Try   HackMD

Cissp Domain 4 Communication and Network Security 通訊與網路安全


概述

資訊安全架構在資訊之上,要先知道網路知識才能討論這一塊
如果不太懂協定運作,可以參考 tcpip guide 這個網站還算完整
喜歡看書的話這本 TCP/IP Illustrated 也不錯,資策會有翻譯中文版

4.1 Network Protocols P7

  • 封包格式都有溝通和規範,以日常line使用習慣舉例
    • UDP 不管怎樣電話就直接打來了
    • TCP 三項交握:line先傳有空嗎可以打電話嗎
  • vendor-agnostic 大廠做了就變大家通用 eg IEEE 802.11(wifi) 文件付費;IETF RFC (Tcp/ip) 文件免費
  • 網路協定有分層 isolate functions in layers

Internetworking Process

偏應用程式,使用者 567
偏網路 1234

ISO 7498 協定堆疊
下面往上丟的叫payload(中文翻酬載?? 老師:這翻譯根本聽不懂 還是叫資料吧),每一層再封裝 encapsulated

例如 往下的
5收到4來的,就是 payload,
4 tcp層就要封裝加header
4往3也是看到payload
3 ip+header

往上就是 解封裝


ISO 7498-1 OSI 模型

  1. 實體層傳 bit
  2. 資料連結層 frame 訊框 (偵)
  3. 封包 Packets
  4. TCP Segments:UDP:DataGram

Roland老師:電話打通但還沒講話,底層連線好了就像是 1234層,要講話開始就是 567層

講義的幫助記憶順序,如果已經背熟7層不用記這句藏頭
AllProplemSeemToNeedDiliciousPizza


IETF TCP/IP Model

  • TCP ip 的 Application層 Cover到 OSI 567層
    續傳功能其實是有個狀態紀錄,連線重新建立可以續傳,OSI 是放在 Session Layer,但 TCP 也可以用,證明了他其實有覆蓋到

APT Defense Model:Cyber Kill chain P13

這屬於一種威脅模型 Threat Model,mitre att&ck 也是威脅模型

APT = 進階+持續很久(半年到2年) 的攻擊
攻擊達成目標中,會經過一連串步驟,就是 Kill chain

攻擊者怎麼做?

  • Reconnaissance 情資蒐集 google找得到的,新聞 社群網站、掃描工具,vishing(用 voip 釣魚),藍隊可以偵測攻擊者做的一些特徵,並且防禦
  • Weaponization 攻擊者打造武器,可能是好用工具或入侵軟體
  • Delivery 遞送 Email USB URL
  • Exploitation 發動攻擊與入侵
    • live-off-the-land 利用作業系統本身有的工具入侵或攻擊,例如 powershell、office的macro巨集,又稱 filess 無檔案攻擊,因為以前駭客必須下載檔案才能攻擊,這種直接在 memory 就不用存硬碟
  • Installation 安裝,miter attack寫作 peristence(持續),好不容易打進來,要可以一直用,所以常會是安裝木馬
  • Commane & Control C2 Server:回報給中繼站,建立控制管道 Installation+C2 = botnet殭屍網路
  • Actions on Objective:偷資料 破壞資料 跳板

OSI第1層 實體層(物理層) PhysicalLayer p14

  • 傳輸的東西是 bit
  • 電話線訊號、撥接數據機、物理和數位互轉、實體網路線、電視Cable同軸電纜、無線電波、光纖線都在這一層
  • baseband(基頻)只能傳輸單一一種數位訊號
  • 同軸電纜broadband 可以同時傳送語音或數位訊號

L1 的協定堆疊 P15

第一層的硬體

  • LineDriver放大器
  • Modem數據機
  • 無線電波光纖轉換器、光電轉換器

接收方:轉換 bit pass給第2層

常見設備 P16 P17

  • 放大器 放大訊號

  • repeater 延伸傳輸

  • 多工器 有個來源,要去調配管道

    • TDM(時間切割),例如每個資料來源只能用10ms
    • FDM,頻段分隔,但接近會干擾,所以需要 guard 隔開(頻段使用沒效率)
    • OFDM 改善 FDM缺點,頻段可重疊不干擾
  • Concentrators 線路集中器,Switches hubs

