频和基于数据包的传输这些可能有许多用户进行数据交换的服务的标准。
H.323环境涉及终端(可以是电话机或装有电话软件的计算机)、将这个环境连接到公共电话网的网关、多点控制单元、处理呼叫和事务的网关守卫(Gatekeeper)。
和其他任何类型的网关相似,H.323网关连接不同的系统和设备,提供必要的转换功能。
H.323终端连接到这些网关,而网关连接到PSTN。
这些网关转换用于基于电路电话网络和基于包的VoIP网络的协议。
需要时,网关也将电路转换成数据包,同时将数据包转换成电路。
现在需要实现能让新技术和老技术通信的网关了,但是不久也许老的电话网络就会过时,所有的通信可能以数据包而不是电路进行。
因而最好的方法是在ATM或帧中继上合并IP,这就能够在面向连接的网络上提供面向包的通信。
因为帧中继和ATM利用了PVC和SVC,它们都有用SVC进行电话呼叫的能力。
记住,PVC用于公司想要保证他们始终有可用的一定带宽时。
远程访问
绝大多数时候,这些用户首先要通过ISP访问因特网,然后建立到目标网络的连接。
到NAS时采取什么行动。
通常会要求提供用户名和密码,由NAS将呼叫挂起,目的是反过来按照预先给定的电话号码呼叫用户。
这是一种安全的做法,它努力确保只有经过认证的用户能够访问网络。
远程访问通常是通过连接到一个网络访问服务器(NAS)来获得的。
NAS是网关和到PPP会话的终点。
用户若拨号进入远程访问服务(RAS)服务器,服务器通过将用户提供的证书和它维护的一个证书数据库进行比较来进行认证。
从远程访问安全的角度看,你必须执行以下3个最重要的规则:
•远程访问设备上的所有用户必须经过完全认证才能使用该设备。
•禁止对通信电路的隐蔽或不适当的访问。
•通过认证后,用户只能访问他们有资格访问的授权服务;不能赋予他们更多权限。
ISDN
综合业务数字网(IntegratedServicesDigitalNetwork,ISDN)是电话公司和ISP提供的通信协议。
ISDN使用与模拟拨号技术相同的线路和传输介质,但是以数字的方式工作。
基本速率接口(BRI)和主速率接口(PRI)。
BRI有两个B通道(用于传输数据)和一个D通道(提供呼叫的建立、网络管理、错误控制、呼叫者代号等)。
BRI可用的带宽为144Kb/s,而最好的调制解调器只能提供56Kb/s。
BRI服务常用于住宅区;而PRI拥有23个B通道和一个D通道,它更常用于企业。
DSL
DSL可提供更快的传输速率,因为它利用一条语音级UTP线路上的所有可用频率。
电缆调制解调器
电缆调制解调器提供最高50Mb/s的高速访问,通过同轴电缆或光纤访问因特网。
电缆调制解调器提供上行和下行之间的转换。
WAN技术
通道服务单元/数据服务单元(ChannelServiceUnit/DataServiceUnit,CSU/DSU)在采用数字设备将LAN网络连接到WAN网络时要用到这种连接可以通过T1和T3线。
这是必须的,因为LAN设备与服务供应商的WAN设备之间的信号和数据帧截然不同。
DSU设备将从路由器、桥接器、多路复用器来的数字信号转变为能在电话公司的数字线路上传输的信号。
DSU是确保在转换过程中电压的正确性及信息不被丢失的设备。
CSU是将网络直接连到电话公司线路的单元。
CSU/DSU并不总是独立的设备,有时可能是网络设备的一部分。
CSU/DSU为数据终端设备(DTE),如终端、多路复用器、路由器提供了一个数字接口,并通过另一个接口到达数据电路终端设备(DCE),如电信公司的交换机。
CSU/DSU基本上作为一个转换器工作,有时也是线路调节装置。
交换
专用链路需要跨越单条路径;因而决定数据包如何到达目标时,并不复杂。
只有两个参考点可以选择,从一点离开,朝另一点走。
但当上千个网络连接在一起时,事情就变得复杂得多,这是交换机派上用场的时候。
有两类主要的交换:
电路交换和数据包交换。
电路交换(CircuitSwitching)是建立一个虚连接,在两个系统之间如同专用链路那么工作。
ISDN和电话呼叫是电路交换的例子。
当源系统和目标系统建立一个连接时,需要建立通信通道。
如果两个系统是在本地,那么建立这个通道所需的设备会少一些。
两个系统距离越远,建立通道和连接系统所需的设备就越多。
电路交换系统的一个例子是日常电话应用。
当一个人晬叫另一个人时,同类型的专用虚拟通信链路就建立起来了。
一旦连接建立,支持通信通道的设备就不会将这个呼叫动态地在不同的设备间移动,这种动态移动而是在包交换中发生。
这个由原先的设备维护的通道一直保持,直到呼叫或连接被撤销。
数据包交换(PacketSwitching)不建立专用虚拟链路,从一个连接来的数据包会通过许多不同的独立的设备,而不是所有的包相继通过相同的设备。
包交换技术的例子有因特网、X.25和帧中继。
支持这些方法的底层结构是不同类型的路由器和交换机的使用。
它们提供到同一个目标的多条路径,这些路径存在高度的冗余。
在包交换网络中,数据被打散成含有序列号的数据包。
这些数据包会通过不同的设备,它们的路径会被路由器或交换机动态地改变,使特定的数据包走到达目标的更好的路由。
