本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
- 认证系统(Authenticator System)也叫NAS(Network Access System,即网络接入系统),为了便于理解,文章中使用接入设备来代替。
3、触发认证
用户上网时,打开802.1x客户端,输入用户名和口令进行认证,认证通过才能访问网络,认证不通过则不能访问。
802.1x的认证可以由「客户端主动发起」,也可以由「接入设备主动发起」。
- 「客户端主动发起」:使用客户端软件向接入设备发送 EAPOL-Start 报文触发认证。
- 「接入设备主动发起」:用于客户端不能主动发送EAP报文的场景。
「接入设备主动发起」又有两种具体的触发方式:
- DHCP报文触发:接入设备在收到客户端的DHCP请求后,主动对用户发起802.1x认证,仅适用于客户端采用DHCP自动分配IP地址的场景。因为DHCP请求报文是以广播的形式发送的,同一网段的设备都可以收到,所以接入设备不一定就是DHCP服务器。
- 源MAC地址未知报文触发:接入设备收到源MAC地址未知的报文时,主动对用户发起802.1x认证,如果在规定时间内没有收到客户端的响应,就重发这个报文。
无论哪种触发方式,都会使用EAP协议来交换认证信息。
4、工作原理/认证过程
触发认证后,802.1x协议开始认证,这里以ERP中继方式解释一下认证流程(为了方便理解,接入设备用交换机来代替;认证服务器用radius服务器来代替):
1)用户访问网络时,客户端向交换机发送( EAPOL-Start ),开启802.1x认证。
2)交换机收到请求后,向客户端发送( EAP-Request/Identity )请求,要求客户端把用户名发过来。
3)客户端收到请求后,向交换机发送( EAP-Response/Identity )响应,同时把用户名传给交换机。
4)交换机把客户端响应的报文(原封不动的)封装成radius报文( RADIUS Access-Request ),发送给radius服务器。
5)认证服务器收到后,取出里面的用户名,到数据库的用户名列表查询对应的密码,并随机生成一个加密字(MD5 Challenge)加密这个密码,然后把加密字封装成radius报文( RADIUS Access-Challenge )发送给交换机。
6)交换机收到后,把里面的加密字发送给客户端( EAP-Request/MD5 Challenge )。
7)客户端收到加密字后,用加密字对密码进行MD5加密,然后把加密后的密码( EAP-Response/MD5 Challenge )发送给交换机。
8)交换机再封装成radius报文( RADIUS Access-Request )发送给radius服务器。
9)radius服务器把收到的加密密码和自己生成的加密密码做对比,如果相同,就给交换机发送认证通过的报文( RADIUS Access-Accept )。
10)交换机把收到的radius报文解封后,发给客户端( EAP-Success ),并把端口授权改为已授权状态,允许用户通过这个端口访问网络。认证通过后,DHCP分配IP地址。
11)交换机会定期向客户端发送「握手」报文,以检测用户的在线情况。客户端发送应答报文则表示在线;如果连续两次握手报文没有应答,就会让用户下线。
12)客户端可以主动要求「下线」,发送( EAPOL-Logoff )帧。交换机收到后,把端口状态改成未授权,并向客户端发送( EAP-Failure )报文,确认客户端下线。
5、认证方式
802.1x协议的认证方式除了上面提到的
「ERP中继」,还有
「ERP终结」。两种方式的区别在于:加密口令的位置不同。
- 「ERP中继」:由认证(radius)服务器生成加密字(MD5 Challenge)并加密口令,交换机只充当中介的角色转发报文。
- 「ERP终结」:由接入设备(交换机)生成加密字(MD5 Challenge)并加密口令,之后把用户名、加密字、加密后的口令一起发送给认证服务器,进行认证处理。
5.1、MAB认证
MAB(Mac Address Bypass)也叫MAB地址认证,或者Mac地址白名单。
因为802.1x认证需要终端输入账号密码,但打印机这类「哑终端」没法输账号密码,就用Mac地址作为用户名和密码来认证。
1、先收集设备的「Mac地址」,存到Radius服务器里。
2、设备入网的时候,通过交换机将Mac地址转发给Radius服务器。如果有,就入网;如果没有,就禁止入网。
扩展:
- 「MAB哑终端」是指无法输入账号密码、没有交互接口的设备,比如打印机、扫描仪、IP电话。
6、EAPOL协议报文格式
EAPOL(EAP over LANs)是802.1X协议定义的一种报文封装格式,可以在客户端和NAS之间传递用户信息,也就是说允许EAP协议报文直接在LAN环境中传递。
字段解析:
- PAE Ethernet Type:2字节,以太网协议类型,802.1x为其分配的协议类型为0x888E。
- Protocol Version:1字节,发送方所使用的协议版本号。
- Packet Type:1字节,EAPOL数据帧类型。
- Packet Body Length:2字节,数据域(Packet Body)的长度。当 Packet Type 为 EAPOL-Start或EAPOL-Logoff时,该字段值为0。
- Packet Body:数据内容。
EAPOL数据帧类型(Packet Type):
- EAP-Packet(值为0x00):认证信息帧,该帧在接入设备重新封装成Radius报文,发送给radius服务器。
- EAPOL-Start(值为0x01):认证发起帧,只在客户端和接入设备之间存在。
- EAPOL-Logoff(值为0x02):退出请求帧,只在客户端和接入设备之间存在。
- EAPOL-Key(值为0x03):密钥信息帧,对EAP报文加密(无线接入专用)。
7、EAP协议报文格式
802.1X协议使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、NAS和认证服务器之间认证信息的传递。
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