L1主流技術 P18

  • Ethernet:乙太網路,成本低,現在算是業界標準
  • InfiniBand(IB) 超級電腦傳輸用,高效能低損耗
  • 2016/6,ethernet在超級電腦使用上已超越50%,死亡交叉超越 IB

過時技術

  • token ring (BNC接頭,環狀的)
  • FDDI 光纖(也是環狀的)
  • ATM 被 MPLS取代了

last mile最後一哩路

  • Modems 撥接上網的電腦 RS232 連接,透過電話線連到最近的電信機房,再連到 internet ,PPP協定
  • DSL (ADSL) 、RADSL SDSL VDSL 還算常見

電力線 BPL Boardband over Powerline

無線網路

衛星通訊不是衛星對衛星,而是有一個地面站打訊號上衛星,再打回另一個地面站

wiki星鏈:2022年5月,星鏈推出了用於房車等專為喜歡公路旅行或露營的使用者而設計的Starlink RV服務,該服務的月租為135美元,配套的硬體費用為599美元。 目前該服務的覆蓋範圍為美國南部、澳大利亞南部、歐洲南部等地區,並預計於2023年第一季度覆蓋全球的大部分國家和地區。

L1 威脅 P22

  • 有線的搭線竊聽
  • 無限干擾:例如 wifi hacking,injection 封包干擾通訊
  • Rogue devices:組織不允許的私架設備 (rogue account:偷建的帳號),但該報廢但沒去報廢的不算這一塊
  • wifi surveillance 掃描技術
  • jamming 針對無線訊號干擾,俗稱蓋台
  • cutting 剪掉實體線路

攻擊目標

  • 蒐集情資
  • DoS阻斷
  • 取得更高層存取
  • 建立攻擊者控制能力

防護方式

  • 實體安全線路保護好
  • 實體入侵偵測機制 紅外線偵測 熱感應 震動感應
  • 特殊偵測:檢查剪線
  • RF Monitoring:wireless IDS 無線入侵防禦系統
    (英語:wireless intrusion prevention system,縮寫WIPS)是一種網路裝置,可以監測無線電頻譜中是否存在未經授權的無線接入點(入侵檢測)

光纖網路公司因大量線路被偷剪盜走,只能自力救濟貼紙條求小偷「拜託一下,不是銅,不要剪了。」
https://news.ltn.com.tw/news/society/breakingnews/2489284

搭線竊聽案例

監聽設備新的2000美金,2手 ebay大概 300元美金


OSI第2層 資料連結層 DataLinkLayer P23

  • 主要參數MAC位址, pass 給第一層
  • 設備:如果不是我的 mac 就丟掉,是我的就接收
    vlan、switch、ARP廣播封包、169.254.x.x在這一層

主要協定 P24

  • PPP協定: 用來封裝 TCP/IP的協定
  • 到了 Center Office,會把頭拿掉,幫你送上 Internet
  • 早期用 RS232 Moderm,現在改用 ADSl Router,想要回溯相容要怎麼做呢? PPPoE協定
  • 在 PPP協定前面加上 乙太網路 Header,其他一樣就可以通用

A Over B (例如PPPoE)是什麼意思? 用 B去封裝A

例如 PPPoE 就是用 Ethernet 去封裝 PPPoE
https 就是 http over TLS(SSL) ,因為 http 是裸奔的要保護

另一個名詞:tunneling:用 tls 封裝 http,就是給他一個通道

ARP協定 How Does ARP WorkARP怎麼運作的 (P25補充投影片)

我知道 IP 但不知道 MAC, ARP協定可以用 IP去找 MAC
然後存到 arp cache

缺點:無法判斷 ARP Reply 真實性
攻擊:SRP Spoofing - MitM: Cache Poisoning

看 arp cache 的範例, arp -a,可以看到IP對應實體位址就是 MAC address,如果看到一個 ip 對應兩個的mac就要小心了

cmd>arp -a 介面: 192.168.20.119 --- 0x15 網際網路網址 實體位址 類型 192.168.20.82 80-32-53-f3-49-40 動態 192.168.20.155 0c-7a-15-0b-7f-c5 動態 192.168.20.156 0c-7a-15-0b-7f-e3 動態 192.168.20.254 94-ff-3c-32-af-52 動態 192.168.255.255 ff-ff-ff-ff-ff-ff 靜態 224.0.0.22 01-00-5e-00-00-16 靜態 224.0.0.251 01-00-5e-00-00-fb 靜態 224.0.0.252 01-00-5e-00-00-fc 靜態 239.255.255.250 01-00-5e-7f-ff-fa 靜態 255.255.255.255 ff-ff-ff-ff-ff-ff 靜態

