HCIA-Security_V4.0 | 12_补充
该章节根据题库内容进行补充,不存在于培训教材中,可能存在错误。
组织 / 标准 / 模型 / 管理
信息安全标准化
与信息安全标准化有关的国际组织:
- International Organization for Standardization(ISO)国际标准化组织
- International Electrotechnical Commission(IEC)国际电工委员会
- International Telecommunication Union(ITU)国际电信联盟
网络安全模型
PDRR
Protection 防护、Detection 检测、Reaction 响应、Recovery 恢复。
案例
| 在网络入侵事件发生后,根据预案获取入侵的身份、攻击源等信息,并阻断入侵行为。 | 检测环节 + 响应环节 |
MPDRR
Management 管理、Protection 防护、Detection 检测、Reaction 响应、Recovery 恢复。
事件响应管理
- 检测
- 响应
- 缓解
- 报告
- 恢复
- 修复
- 总结经验
PKI 体系架构
组件
- 证书颁发机构(CA)
- 注册机构(RA)
- 证书存储库
- 证书撤销列表(CRL)
- 在线证书状态协议(OCSP)
- 证书目录
- 策略管理机构(PMA)
- 密钥备份和恢复
- 密钥历史记录
- 数字签名
- 交叉认证
- 客户端软件
- 终端实体
网络安全事件预警
工信部根据社会影响范围和危害程度,将公共互联网网络安全突发事件分为四级:
- 红色预警:特别重大事件
- 橙色预警:重大事件
- 黄色预警:较大事件
- 蓝色预警:一般事件
应急响应
PDCERT 应急响应方法模型
- 准备阶段
- 检测阶段
- 抑制阶段
- 根除阶段
- 恢复阶段
- 总结阶段
等保 2.0
等保三级安全要求简要攻略-安全通信网络和安全区域边界-避凉闲庭-博客园
ISO27001
认证领域包括 11 个章节:
- 安全策略
- 信息安全的组织
- 资产管理
- 人力资源安全
- 物理和环境安全
- 通信和操作管理
- 访问控制
- 系统采集、开发和维护
- 信息安全事故管理
- 业务连续性管理
- 符合性
信息保障技术框架 IATF
- 一个核心思想:纵深防御。
- 三个核心要素:人、技术、操作。
- 四个焦点领域:网络和基础设施、区域边界、计算环境、支撑性基础设施。
信息安全防范的关键要素
- 安全运维与管理
- 安全产品与技术
- 人员
TCSEC 桔皮书
TCSEC 包含的保护级别有:
- A 级:验证保护级
- B 级:强制保护级
- C 级:自主保护级
- D 级:最低保护级
参考
问卷调查
设计原则
- 完整性
- 具体性
- 简洁性
- 一致性
计算机网络
TCP 三握四挥
# 简单理解TCP三次握手四次挥手(看一遍你就懂)-开到荼蘼223's-CSDN
NAT 穿越
电子取证
过程
保护现场 → 获取证据 → 保全证据 → 鉴定证据 → 分析证据 → 进行追踪 → 出示证据
保全证据
- 数据隐藏技术
- 数据加密技术
- 数字签名和数字时间戳技术
- 数字证书技术
- 数字摘要技术
鉴定证据
- 关联性标准:电子证据如果在一定程度上能够对案件事实产生实质性影响,法庭应当裁定其具有关联性。
- 合法性标准:电子证据的获取、存储、提交等环节理应合法,对国家利益、社会公益和个人隐私等基本权利不构成严重侵犯。
- 客观性标准:保证电子证据从最初的获取收集,到作为诉讼证据提交使用的过程中,其内容没有任何变化。
分析证据
在已经获取的数据流或者信息流中寻找、匹配关键词或关键短语,分析事件的关联性。
- 密码破译,数据解密技术
- 文件数字摘要分析技术
- 发掘不同证据间的联系的技术
入侵追踪
- 数据包记录技术
- 链路测试技术
- 数据包标记技术
- 浅层邮件行为解析
端口扫描
UDP 端口扫描
向目标端口发送一个 UDP 数据包,如果目标端口返回一个 ICMP 端口不可达的 ICMP 响应,则此端口是关闭的;如果得到适当响应或没有任何响应(被直接丢弃了),则端口开放。
参考
常见攻击
缓冲区溢出攻击
- 利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码。
- 与操作系统的漏洞和体系结构相关。
- 是攻击软件系统的行为中常见的方法之一。
- 属于应用层攻击行为。
MAC 泛洪攻击
MAC 泛洪攻击利用的实现机制:
- 交换机的 MAC 学习机制
- 交换机的转发机制
- ARP 学习机制
- MAC 表项的数目限制
