CISSP(十二)

安全通信与网络攻击

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
远程访问安全管理
远程访问技术(特定服务、远程控制、远程节点操作、录屏)
即时通信instant messaging
虚拟IP地址
负载均衡
管理电子邮件安全
电子邮件安全解决方案(S/MIME、PGP、DKIM、SPF、DMARC、STARTTLS、隐式SMTPS)
虚拟专用网
隧道技术
VPN的工作原理
常用的VPN协议
交换与虚拟局域网
网络地址转换
状态NAT
自动私有IP分配 APIPA
交换技术
虚电路
WAN技术
光纤链路

PBX欺骗


PBX欺骗(PBX Fraud),也称为电话系统欺骗、电话交换机欺骗或拨号欺骗,是一种电话诈骗手段。它通常发生在企业或组织的电话交换机(PBX,Private Branch Exchange)系统被黑客入侵后,黑客利用被攻击的电话交换机来拨打高价值的国际或长途电话号码,从而导致电话费用的异常增加。

PBX欺骗的过程如下:

  1. 黑客入侵:黑客通过各种手段,例如针对PBX系统的漏洞、弱密码、社会工程学等方式,成功入侵企业的电话交换机系统。

  2. 更改拨号规则:黑客在被攻击的PBX系统中更改拨号规则,将某些高价值的国际或长途电话号码路由到黑客指定的目标号码。

  3. 拨打高价电话:黑客利用被攻击的PBX系统拨打被设定为高价值的国际或长途电话号码,由于这些号码的费用很高,企业的电话费用会迅速增加。

  4. 隐蔽性:由于黑客在PBX系统内进行欺骗,这些电话呼叫通常会被视为合法呼叫,企业可能无法意识到自己正在成为受害者,直到接到高额的电话费用账单。

PBX欺骗可能对企业造成严重的经济损失,因为电话费用的突然增加可能会导致企业财务预算的超支。为了防止PBX欺骗,企业可以采取以下措施:

  1. 加强安全措施:确保PBX系统有强大的密码,定期更新系统和设备的安全补丁,限制对系统的远程访问。

  2. 监控和审计:实施监控措施,定期审计电话系统的使用情况,及时发现异常呼叫。

  3. 实施阻止措施:对于异常和高风险的呼叫,可以实施阻止措施,如限制特定号码的拨打权限。

  4. 实时响应:一旦发现异常电话呼叫,及时采取措施中断电话连接,联系电话运营商核查问题。

通过采取综合的安全措施,企业可以降低PBX欺骗的风险,并保护电话系统的安全和稳定。

协议

PAP、CHAP、EAP和RADIUS是网络和安全领域中常用的一些协议,用于认证和授权用户访问网络资源的过程。它们的含义如下:

  1. PAP(Password Authentication Protocol): PAP是一种简单的认证协议,用于在用户和服务器之间传输用户名和密码,以进行认证。它以明文形式发送密码,安全性相对较低,因此在安全性要求较高的情况下不推荐使用。

  2. CHAP(Challenge Handshake Authentication Protocol): CHAP是一种更安全的认证协议,它在认证过程中使用了挑战-握手机制。服务器向客户端发送一个随机的挑战,并要求客户端使用其密码进行哈希计算后返回响应。这样,密码在传输过程中不会以明文形式传递,增加了安全性。

  3. EAP(Extensible Authentication Protocol): EAP是一种可扩展的认证协议,它允许在认证过程中使用不同的方法和机制,如密码、数字证书、智能卡等。EAP提供了更高的灵活性和安全性,广泛用于无线网络、虚拟专用网(VPN)等环境。

  4. RADIUS(Remote Authentication Dial-In User Service): 远程身份验证拨入用户服务. RADIUS是一种网络协议,用于进行用户认证、授权和账号管理。它在客户端和服务器之间传输认证信息,并负责管理用户的访问权限。RADIUS通常用于远程用户拨号认证和AAA(认证、授权和会计)服务,如拨号服务器、VPN服务器等。

这些协议通常用于网络认证和访问控制,确保只有经过授权的用户可以访问特定的网络资源。不同的场景和安全要求可能会选择不同的认证协议。

IT端口安全策略

IT端口安全策略是指在计算机网络中限制或管理网络端口的开放和访问权限的一系列规则和措施。端口是网络通信中的逻辑通道,用于在计算机之间传输数据。每个端口都有一个特定的数字标识符,用于标识不同的网络应用或服务。