攻擊者可以把接收和傳送的 arp cache 改成自己,攔截訊號
CEH會講比較多,找一個範例影片
MITM With Ettercap - ARP Poisoning
https://www.youtube.com/watch?v=3UD738uE7Tg

DNS Cache 也會有類似的攻擊情形


Medium Access Control (俗稱的MAC) P27

多台電腦同時要送資料需要調控

  • Polling-based protocols 輪巡,沒效率
    • 負責問的叫 Controller device (在 wifi 裡就是 AP)
  • Contention-based protocols 競爭
    • CSMA 想送就送
    • CSMA/CD 先監聽listen-before-talk,就等 random 時間 (有線網路)
    • CSMA/CA 先監聽listen-before-talk,碰撞,發送 RTS 之後必須在限定時間內收到來至目的端的 CTS 訊號 (無線網路)

Switches (有L2 L3甚至L7) P28

  • L2 看得懂MAC
  • L3 看得懂IP
  • switch 跟 hub 的差別: hub 在不同孔會彼此碰撞,switch不會,但如果一個 switch port 外插 hub,在 hub 上還是會碰撞
  • switch 可以切 vlan
  • 攻擊手法vlan hopping 的一種攻擊方式 double tagging,可以偽冒 vlan id,讓攻擊者可以穿透 vlan 偷別的訊號

L2 威脅 P30

漏洞

  • 協定
  • 組態設定

威脅

  • mac spoofing :偽冒白名單mac
  • mac flooding, arp spoofing:送大量 spoof mac 讓 switch 退化成 hub,就可以任意port監聽sniffing,kali 工具叫 macof
  • broadcast stomrs:dos 網路效能下降到無法使用

防護

  • 監控arp:dynamic arp inspection 先把 arp 封包記起來,比對發現不對就把惡意 arp 封包擋掉

展示影片利用wifi惡意攻擊打斷他人連線

Kali Linux "Aireplay Deauth Attack"
簡單說就是一直送DeAuth造成連線中斷,受害者偶爾可能搶到一下但馬上又斷了


OSI第3層 網路層 NetworkLayer (IP層) P31

IP 在這一層,防火牆(擋IP)可以擋這一層

  • fragment packets ,會看L2最大長度去切割 (衍伸攻擊 teardrop)
  • 來源ip目標ip
  • 包裝 header pass給 L2 傳輸
  • 給第四就是拔掉 header 給 L4

IPv4 P32

  • 32bit已經不夠用很久了,Class ABCDE,一般申請是ABC,DE是特殊用途
  • 子網路切割
  • 搭配NAT,port number mapping

早期是為了資訊共享,沒有安全機制

  • 加密 encryption
  • integrity 完整性檢查較弱
  • authentication 無法偵測偽冒封包

IPv6 P33

  • 128bit(幾乎無限)

  • header 比較簡潔

  • image

  • 不支援廣播(不然太多人了),只有群播

  • 原生支援IPSec(不是預設啟用)

    • 身分驗證
    • 加密
    • 完整性
  • 台灣的 ipv6 市占率60% 其實在全世界算高 (印度80% 因為沒有負擔)

  • https://blog.twnic.tw/2023/11/29/29127/

  • image

傳輸模式 投影片有圖片 P34

  • unicast:IP to IP
  • multicast:一對多
  • broadcast:一對全部
  • anycast(IPv6):one-to-anyone-of-many:EndUser要使用某個服務,會去找離他最近的一台(如cdn基礎建設),所以抗 DDoS 較好
  • geocast:指定國家