—旦目标计算机接收到数据包,它们又被按顺序重新组装起来,并且进行解释。
在包交换环境中一个数据包走的路径不是事先确定的,与电路交换技术相比,不同的包就可能有不同的迟延。
因为包交换网络通常携带数据而非语音,所以这是允许的。
因为语音连接能清楚地感受到这种类型的迟延,所以许多场合电路交换网络对语音连接更合适。
语音呼叫通常提供持续的信息流,而数据连接在本质上是爆发式的。
当你在电话中交谈时,对话会保持一定的节奏。
你和你的朋友不会一会儿讲得极快,然后几分钟对话中插入一段完全的沉默。
然而,数据连接却恰好是这样的。
许多数据一会从一端送到另一端,然后停下来,然后又送更多的数据。
帧中继
帧中继(FrameRelay)是工作在数据链路层的WAN协议。
主要有两类设备用于帧中继连接:
数据终端设备(DTE)和数据电路终端设备(DCE)。
DTE通常是客户拥有的设备,如提供公司自己的网络和帧中继网络之间连接的路由器和交换机。
DCE是服务供应商或电信公司的设备,在帧中继云团(FrameRelayCloud)中完成实际的数据传输和交换。
帧中继云团是提供交换和数据通信功能的DCE的集合。
帧中继是被许多用户共享的任意到任意(any-to-any)的服务。
虚电路
帧中继(和X.25)通过虚电路转发数据帧。
这些电路可以是永的——是指它们事先设定,或者是交换式的——是指它们在需要时迅速建立,在不窬要时立即撤销。
永久虚电路(PermanentVirtualCircuit,PVC)和与客户事先约定的可用带宽的专用线路同样工作。
当客户决定为承诺的信息速率付钱时,一个PVC就已设定好,确保那个客户始终得到一定数量的带宽。
与PVC不同,交换式虚电路(SwitchedVirtualCircuit,SVC)需要与拨号和连接相似的步骤。
这是因为为PVC数据帧建立了永久的通路,但是使用SVC时,需要临时建立一个电路。
这和在公共网络上打个电话是一样的。
在建立电路的过程中,请求需要的带宽,联系目标计算机(它必须接收呼叫),决定通路,转发信息在SVC路径的每个交换机中的设定。
SVC适用于电话会议、到远程站点的临时连接、数据复制和语音电话。
一旦连接不再需要,电路就被撤销,交换机就会忘了它曾经存在过。
虽然PVC提供了保证的带宽水平,但它没有SVC的灵活性。
如果一个客户想用PVC建立临时连接,如前面提到的,客户必须叫电信公司来建立,这要花费几个小时的时间。
X.25
X.25是一个更老的WAN协议,定义了设备和网络如何建立与维护连接。
和帧中继相似,X.25是使用载波交换的交换技术,能为许多不同的网络提供连接。
数据被分割成128字节的单位,封装入髙级数据链路控制(HDLC)数据帧。
然后数据帧被编址并在载波交换机上转发。
ATM
异步传输模式(AsynchronousTransferMode,ATM)是另一种交换技术,但是它没有使用包交换方法,而是使用信元交换(Cell-Switching)方法。
ATM是在LAN、WAN和服务供应商连接中使用的高速网络技术。
如同帧中继一样,它是面向连接的交换技术。
ATM是一种信元交换技术而非包交换技术。
这是说数据被分片成固定大小的信元,53|字节,而不是大小可变的数据包。
这提供了更有效和更快的通信路径应用。
ATM建立虚电路与在源和目标之间的专用链路一样。
这个虚电路能保证带宽和QoS。
由于这些原因,ATM是语音和视频传输的很好的载体。
服务质量
固定比特率(CBR)—种面向连接的通道,可为时效性应用,如语音和视频应用,提供一致的数据处理能力。
客户在连接设置时需指定必要的带宽要求。
可变比特率(VBR)—种面向连接的通道,最适用于对延迟不敏感的应用,因为它的数据流量是不平衡的。
客户指定他们所需的高峰和持续的数据传输率。
无保证比特率(UBR)—种无连接的通道,它并不提供特定的数据传输率。
客户不能,也不必控制他们的流量速率可用比特率(ABR)—种面向连接的通道,可以调节比特率。
在满足保证的传输速率后,客户获得不变的带宽。
DSU设备用于连接LAN与公共ATM网络。
如果需要通过路由器或桥接器将公司网络连接到ATM网络,则可以釆用这种体系架构。
必须使用DSU设备将数字信号转换成ATM网络能够理解的信号类型。
在传输过程中,ATM会为所有数据建立一个固定的通道。
固定的通道与特殊的通信路径编程到交换机中。
QoS有3种基本的等级:
•尽力服务对处理能力、延迟或传输没有保证。
具有优先分级的流量比分配有这种分级的流量先发送。
因特网上的大多数流量都拥有这种分级。
•差分服务与尽力服务相比,分配这种分级的流量拥有更大的带宽、更短的延迟,丢失的帧也更少。
•保证服务以有保证的速度确保特定数据的处理能力。
时效性流量(语音和视频)分配有这种分级。
SMDS
交换式多兆位数据服务(SwitchedMutimegabitDataService,SMDS)是高速包交换技术,用于用户将他们的LAN扩展到MAN和WAN。
SDLC
同步数据链路控制(SynchronousDataLinkControl,SDLC)
升级会员 