ARP 欺骗攻击
- 当某主机发送正常 ARP 请求时,攻击者会抢先应答,导致主机建立一个错误的 IP 和 MAC 映射关系。
- ARP 欺骗攻击可通过 ARP 请求与 ARP 应答实现。
- ARP 实现机制只考虑正常业务交互,对非正常业务交互或恶意行为不做任何验证。
- ARP 静态绑定是解决 ARP 欺骗攻击的一种方案,主要应用在网络规模不大的场景。
常见防范
DHCP Snooping 功能
- DHCP Server 仿冒攻击
- 中间人攻击与 IP/MAC Spoofing 攻击
- 改变 CHADDR 值的 Dos 攻击
- Option82(仿冒 DHCP 续租报文攻击)
- IPSG(欺骗交换机)
- DAI(ARP 欺骗攻击:欺骗用户)
网关防病毒
主要实现方式
- 代理扫描方式
- 流扫描方式
参考
二层攻击(DHCP snooping的原理?能够抵御那些攻击?)附安全设计方案-Ponnie-腾讯云开发者社区
协议
IP 报头的协议字段值
| 取值 | 协议 |
| 1 | ICMP |
| 6 | TCP |
| 41 | IPv6 |
| 47 | GREs |
| 50 | ESP |
| 51 | AH |
| 89 | OSPF |
| 112 | VRRP |
| 113 | PGM |
| 115 | L2TP |
参考
日志
查看 USG 日志
当 USG 系列防火墙硬盘在位时,可以看到的日志包括:
- 系统日志(所有型号均支持)
- 流量日志
- 威胁日志
- URL 日志
- 内容日志
- 带宽 IP 连接数日志
- 操作日志
- 用户活动日志
- 策略命中日志
- 沙箱检测日志
- 邮件过滤日志
无法查看的日志包括:
- 审计日志
参考
Windows 操作系统
事件类型
- 应用程序日志
- 安全日志
- 系统日志
事件级别
- 信息
- 警告
- 错误
- 成功审核
- 失败审核
参考
第1篇_Window日志分析·应急响应实战笔记
(转)干货|windows日志检索和分析
VPN
上网用户和 VPN 接入用户认证
- 上网用户和 VPN 接入用户共享数据,用户的属性检查(用户状态、账号过期时间等)同样对 VPN 接入生效。
- 上网用户采用本地认证或服务器认证过程基本一致,都是通过认证域对用户进行认证,用户触发方式也相同。
- VPN 用户接入网络后,可以访问企业总部的网络资源,防火墙可以基于用户名控制可访问的网络资源。
终端检测
- 安装主机杀毒软件
- 监控主机注册表修改记录
镜像
端口镜像
- 镜像端口将报文复制到观察端口
- 观察端口将接收到的报文发送给监控设备
参考
流镜像
VLAN 镜像
MAC 镜像
网络设备
IDS/IPS 入侵检测/防御系统
IDS
- 需要与防火墙联动才能阻断入侵
IPS
技术特点
- 可以采取旁路部署方式
- 可以串接在网络边界,在线部署
- 一旦检测出入侵行为可以实现实时阻断
- 自学习及自适应
Windows 防火墙
描述
- Windows 防火墙不仅能允许或禁止预置的程序或功能和安装在系统上的程序,还支持自己根据协议或端口号自定义放行规则。
- 如果在设置 Windows 防火墙过程中,导致无法上网,可以使用还原默认值功能快速恢复防火墙至初始状态。
- Windows 防火墙仅能在开启状态下更改通知规则。
- 按照保护对象对防火墙进行划分,Windows 防火墙属于单机防火墙。
高级设置
可进行的操作:
- 还原默认值
- 更改通知规则
- 设置连接安全规则
- 设置出入站规则
- 既能限制本地端口,又能限制远程端口。
部署
根据使用场景的不同,防火墙可以二层部署,也可三层部署:
- 二层部署(也称透明模式或桥模式)
指防火墙的接口不配置 IP 地址,而是通过 MAC 地址来转发报文,对于网络拓扑和用户来说是完全透明的。- 优点:组网简单,无需修改原有的网络配置。
- 缺点:缺乏灵活性和可扩展性。
适用于规模较小,网络结构较简单,不需要进行路由划分和 NAT 转换的场合。
- 三层部署(也称路由模式或网关模式)
指防火墙的接口配置 IP 地址,而且属于不同的子网或者 VLAN,通过 IP 地址来转发报文,对于网络拓扑和用户来说是可见的。- 优点:组网灵活,可以实现路由划分和 NAT 转换等功能。
- 缺点:组网复杂,需要修改原有的网络配置。
适用于规模较大,网络结构复杂,需要进行路由划分和 NAT 转换等功能的场合。
华为防火墙
用户管理技术
单点登录
上网用户单点登录功能,用户直接向 AD 服务器认证,设备不干涉用户认证过程,AD 监控服务需要部署在 USG 设备中,监控 AD 服务器的认证信息。
过程