Routing : 想像成 gps導航 P35

考慮 Routing 要去哪、路徑
Router彼此要交換路徑資訊,根據RoutingMap決定最佳路徑
所以Router被Posion就可能被導向錯誤的地方

AS系統:wiki: autonomous system 自治系統


路由協定層次 Routing Protocol P36

1_動態路由DynamicRouting

2-1_內部閘道協定Interiorgatewayprotocol

3-1_距離向量協定DistanceVector

4-1_RIPv1_Obsolete

5-1_RIPv2_Obsolete

4-2_IGRP_Obsolete

6-2_EIGRP

6-1_RIPv3

3-2_連結狀態協定Link-State

6-3_IS-IS

6-4_開放最短路徑優先OSPF

2-2_外部閘道協定ExteriorGatewayProtocol

3-3_路徑向量協定Path-Vector

6-5_邊界網關協定BGP


Switches and Firewals P37

L3 switch

  • Syn 送出去
  • 沒有路由就擋起來

firewall

  • stateful inspection

次世代防火牆

  • 講義定義:把 IDS、IPS、WebProxy、Anti-Bot抗機器人、AntivirusGateway防毒閘道、VPN、FWaaS (Firewall as service)

威脅 P39

弱點

  • 防火牆設定不好
  • 協定設計漏洞

威脅

  • routing attack:BGP hijacking
  • ICMP attacks
    • ping flooding,一直送 icmp 封包
    • ping of death,送 icmp 封包,但長度大於65535,早期OS無法應付就會crash
    • smurf attack:1. 攻擊者偽冒受害者 2.使用ICMP broadcast 廣播 3. 放大網路(少量封包量放大),現在ICMP很少成功,但協定換成別的例如DNS Server、http、ntp有可能成功
  • IP address spoofing
  • Teardrop 攻擊:在 IP 層中定義的封包分割ip fragmentation和重組的規則為:「分割後的封包的大小必須小於傳輸介面的 MTU(maximum transfer unit,最大傳送單位),並且符合以 8 byte 為單位的倍數。 (奇怪格式)參考來源 介紹有關網路攻擊手法、各式防禦技術與實際的案例。
  • Teardrop基於UDP的惡意片斷資料封包工作原理,歸類為拒絕服務攻擊,收害者接收眾多的IP片斷資料,資料內資訊包括隸屬於哪個封包以及在該封包中的位置等,若偏移值(Offset)被偽造,OS處理過程易崩潰、重啟。 參考來源

smurf attack:1. 攻擊者偽冒受害者 2.使用ICMP broadcast 廣播 3. 放大網路(少量封包量放大),現在ICMP很少成功,但協定換成別的例如 DNS Server、http、ntp有可能成功

Smurf Attack,如果使用 UDP 就是 Fraggle Attack提線木偶攻擊

DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種,在Smurf攻擊中,攻擊者使用ICMP資料包阻塞伺服器和其他網絡資源;SYN Flood攻擊使用數量巨大的TCP半連接來佔用網絡資源;Fraggle攻擊與Smurf攻擊原理類似,使用UDP echo請求而不是ICMP echo請求發起攻擊。
參考來源 利用路由器防止DDOS瘋狂攻擊 保護網絡安全


考試相關

  • 過時的技術要讀嗎?
    為了考試的話,要讀,因為ISC2認為這些技術雖然無法使用了,但手法有參考價值

  • 名詞定義:如什麼是teardrop、什麼是fraggle 不太會考,但會考情境


OSI第4層 傳輸層 TransportLayer (TCP UDP層) P41

  • TCP 有重送機制,網路不穩好用
  • UDP 區網用

L4 技術與影響 P43

  • TCP 三向交握 (syn flood洪水的 DDoS 攻擊就是在這邊)

Syn封包(1個bit)
SynAck(各1個bit)
Ack(1個bit) ESTABLISHED

C:\>netstat -an | findstr ESTABLISHED
  TCP    127.0.0.1:1853         127.0.0.1:1854         ESTABLISHED
  TCP    127.0.0.1:1854         127.0.0.1:1853         ESTABLISHED
  TCP    127.0.0.1:1856         127.0.0.1:1857         ESTABLISHED
  TCP    127.0.0.1:1857         127.0.0.1:1856         ESTABLISHED
  TCP    127.0.0.1:1859         127.0.0.1:1860         ESTABLISHED
  TCP    192.168.20.119:42238   20.90.152.133:443      ESTABLISHED
  TCP    192.168.20.119:42239   147.92.185.1:443       ESTABLISHED

攻擊者作法:故意不回Ack,一直送 Syn,讓作業系統 Server STATE 被占滿
但1v1打主機通常打不過,用大量主機打同一台才有用

UDP:不用連線直接送


Ports number P44

  • Well-known 知名服務使用的port,駭客攻擊主要 port range
    0-1023
  • Registered vendors 供應商註冊的
    1024-49151:例如1433 ; 1520 1521 sql server
  • Dynamic or Private 可自由運用
    49152以上