端口安全策略的目的是确保网络安全,防止未经授权的访问、攻击或滥用网络服务。通过限制端口的开放和访问,可以减少网络暴露的攻击面,增强网络的防御能力。以下是一些常见的端口安全策略措施:

  1. 关闭不必要的端口: 在服务器或网络设备上,应关闭不需要使用的端口,以防止未经授权的访问或攻击。

  2. 使用防火墙: 配置防火墙以允许特定端口和协议的流量,同时阻止不必要的流量。防火墙可以作为网络边界的第一道防线,帮助过滤恶意流量和保护内部网络。

  3. 限制端口访问: 通过访问控制列表(ACL)或其他访问控制机制,限制特定用户或设备对特定端口的访问权限。

  4. 端口验证和加密: 在需要进行身份验证的服务中,使用加密和安全认证措施来保护端口通信。

  5. 更新和维护: 定期更新网络设备和服务器的软件和固件,以修复已知的安全漏洞,并确保端口安全策略持续有效。

  6. 网络监控: 使用网络监控工具来监视端口流量,及时检测异常活动和潜在的安全威胁。

端口安全策略的实施取决于组织的需求和网络拓扑。通过综合采用这些策略,可以加强网络的安全性,提高对网络资源和数据的保护水平。

端口安全性指几个概念,包括网络访问控制(NAC) 、传输层端口和RJ-45插孔端口。
NAC 要求设备在网络上通信之前进行身份认证。传输层端口安全涉及使用防火墙授权或拒绝与TCP 和UDP 端口的通信。应管理RJ-45 插孔,以禁用未使用的端口,并在断开电缆时禁用端口。
此方法可防止未经授权的设备连接。装运集装箱存储与装运港相关,装运港是一种与集装箱存储无关或通常由CISO 管理的港口类型。

IPsec

IPsec(Internet Protocol Security)是一种用于保护网络通信安全性的协议套件,旨在为IP数据包提供安全性、完整性和认证服务。它在网络层工作,通常用于保护Internet上的数据传输和虚拟专用网(VPN)连接。

IPsec的主要功能包括:

  1. 数据加密: IPsec使用加密算法对传输的数据进行加密,确保数据在传输过程中不会被未经授权的第三方截获和读取。

  2. 完整性保护: IPsec使用哈希算法对数据进行哈希计算,并在传输过程中发送哈希值。接收方可以验证数据的完整性,确保数据在传输过程中没有被篡改或损坏。

  3. 身份认证: IPsec提供身份认证功能,确保通信的双方都是合法的,并防止中间人攻击。

  4. 密钥管理: IPsec使用密钥协商协议来生成和管理用于加密和认证的密钥。密钥管理过程确保密钥的安全分发和更新。

IPsec可以在两种模式下工作:

  1. 传输模式(Transport Mode): 在传输模式下,IPsec仅对数据部分进行加密和认证,而IP头部不会被修改。传输模式通常用于主机对主机的通信,保护主机之间的数据传输。

  2. 隧道模式(Tunnel Mode): 在隧道模式下,整个IP数据包都被加密和认证,并在传输时加入一个新的IP头部。隧道模式通常用于保护网络之间的通信,形成VPN连接。

IPsec广泛应用于保护敏感数据的传输,提供安全的远程访问和建立虚拟专用网。它是保护网络通信安全的重要手段之一。

身份认证头(.A.H)是IPsec 的主要身份认证机制

IKE

IKE代表”Internet Key Exchange”,是用于建立IPsec(Internet Protocol Security)VPN连接的协议。IPsec提供了网络层的安全性,包括数据加密、完整性验证和身份认证,用于保护IP数据包在网络中的传输安全。而IKE则是在IPsec VPN连接建立过程中,用于协商和交换加密所需的密钥和参数的协议。

当两个设备或主机希望建立IPsec VPN连接时,它们需要事先协商并交换用于加密和认证的密钥。这样,IPsec VPN连接可以在双方之间建立安全的通信通道。这个过程就是IKE协议的工作内容。

IKE协议的主要功能包括:

  1. 身份验证: IKE协议允许双方进行身份验证,确保通信的两端是合法的,并防止中间人攻击。

  2. 密钥交换: IKE协议使用Diffie-Hellman密钥交换算法,双方通过交换公钥来生成共享密钥,用于加密和认证IPsec通信。

  3. 参数协商: IKE协议协商加密算法、哈希算法、认证方法等参数,确保通信的双方能够使用相同的加密方式。

  4. 安全关联(Security Association)建立: IKE协议建立IPsec通信所需的安全关联,包括加密密钥、认证密钥等。

总的来说,IKE协议是IPsec VPN连接建立的关键部分,它确保IPsec通信的安全性和正确性。IKE协议通常运行在IPsec协议的上层,并使用UDP端口500来传输。