- 访问者登录 AD 域,AD 服务器向用户返回登录成功消息并下发登录脚本。
- 访问者 PC 执行登录脚本,将用户登录信息发给 AD 监控器。
- AD 监控器连接到 AD 服务器查询登录用户信息,并将查询到的用户信息转发到防火墙。
- 防火墙从登录信息中提取用户和 IP 的对应关系添加到在线用户表。
特点
- 设备可以识别出身份认证系统认证通过的用户。
- AD 域单点登录可采用镜像登录数据流的方式同步到防火墙。
网络地址转换技术(NAT)
Server-map表项的产生
目前,设备在处理多通道协议报文和部分 NAT 业务时,都会生成 Server-map 表项。
- 配置 ASPF 后,转发 FTP、RTSP 等多通道协议时生成的 Server-map 表项。
- 配置 NAT 服务器(NAT Server)映射时生成的静态 Server-map。
- 配置 NAT No-PAT 时生成的动态 Server-map。
参考
Server-map表原理描述-S380 V600R022C10 MD-CLI配置参考-华为
分片缓存功能
参考
信息安全基础知识笔记04 防火墙应用层报文过滤ASPF-若水一瓢-博客园
管理员PC 与 USG 防火墙管理口直连
使用 web 方式进行初始化操作时:
- 管理 PC 的浏览器访问 http://192.168.0.1
- 管理 PC 的 IP 地址手工设置为 192.168.0.2-192.168.0.254
- 将管理 PC 的网卡
VGMP 主动向对端发送 VGMP 报文的情况
- 双机热备功能启用
- 手工切换防火墙主备状态
- 防火墙业务接口故障
注: - 会话表表项变化不会主动发送 VGMP 报文
会话首包域间转发流程
- 查找会话表
- 查找黑名单
- 查找路由器
- 查找域间包过滤规则
企业内部用户上线流程
【企业用户】--------【USG】--------【Internet(http://1.1.1.1)】
- 用户访问 internet 输入 http://1.1.1.1
- USG 推送认证界面
- 用户输入正确的用户名和密码
- 认证通过,USG 允许建立连接
- 用户成功访问 http://1.1.1.1,设备创建 session 表
工具
防火墙管理工具
四表五链
四表
- filter 表
- nat 表
- mangle 表
- raw 表
五链
- input 链:收到防火墙本机地址的数据包时。
- output 链:防火墙本机向外发送数据包时。
- forward 链:收到需要通过防火墙转发给其他地址的数据包时(需要开启 Linux 内核中的 ip_forward 功能)。
- prerouting 链:对数据包做路由选择之前。
- postrouting 链:对数据包做路由选择之后。
参考
iptables的四表五链与NAT工作原理 - TinyChen's Studio - 互联网技术学习工作经验分享
常用的扫描工具类型
- 端口扫描工具
- 漏洞扫描工具
- 应用扫描工具
- 数据库扫描工具
SDSec 解决方案
架构
| 分析器 | FireHunter | |
| 控制器 | Controller | SecoManager |
| 执行器 | Router | Switch | WiFi | Firewall | AntiDDoS | |
参考
业务连续性计划(BCP)
- 在形成正式文档前不需要公司高层参与。
- 并非所有的安全事故都必须报告给公司高层。
- 因为不能预测所有可能会遭受的事故,所以 BCP 需要具备灵活性。
命令
1 创建 web 配置管理员
管理员希望创建 web 配置管理员,设备 web 访问端口号 20000,且管理员为管理员级别。
Step1: web-manager security enable port 20000 Step2: AAA View [USG]aaa [USG-aaa]manager-user client001 [USG-aaa-manager-user client001]service-type web [USG-aaa-manager-user client001]level 15 [USG-aaa-manager-user client001]password cipher Admin@123
2 设备恢复缺省配置
Step1:
reset saved-configuration
Step2:
重启设备。
3 查看 VRRP 备份组的状态信息和配置参数
格式