L4 威脅與防護 P45

威脅

  • SYN flooding,UDP flooding
  • port scanning (nmap)
  • tcp sequence prediction 假冒A送封包給B,他是 TCP Session hijacking的前置動作
  • Fraggle,Smurf 的 UDP 版

防護

  • 白名單黑名單
  • 改用安全的 TLS SSH
  • Fingerprint scrubbing 特徵模糊 防止別人蒐集主機特徵的 Recon(偵查)

例如 Time To Live (TTL) ,可以用這個時間長度猜測作業系統
64 – Linux/MAC OSX systems.
128 – Windows systems.
255 – Network devices like routers.
把特徵數值模糊掉就是 Fingerprint scrubbing


OSI第5層 會話層 SessionLayer P48

關鍵服務

  • 識別身分
  • 身分驗證

L5 協定 P49

Authentication

  • PAP 要知道弱點是什麼 (沒有加密)
  • CHAP:傳密碼有用 md5 hash,缺點是密碼儲存沒有加密
  • EAP是身分認證框架 ,雙方同意達成的方法就好,沒有規定認證方法,有50多種支援EAP,符合的常有以下特性
    • 許多方法都有使用數位憑證,而且是 雙向認證 (mulual authN)
    • EAP-TLS(client server強制數位憑證),EAP-PEAP(強制Server藥用,client端選用)
  • windows的網路 vpn 介面可以看到 eap 等多個認證方法
    image

Tunneling

  • PPTP, L2TP較不安全通常搭配IPSEC L2F不用了
  • RPC 協定 詳細見下頁

Remote Procedure Call(RPC) 呼叫遠端服務

  • windows oracle 都有自己的協定版本,也有通用的
  • 許多上層服務依賴,例如 NFS,MS SMB,DCOM
  • windows 以前一個漏洞misconfig跟這個有關,SMB null authentication漏洞,攻擊者可以做情資攻擊(現在已經不能使用)
  • 遠端主機正在執行 Microsoft Windows 作業系統之一。可以使用 NULL 會話登入它。NULL 會話(無登入名稱/密碼)允許取得遠端主機的資訊。
    參考資料 Fixing Vulnerabilities in Windows SMB NULL Session Authentication

L5威脅與防護

威脅

  • MITM Session hijack
  • MITB Man-in-the-Browser
  • 竄改 HOST file
  • SSH downgrade attempt 降階攻擊,降階到不安全的協定或版本

攻擊目標

  • Eavesdropping 竊聽 (實體環境偷聽),網路竊聽通常用sniffing

防護

  • Proper session management
  • OWASP 連線管理
  • Replace weak password authentication protocols
  • USe 比較好的 PKI、IAM機制
  • 驗證 DNS
  • IDS IPS 0 SIEM平台跨設備警訊關聯

OSI第6層 表現層 PresentationLayer P52

  • Formating格式問題,身分驗證過了,雙方要約定好都認定的格式
  • 字元編碼解碼 例如網頁語言
  • 壓縮 Compression
  • 加密解密 https
  • 序列化跟反序列化 serialization and deserialization
    • A object送到B電腦要先序列化轉換格式,B電腦先反序列化再轉成Object

L6 威脅與防禦 P53

弱點

  • 弱協定
  • 錯誤設定

威脅

  • Malformed SSL rerquests :Malformed是奇怪格式的意思,可造成 DoS攻擊

不安全的協定關掉

  • RC4不安全就把它關掉
  • 舊版協定關掉 例如 tls升到 1.3
  • 用 WAF阻擋應用程式攻擊

用 unicode %255c 跳過 ../ 的 IIS 漏洞

/scripts/..%255c../winnt/system32/cmd.exe?/c+dir

微軟當時修復只擋 ../,沒擋..%255c

Copyright  2001 SecurityFocus Incident Analysis Report — September 21, 2001


OSI第7層 應用層 ApplicationLayer P55

  • HTTPS/HTTP 主要使用 TCP
  • Provides for authentication
  • cache
  • 瀏覽紀錄
  • 惡意網站 釣魚網站
  • GCB 要求套用 瀏覽器安全設定

