Security+ 6. 实现网络的安全性

6. 实现网络的安全性

• • 6.1 网络设备
  • • 6.1.1 防火墙
    • 6.1.2 负载均衡器(Load balancer)
    • 6.1.3 网络扫描器和分析工具
    • 6.1.4 IDS(Intrusion detection system/IDS)
    • 6.1.5 IPS(Intrusion prevention system/IPS)
    • 6.1.6 网络监控系统的类型
    • 6.1.7 安全信息和事件管理[Security information and event management(SIEM)]
    • 6.1.8 数据丢失/泄露预防[Data loss/leak prevention(DLP)]
    • 6.1.9 虚拟个人网络集中器(VPN concentrator)
    • 6.1.10 统一威胁管理(Unified threat managment/UTM)
  • 6.2 网络设计安全
  • 6.3 网络协议和服务安全
  • • 6.3.1 DNS安全
    • 6.3.2 电子邮件协议
    • 6.3.3 端口和端口范围
  • 6.4 无线安全
  • • 6.4.1 802.11协议
    • 6.4.2 无线加密协议
    • 6.4.3 无线认证协议
    • 6.4.4 无线客户端认证方法
    • 6.4.5 无线访问点的安全性
    • 6.4.6 无线安全准则

6.1 网络设备

6.1.1 防火墙

1. 基于主机的防火墙：如windows防火墙
2. 基于网络的防火墙
3. 应用程序防火墙：保护对应用程序的网络访问，如WAF

无状态防火墙(stateless firewall)：连接到达防火墙时不会跟踪它的活动状态。
状态防火墙(stateful firewall)：连接到达防火墙时跟踪连接的活动状态，并根据与连接状态相关的网络数据包的内容做出决定。

Windows防火墙配置：
1. 入站规则：定义对进入系统的数据执行的操作
2. 出站规则：定义对流出系统的数据执行的操作
3. 连接安全规则：定义允许系统之间进行通讯所有的身份验证类型。

6.1.2 负载均衡器(Load balancer)

负载均衡器调度(scheduling)方式：

1. 轮询调度(round robin)：按序循环调度
2. 关联(affinity)：将客户端的流量转发到客户端已经与之建立连接的服务器，目的是减少客户端与服务器之间的开放式网络连接数量。

6.1.3 网络扫描器和分析工具

1. 数据包分析器(Packet analyzer)
2. 协议分析器(Protocol analyzer)
3. 网络枚举器(Networking enumerator)：也称网络映射器(Network mapper)，用于识别网络的逻辑拓扑。

6.1.4 IDS(Intrusion detection system/IDS)

用于扫描，评估和监控计算机基础设施，查找其中正在进行的攻击迹象的系统

• 网络IDS(Network Intrusion detection system)：NIDS主要使用被动硬件传感器来监控网络特定流量，还可以用于流氓系统(rogue system)检测。

流氓系统指连接到网络的任何未知或无法识别的设备。

• 无线IDS(Wireless Intrusion detection system)：扫描射频频谱以查找无线网络中可能受到的威胁，如：非法接入点。
• 基于主机的IDS(host-based Intrusion detection system)：监控主机系统是否出现意外行为或系统状态是否发生剧烈变化。

6.1.5 IPS(Intrusion prevention system/IPS)

IPS具有IDS的监控能力，也可以主动阻止检测到的威胁。
第一类错误：误报
第二类错误：漏报

• 网络IPS：监控网络上的可疑流量并实时作出反应以阻止流量。
• 无线IPS：扫描射频频谱以查找无线网络中可能受到的威胁，主动阻止恶意流量。
• 基于主机的IPS：主动检测对主机的更改，阻止被识别为恶意的操作。

6.1.6 网络监控系统的类型

1. 基于签名的监控：如病毒库
2. 基于异常的监控：预先定义事件的可接受基线，识别与基线偏离的任何事件。
3. 基于行为的监控：预先定义被监控实体行为的应对方式，然后审查是否偏离常态。
4. 启发式监控：可以推断出特定实体是否会对环境构成威胁。
5. 工作方式：内联与被动，也称带内与带外，即串联与旁路。

6.1.7 安全信息和事件管理[Security information and event management(SIEM)]

SIEM用于对网络硬件和应用程序生成的安全警报提供实时或接近实时的分析。

1. 自动报警
2. 时间同步
3. 删除重复事件(deduplication)
4. 一次写入多次读取[Write onec and read many(WORM)]：一旦写入数据不能修改，只能读取。

6.1.8 数据丢失/泄露预防[Data loss/leak prevention(DLP)]

DLP：检测和防止系统或网络中的敏感信息被盗或以其他方式落入未授权人员。不关注入站攻击的防御，只是保护出站数据。

6.1.9 虚拟个人网络集中器(VPN concentrator)

VPN集中器包含了高级加密和认证方式，以便能处理大量VPN隧道。

1. 完整隧道模式：所有流量通过隧道发送并加密。
2. 分离隧道模式：敏感流量通过隧道发送并加密。不需要处理过多的带宽，但无法控制用户的流量。

6.1.10 统一威胁管理(Unified threat managment/UTM)

UTM指将各种安全技术(防火墙、防恶意软件、NIPS、Anti-spam、DLP)集中至一台设备中的系统；如果UTM系统受到太多网络活动的影响，可能会遇到延迟问题，也会存在单点故障的节点。