连接类型

SDN、PVC、VPN、SVC 是不同的连接类型和概念,它们代表了不同的网络技术和服务:

  1. SDN (Software-Defined Networking):SDN 是一种网络架构,它将网络控制平面(网络控制逻辑)与数据平面(数据转发)分离,通过集中的控制器来管理和配置网络设备。这种架构可以带来更灵活、智能和可编程的网络。

  2. PVC (Permanent Virtual Circuit):永久虚电路 PVC 是一种在传输网络中建立的固定虚拟电路。在传统的分组交换网络中,PVC 是一条预先配置好的逻辑连接,用于在源和目的地之间传输数据。它在建立时会分配固定的带宽,因此在连接的整个生命周期内带宽不变。

  3. VPN (Virtual Private Network):VPN 是一种通过公共网络(例如互联网)建立私密连接的技术。VPN 可以用于在不安全的公共网络上创建加密的、安全的通信通道,使远程用户能够安全地访问私有网络资源。

  4. SVC (Switched Virtual Circuit):SVC 是一种在传输网络中建立的虚拟电路,与 PVC 类似,但与 PVC 不同的是,SVC 是在需要时临时建立的,数据传输完成后会动态释放资源。这种连接方式允许在需要时动态地分配带宽和资源。

综上所述,它们分别代表了不同的网络连接类型:SDN 是一种网络架构,PVC 是一种在传输网络中的固定虚拟电路,VPN 是一种建立在公共网络上的私密连接,而 SVC 是一种在需要时动态建立的虚拟电路。

[11/20] 练习题测试结果

正确率 11/20

透明性指服务、安全控制、访问机制对用户不可见。对千未被有效用户注意到的
安全控制,不可见性不是恰当的术语。不可见性有时用于描述rootkit 的一个特性,它试图隐
藏自身和其他文件或进程。分区是蜜罐的特征,但不是典型的安全控制。隐藏在显眼的地方
不是安全概念;它是观察员的一个错误,表面观察员没有注意到应该注意的事。这与伪装的
概念不同,伪装是指客体或主体试图融入周围环境。

更改PBX 系统上默认密码的对策可以最有效地提高安全性。PBX 系统通常不支持加密,尽管某些VoIP PBX 系统可在特定条件下支持加密。PBX 传输日志可提供欺诈和滥用的记录,但不是阳止这种情况发生的预防措施。对所有通话进行录音和存档是侦察措施,
不是防止欺诈和滥用的预防措施。

密码身份认证协议(PAP)是一种用千PPP 的标准化身份认证协议。PAP 以明文传输用户名及密码,不提供任何形式的加密,只简单提供一种将登录凭证从客户传递到身份认证服务器的方法。
CHAP 从不通过网络发送密码,以便保护密码,用千计算响应以及服务器发出的随机质询数。
EAP 提供了保护和/或加密凭证的身份认证方法,但并非所有方法都提供。
RADIUS 支持一系列保护和加密登录凭证的选项。

屏幕抓取是一种允许自动化工具与人机界面交互的技术。
远程控制和访问授予远程用户完全控制另一个物理上远离的系统的能力。
虚拟桌面是屏器抓取的一种形式,其中目标机器上的屏幕被抓取并显示给远程操作员,但与人机界面的自动工具交互无关。
远程节点操作只是远程客户端建立到LAN 的直接连接时的另一个名称,例如使用无线、VPN 或拨号连接。

[18/20] CISSP官方学习手册(第9版)第12章练习题

  1. B
  2. B,D,E,F,G,I,J,K
    正确答案A,C,D,E,G,I,J,K
    EAP方法是什么?

EAP 是什么? EAP 全称叫 802.1X
802.1x 是基于端口的访问控制标准,是一种授权架构,允许或阻止流量通过端口访问网络资源,他主要是三部分构成:

1 请求方:也就是需要链接网络的设备

2 认证方:也就是认证你这个设备是否可以进入这个网络里面

3 认证服务器 :对请求方进行身份验证,并将认证结果告诉认证方
3. B
4. C
5. A,B,D
6. D
7. A
8. D
9. B 正确答案A,C,D
10. D
11. B
12. B
13. B,C,D
14. B
15. D
16. A
17. B
18. D
19. D
20. B

18/20

page 545 / 896