瀏覽器安全 Header

  • Content Security Policy
  • Http Secure Header

DNS DomainNameSystem P56

無法確認 DNS reply 是否為偽冒

DNS cache poisoning ( 可以跟 ARP一起記 )
防護方式:啟用 DNS 延伸功能 DNSSEC,把 DNS reply 加上數位簽章,只收可信任 DNS Server 的東西,但是沒有加密


DHCP Dynamic Host Configutation Protocol P57

Client>Server DHCP Discover
Client<Server DHCP Offer (address)
Client>Server DHCP Request (Accept)
Client<Server DHCP Ack(確認收到 Confirmaion)

DHCP 開頭幾個字剛好組成幼教動畫 DORA the explorer
meme from reddit

https://i.imgur.com/j0wVhNi.png

攻擊

  • Rogue DHCP Service 針對 DHCP client 攻擊,實現中間人攻擊
  • Rogue DHCP Server 針對 DHCP Server 攻擊,一直要 ip 把 dhcp 池用光,實現DoS攻擊

Simple Network Management Protocol(SNMP) P58

可以讀寫 request
但SNMP的身分驗證較薄弱,他使用預設通訊字串 default community strings

  • get預設 community string 是 public
  • set預設 community string 是 private

解決方式:改用 snmp v3 (但要系統設備有支援)

Oracle 使用 SNMPv3 加密與使用者認證
SNMPv1 和 SNMPv2c 未提供加密,而且使用認證形式的社群字串。社群字串是透過網路以純文字形式傳送,通常在一群個人之間共用,而非個人使用者專用。相反的,SNMPv3 使用加密來提供安全通道,以及個別使用者名稱和密碼。SNMPv3 使用者密碼是本機密碼,因此可以安全地儲存在管理工作站上。


LDAP 目錄服務

  • 把要使用的目錄和資源放在這邊,每個物件有一個 uni編號 dn
  • dn是這些加起來的 cn=JulieSmith,ou=部門,dc=國家
  • v3才開始支援tls加密
  • client端會發 query 給 server ,但 server 沒檢查參數可能會發生 LDAP injection,攻擊參數混進去在 LDAP 執行
  • injection 這類攻擊也稱為 malformed input

L7 防護 P60

改用安全協定

  • 看到xx協定後面有 s = over TLS

    • 原協定不用改,相容性最高
  • 啟用 xxxSEC,例如 DNSSEC

  • 啟用新版本 例如 SnmPv3

  • 越往下面,越容易有相容性問題

  • 多因子驗證

  • 防止使用者連接可疑網站

    • 白黑名單 url filtering
    • 強化使用者資安意識
      *遷移到零信任架構 zero trust

4.2 Security Issues of Protocols Transition and Convergence 安全協定趨勢 P65

  • 工控系統其實也有新協定,但老舊系統遷移比較慢
    • ICS Protocols
    • IPv4 to IPv6
  • 封閉環境跟 TCP 整併在一起
    • 攻擊面變大了
  • legacy 傳統遠端存取 明文存取
    • telnet
    • linux 的 rlogin rshell

IP網路問題 P66

  • 缺乏驗證
  • 缺乏加密
  • 完整性較弱

安全協定 P67

  • TLS 還是看一下 Hand shaking,尤其是1.2 1.3差很多要看
  • IPSEC 協定,類似的技術差異要關注
    • AH 提供防偽冒 防竄改
    • ESP 也提供防偽冒 防竄改,但多提供加密
  • Transport Mode 與 Tunnel Mode
  • Negotiation
    • 你會把加密演算法寫死在協定裏嗎? 通常會把協定都列出來,雙方協商自己要用哪一種
    • TLS Handshakingu也是在協商
    • negotiate 什麼內容呢? AH/ESP,mode,演算法,key,key lifetime
  • ISAKMP
    • 縮寫的SA 就是 Security Associations
    • ISAKMP是一個框架
    • 跟 AuthN,negotiation(SA) and key exca=hange
    • 跟 IKE 容易混淆,因為 IKE 是實作方法

IPSec Transport Mode P68

  • AH 有保護 IP Header,ESP 沒有保護
  • 但如果是為了加密,就只能用 ESP

IPSec Tunnel Mode P69

  • 原來的 IP 是 private IP,沒辦法在 internet 傳送,所以用 tunnel 包一個 ip 在外面,可以送到對方 vpn,就能進到內部網路
  • AH ESP 保護跟前面一樣, AH 只有保護 Header,ESP 沒有保護;如果是為了加密,就只能用 ESP