6.2 网络设计安全

• 网络访问控制(Network Access Control/NAC)：管理设备网络互连访问的收集协议，策略和硬件的统称。
• 网络分区并隔离：DMZ区、内网、外网、游客、蜜网
• 设备布局：聚合交换机(交换机配置链路聚合)、防火墙(放置在网络的周围，最靠近公共网络位置)、代理和过滤器(处理入站与出站流量，放置于网络边界)、负载均衡(放置在DMZ之外，私有网络中)、分流器和传感器/监控器(流量端口镜像)、收集器和关联引擎(SIEM日志收集，放置在DMZ外部，私有网络中。)、VPN集中器(放置在外围防火墙的后面或DMZ中)

6.3 网络协议和服务安全

• APIPA：自动专私有IP寻址是Win的一种服务，使DHCP客户端主机在DHCP不可用时初始化TCP/IP，在地址范围： 169.254.0.1-169.254.255.254之间随机分配一个地址
• 实时传输协议(Real-time transport protocol/RTP)：提供基于TCP/IP网络的音频和视频流媒体。安全实时传输协议向RTP添加了加密服务，以维护流媒体的真实性和完整性，并预防重放攻击。
• 网络基本输入\输出系统[Network basic input/output system(NetBIOS)]：是一种能使应用程序在网络中的不同计算机之间正确通讯的服务。

NetBIOS有三个基本功能：
1. 基于会话的通讯
2. 使用数据报的无连接通讯
3. 名称注册。
攻击者通过获取相关系统信息来利用NetBIOS，如注册名称，IP地址以及使用的操作系统/应用程序。
加强NetBIOS防御：应当实施强密码策略，限制网络共享的根访问权限，禁用空会话功能。

6.3.1 DNS安全

1. DNS服务器放置在DMZ中并位于防火墙范围内
2. 设置防火墙阻止不必要的入站服务请求
3. 只开放必要端口
4. 实施域名系统安全扩展(Domain name system security extensions/DNSSEC)，提供DNS数据的认证并维护DNS数据的完整性。
5. 定期更新DNS服务器的系统补丁
6. 备份DNS并将备份保存到其他位置。

6.3.2 电子邮件协议

• 邮局协议(Post office protocol/POP)和Internet消息访问协议(Internet message access protocol/IMAP)本身不支持加密。
• 安全/多用途Internet邮件扩展[Security/multipurpose internet mail extensions(S/MIME)]：电子邮件加密标准，使用公钥加密将数字签名添加到传统的MIME通讯中。

6.3.3 端口和端口范围

1. 著名端口：0-1023
2. 注册端口：1024-49151
3. 动态或私有端口：49152-65535

port	service
990	FTPS(FTP-SSL)
993	安全IMAP
995	安全POP

6.4 无线安全

6.4.1 802.11协议

名称	描述
802.11a	安全但相对昂贵，在5GHz支持高达54Mbps吞吐量，范围仅60英尺，约20米
802.11b	2.4GHz支持11Mbps吞吐量，范围200至400英尺，约60-130米
802.11g	2.4GHz支持54 Mbps吞吐量
802.11n	2.4GHz或5GHz支持600 Mbps吞吐量
802.11ac	2通过在5GHz频段中增加带宽的信道来提高802.11n的性能，将数据吞吐量提高到1300Mbps

6.4.2 无线加密协议

名称	描述
WEP	使用流密码来加密数据，需要依赖一个IV来将文本的相同字符串随机化。
WPA	通过临时密钥完整性协议[Temproal key integrity protocol/TKIP]改进了数据加密
WPA2	增加了AES，基于计数器模式密码块链消息认证码协议(Counter mode with cipher block chaining message authentication code protocol/CCMP)加密。

6.4.3 无线认证协议

• 可扩展认证协议(Extensible authentication protocol/EAP)：

1. EAP Transport layer security/EAP-TLS需要一个客户端证书通过SSL/TLS进行身份认证。
2. EAP Tunneled Transport Layer Security/EAP-TTLS使客户端和服务器能够建立安全连接而不必强制要求使用客户端证书。
3. Lightweight extensible authentication Protocol/LEAP：思科私有
4. EAP Flexible authentication via secure tunneling/EAP-FAST：LEAP替代

• 802.1X：基于端口认证
• Protected EAP：在建立好的TLS隧道之上支持EAP协商，并且只能使用EAP认证方法，因为EAP本身没有安全机制
• RADIUS联合认证

6.4.4 无线客户端认证方法

1. WPA/2-个人：依赖预共享密钥(pre-shared key/PSK)，也称为WPA/2-PSK
2. WPA/2-企业：使用802.1X与RADIUS服务器进行身份验证。
3. WPS：Wi-Fi保护设置，PIN方法容易遭受暴力破解。

6.4.5 无线访问点的安全性

1. MAC 过滤
2. 禁用服务集标识符(service set identifier/SSID)
3. 信号配置：限制信号的强度
4. 选择合适的胖AP与瘦AP
5. 强制网络门户(captive portal)：要求客户端连接到无线网络之前先通过网页进行身份验证。
6. 站点勘察(site survey)：指收集某个位置上的信息的过程，包括访问路径，潜在障碍和器材的最佳AP摆放位置。

6.4.6 无线安全准则

1. WPA2加密配置
2. 如果连接到不安全的无线网络，使用虚拟个人网络
3. 在企业环境使用WPA2-企业，使用802.1X/radius认证功能
4. 不要使用WPS的PIN功能
5. 不要单纯依靠MAC过滤，还要禁用SSID
6. 配置合适的频带与信号强度
7. 在基于AC的架构中使用瘦AP集中无线操作
8. 强制网络门户
9. 进行站点勘察