【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
 
从OSI模型说起
七层协议就不介绍了,封装也不说了,TCP/IP的四层也不讲了。跳过跳过直接跳过,毕竟是搞了多年网络的CCNP。。。。IPv4的问题挺多的,相比之下,IPv6确实好很多,不过安全性的需求还不足以促使IPv4的用户大规模迁移到IPv6。
 
线缆,不讲了,现在也就是双绞线和光纤了。
 
无线通讯
1,扩频(Spread Spectrum)将数据片段通过不同频率同时发送,实际上相当于并行通讯了。
2,跳频扩频(FHSS=Frequency Hopping Spread Spectrum)频繁转换通讯频率,为了降低干扰,但是任意时刻只使用一个频率通讯。
3,直接序列扩频(DSSS=Direct Sequence Spread Spectrum)同时使用所有可用频率进行通讯,并带有类似RAID 5的校验机制。
4,正交频分复用(OFDM=Orthogonal Frequency-Division Multiplexing)数据经过压缩调制再传送,正交信号不存在干扰,频段更小,吞吐率更高。
 
无线通讯技术
1,蜂窝电话
2,蓝牙(802.15)
3,无绳电话
4,无线网络连接(802.1x)
 
无线网络的部署方式
1,Ad hoc或P2P 没有无线接入点的情况下直接连接客户端。
2,Infrastructure基础架构模式
* 单机(Stand-Alone)连接多个无线客户端
* 有线扩展(Wired Extension)连接有线和无线网络。
* 企业外延(Enterprise Extension)允许多个访问点使用同一个SSID,以实现漫游功能。
* 桥(Bridge)用无线设备连接两个有线网络,通常使用专用的无线桥。
 
无线网络安全
1,将SSID更改为独特的标识,禁用SSID广播
2,启用MAC地址过滤。
3,考虑使用静态IP地址,或有保留地配置DHCP
4,启用身份验证的最高级形式,WEP,WAP或WAP-2。WEP已经不安全。
5,将无线视为远程访问,结合RADIUS,TACACS或802.1x管理。
6,使用防火墙进行隔离,使用IDS进行监控。
7,要求所有通信都要加密,建议采用×××连接。
 
防火墙的种类
1,静态包过滤(Static Packet-Filtering)主要检查地址和端口,容易被骗,属于第一代防火墙。
2,应用网关(Application Level Gateway)也叫代理(Proxy)每一种应用都需要一个代理,安全性高但是性能差,属于第二代防火墙。
3,电路网关(Circuit Level Gateway)也称电路代理(Circuit Proxy)基于电路(地址和端口)来管理通信,同属第二代防火墙。
4,状态检测(Stateful Inspaction)对网络通信的状态和环境进行综合评估,属于第三代防火墙。
5,多宿主 具有多个网络接口的防火墙,也称为堡垒(Bastion)主机或屏蔽(Screened)主机,通常会构建DMZ区。
 
安全通信协议
1,IP简单密钥管理(SKIP=Simple Key Management for IP)保护UDP数据的工具,与IPSec相结合。
2,软件IP加密(SWIPE=Software IP Encryption)使用封装来提供机密性,完整性和身份验证功能。
3,安全远程过程调用(SRPC=Secure RPC)身份验证服务
4,安全套接层(SSL=Secure Socket Layer)用于保护Web通信的加密协议,SSL是面向会话的协议,可以用来保护Web,电子邮件,FTP和Telnet等,支持40位或128位密钥。
5,安全电子交易(SET=Secure Electronic Transaction)结合RSA和DES技术来实现。主要用于金融行业,如信用卡等。
 
Tunnel 隧道技术的缺点
1,通讯协议都有纠错,确认和会话管理机制,功能重复。
2,一次使用多个协议增加了开销。
3,点对点协议,不支持广播。
 
×××协议
1,PPTP 微软开发,初始通信没有加密,已经被L2TP替代。
2,L2F 思科首创,不提供加密,没有广泛应用,被L2TP取代。
3,L2TP 前两者的结合体,没有内置的加密方案,常与IPSec结合使用。L2TP支持RADIUS和TACACS,PPTP不支持。
4,IPSec 目前应用最广泛的协议,提供安全的身份验证和加密的数据传输。
 
×××协议比较表
 协议 自带身份验证 自带数据加密 支持的协议 支持拔号链路 并发连接数
 PPTP
 Y
 N
 IP
 Y
 1
 L2F
 Y
 N
 IP
 Y
 1
 L2TP
 Y
 N(可用IPSec)
 Any
 Y
 1
 IPSec
 Y
 Y
 IP
 N
 多个
 
网络***及对策
1,偷听(Eavesdropping)
2,第二级***(Second-Tier Attack)
* 假冒/伪装(Impersonation/Masquerading)
* 重放(Replay)
* 修改(Modification)
* 地址解释欺骗 ARP***
* DNS欺骗(DNS Spoofing)
* 超链接欺骗(Hyperlink Spoofing)
* 网络钓鱼/假冒身份(Phishing/Pretexting)
 
【本单元结束】