Internet Key Exchange (IKE) P70

  • key 交換
  • 身分驗證方法
    • 公開金鑰 Public Keys
    • 預先交換 Pre-shared keys
    • 數位簽章 Digital signature
  • 用 kerverized 做身分驗證

Network Access Control (NAC) Devices P71

定義較廣,在網路上有存取限制的都算,

  • NAT PAT 參考圖片
    image

Proxy types

  • circuit level 的,跑在第五層的 L5 Socks4/5,不管6 7,如果要通用的proxy 可以用這個
  • application-level ,可以針對 url 過濾,但就要每一層每個協定都建一個 proxy (成本較高)

port-based access control (PNAC)

  • 802.1X
  • EAP資料首先被封裝在EAPOL訊框中,傳輸於申請者(Supplicant)和驗證者(Authenticator)之間。隨後又封裝在RADIUS或Diameter,傳輸於驗證者和驗證伺服器(Authentication server)之間。
  • 要認證結果是通過的,才會把port打開讓他真的可以聯網
  • 圖片參考 wiki

Endpoint Security 端點防護 P72

  • Device identity 管理,知道設備唯一編號
  • 資產管理
  • 遠端管理
  • 組態管理
  • 安全狀態檢查
  • 行為模式

ESET Endpoint Security Demo
https://www.youtube.com/watch?v=g3D_m7ngu0A


4.3 Implement secure communication 應用類的 P76

VOIP Voice Over Internet Protocol

  • 主流協定是 SIP Session Initiation Protocol (SIP),但這個是傳遞溝通的
  • 傳送語音資料的協定是 RTP
  • 因為是早期的,所以沒有加密
  • wirk 有提供 sip flows ,可以重組聲音
  • 他自己出了安全的協定 SRTP

H.323 安全規格寫在 H.235,有8個 part 0-7,是複雜規則

  • VOIP都整合在多媒體協作平台,例如 zoom skype teams

好的:

  • 要有使用政策 (ex 軍方禁用zoom
  • 要有自動錄音

不好的要小心


多媒體協作 P78

  • P2P
  • SPIM

wifi 和其他網路控制 端點設備 P79

威脅

  • 攻擊者可能做 RF Wireless reconnaissance 蒐集訊號
  • 老名詞 War Driving 開車用無線天線在你公司附近繞蒐集訊號
  • endpoint 沒有控制機制,例如使用 open authN (不用驗證就能連線的AP)
  • 攻擊者架設 Rogue Access point,就能實現中間人攻擊

防護

  • 行動裝置安裝 MDM
  • 調整 wifi 功率不要太出去
  • 802.11 i
  • WPA3相對安全優先使用

限制公司資產只能連指定 wifi ap 範例


Remote Access P80

  • Telecommunting 通訊安全
    • VPN
    • full disk encryption (windows硬碟 bit locker)
  • 虛擬桌面
    • SSH,RDP
    • VNC風險較高無法受組織管理
  • VPN
    • PPTP不安全
    • L2 tunneling Protocol不安全
    • IPSec VPN 安全
    • SSLTLS VPN 安全
  • 螢幕或鍵盤擷取側錄 keylogger
    • 普通防護:輸入帳密不用鍵盤,用螢幕隨機虛擬鍵盤 (被螢幕錄影就爆了)
    • 較好的做法,多因子認證

Content Distribution Networks (CDNs) 內容遞送網路 P84

netflix 全球串流影音就是使用這種方式

  • Anycast (one-anyone-many),client端找離自己最近的主機群
  • Low latency, high quality

Software Defined Network (SDN) P85

也有 Software Defined Storage
也有 Software Defined Computing
就是用軟體模擬這些硬體功能

傳統網路設備分3層

  1. 應用層
  2. 控制層
  3. 資料轉送層

問題

  1. 供應商都把這些封在一起,用了就被鎖住只能在這家用
  2. 全部都被綁死,很難變動

解決方式

  1. 把控制層Separate control (brain)拆出來變成軟體
  2. 因為是軟體設計,所以管理設備就像是寫 code 一樣用軟體控制
  3. 底下設備只負責資料轉送 (dumb device)
  4. 溝通方式必須標準化