**display vrrp** [ **interface** interface-type interface-number ] [ virtual-router-id ] [ **brief** ] **display vrrp** { **interface** interface-type interface-number [ virtual-router-id ] | virtual-router-id } **verbose**
其中:
- interface-type 表示接口类型
- interface-number 表示接口编号
举例
[USG_A]display vrrp interfaceGigabitEthernet 1/0/1 GigabitEthernet1/0/1 | Virtual Router 1 VRRP Group:Active // VGMP组状态为Active state:Active // VGMP组状态为Active Virtual IP:202.38.10.1 // 备份组虚拟IP地址 Virtual MAC:0000-5e00-0101 // 备份组虚拟MAC地址 Primary IP:202.38.10.2 // 备份组物理IP地址 PriorityRun:100 // 备份组运行时当前路由器优先级 PriorityConfig:100 // 备份组路由器优先级 MasterPriority:100 // 备份组Master设备优先级 Preempt:YES Delay Time:10 // 采用抢占方式 抢占延迟时间为10s
参考
VRRP配置命令-NetEngine AR V300R021 命令参考-华为
4 防火墙备用设备配置功能
hrp standby config enable
启用备用设备配置功能,所有可以备份的信息都可以直接在备用设备上配置,且备用设备上的配置可以同步到主用设备。
5 查看与清除防火墙会话表
- 查看:
display firewall session table
可以查询 NAT 转换结果。
- 清除:
reset firewall session table
6 指定 L2TP 本端隧道名称
Tunnel Name
如果不配置 Tunnel Name,则隧道名称为本地系统名称。
7 查看安全策略配置信息
display security-policy all
8 擦除配置文件
reset saved-configuration
清空设备下次启动使用的配置文件内的内容,并取消指定系统下次启动时使用的配置文件。
9 查看由 IKE 协商建立的安全联盟信息
display ike sa
回显信息中:
phase:v1:1 或 v1:2 表示此阶段建立 IKE SA;v1:2 或 v2:2 表示此阶段建立 IPSec SA。
参考
display ike sa - FAT AP, 云AP V200R019C00 命令参考 - 华为
10 开启 NAT ALG 功能
detect protocol
11 阻止网段访问本设备
用 iptables 写一条规则不允许 172.16.0.0/16 的网段访问本设备:
iptables -t filter -A INPUT -s 172.16.0.0/16 -p all -j DROP
iptables 参数:
-p:policy 策略-A:写入规则-s:原地址-d:目标地址-j:如何处理drop:丢弃accept:接受-p:协议all:所有协议
12 查看防火墙的 HRP 状态信息
HRP_S[USG_B] display hrp state The firewall's config state is: Standby Current state of virtual routers configured as standby: GigabitEthernet1/0/0 vrid 1 : standby GigabitEthernet1/0/1 vrid 2 : standby
此防火墙 G1/0/0 和 G1/0/1 接口的 VRRP 组状态为 standby。
其他
杀毒软件
查杀软件的修复仅需可以修复在查杀病毒的时候误删的一些系统文件,防止系统崩溃。
关键技术
- 脱壳技术
- 自我保护技术
- 修复技术
- 实时升级技术
- 主动防御技术
- 智能技术
- 启发技术
- 虚拟机技术
参考
应用风险
- 网络病毒
- 电子邮件安全
- 数据库系统配置安全
- WEB 服务安全
本文作者:Guanz
本文链接:https://www.cnblogs.com/Guanz/p/18517214
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步