SDN Data Flows 南北向 東西向資料流 P86

  • NB API 北向API
    • Restful API (web-based)
  • SB API 南向API
  • Open Networking Foundation(ONF)

SDN Demo 影片
https://www.youtube.com/watch?v=GCFSa5mv3Qs


SD-WAN(軟體定義網路) P87

  • SDN 的一種應用,如果很多 site 要整合起來,就是用 SD-WAN

  • SD-WAN Controller 可以在網路上任何地方,集中化管理

  • 限制這個site 能否使用特定服務

  • 優先線路壞了可以在這邊整合

  • Demo 影片 Experience the Juniper AI-Driven SD-WAN Demo
    https://www.youtube.com/watch?v=jMMhL-I4jPk

  • 這張圖上有3個 site,demo 會很快速把第一個join 進去

    image

  • 可以設定不同的存取權限

    image

  • 等機器開好 Controller 推入設定

    image

好處

  • 可以做 micro-segmentation
  • 傳統是斷線才能切換, SD-WAN可以檢查品質,品質不好就切換
  • 傳統預設信任,SD-WAN要白名單給 rule
  • 容易做監聽管理
  • 萬一壞掉要 by pass 很容易
  • service-chaining (NFV) 很好搭配

零信任 ZTA 傳統網路的挑戰 P88

  • ip based很難擴充
  • 預設信任(隱性信任) 內網就都安全
  • 細度不夠
  • byod(自帶設備)能信任嗎?
  • 靜態政策,防火牆政策很難快速變更
  • 容易發生橫向移動攻擊

零信任不信任你 永遠驗證 P89

有很細的 Workload 概念,厲害一點的甚至可以用主機上的 process 做防護判斷
Workload A:WebServer 要去 DB 取東西,當WebServer A 有別的 Process 跑進去,就不能存取 DB了

零信任經典指引 nist sp 800-207

  • All communication is secured 不管在哪裡確認安全才能存取
  • 每個企業的資源每次存取都要驗證
  • 美國聯邦政府希望即時掌握資產狀態,蒐集資產情資,分析現在是否有風險,有的話就立即改善 mitigation (其實就是不信任,所以隨時要了解狀況,不安全馬上修正)
  • 所有資源做身分驗證授權,都不是靜態而是使用動態,什麼是動態? Contextuel 所有環境背景相關都要檢查和要求

零信任邏輯元件 投影片有圖 P90

  • Context = asset 資產

  • Policy Enforcement Point 端點進來要問會客室,可以通過的話才發訪客證

  • 會客室PA怎決定?

  • 要去問Policy Engine,用下面這些來評估

    • DataAccess Policy
    • PKI
    • ID Management
    • SIEM System
    • CDM System
    • Industry Compliance
    • THreat Intelligence
    • Activity Logs
  • 零信任產品 DEMO影片

  • Zscaler for Users Demo

  • https://www.youtube.com/watch?v=p1bzkAEZ_oc

  • Image Not Showing Possible Reasons
    • The image file may be corrupted
    • The server hosting the image is unavailable
    • The image path is incorrect
    • The image format is not supported
    Learn More →

    image

零信任防護舉例

防火牆會允許 port 通過,例如正常是DB會去連 1433,但使用 telnet 去連 DB port 1433,會連得上,那..如果不是 telnet ,而是惡意程式去連呢? (端點防護先不談)
零信任的防護程式可以做到只允許特定 Process 發起連線,連到另外一個主機的 Process port


以下是參考,上課沒有特別提


自動專用IP定址 APIPA (Automatic Private IP Addressing)

如果用戶端電腦一開機找不到 DHCP 伺服器,就會自動啟動 APIPA 機制,將自己的 IP 位址設定為 169.254.0.1 到 169.254.255.254 的範圍,而子網路遮罩則是 255.255.0.0。
參考來源:挨踢人-胡說八道–黑白講 APIPA (Automatic Private IP Addressing)


MPLS(多協定標籤交換)

一種 routing protocol
可以使用 MPLS vpn,用中華的設備,自成一個雲
他是用label機制,跟傳統比起來更快速
比較嚴謹的 vpn 會說要加密

MPLS 協定本身沒有加密,不過有使用的是邏輯隔離,還是算是一個私有網路
有業者會把 internet 和 backbone混在一起,有些會拆開,要看供應商提供的如何