This chapter covers the following topics:
探索安全基本面:
This section explains the need for network security and discusses the elements of a secure network. Additionally, legal and ethical considerations are discussed.
了解网络攻击的方法:
本节让你了解各种威胁针对你的网络的安全性,并介绍了可能对网络发起特定攻击。
随着网络的发展和互联与其他网络,包括因特网,这些网络很容易受到安全风险较大的数字。不仅与网络规模的增长以及潜在的攻击者的数量,而是提供给那些潜在的攻击者的工具在复杂程度方面总是不断增加。1
了解网络安全原则
This chapter begins by broadly describing the necessity of network security and what should be in place in a secure network. Legal ramifications are addressed. Also, this chapter walks you through several specific types of attacks that could threaten your network. Finally, you are provided with a list of best-practice recommendations for mitigating such attacks.
“Do I Know This Already?” Quiz
在“我是不是已经知道了?”测验可帮助您确定您的这一章的主题知识水平,然后再开始。表1-1详细介绍这一章及其相应的问答题中所讨论的主要议题。
表1-1 “Do I Know This Already?” Section-to-Question Mapping |
|
基本主题章节 |
Questions |
探索安全基础 |
1〜6个 |
了解网络攻击的方法 |
7 to 15 |
在哪里对组织的计算机资源大多数攻击而来?
来自网络
从内部网络
From universities
从谁获得对计算机资源的物理访问的入侵者
什么是网络安全的三个主要目标是什么?(选择三项。)
保密
Redundancy
廉正
可用性
美国政府的地方分类数据划分成类?(选择三项。)
SBU
Confidential
秘密
绝密
思科定义了三类安全控制措施:行政,物理和技术。这些类别中的单个控件可以进一步分为哪三种特定类型的控件?(选择三项。)
Preventive
Deterrent
侦探
反应
诉讼通常需要三个以下元素中的呈现信息起诉安全违规时的有效论据?(选择三项。)
Audit trail
动机
手段
Opportunity
哪种类型的法律通常涉及的政府机构条例的实施?
刑法
侵权法
行政法规
民法
Which of the following is a weakness in an information system that an attacker might leverage to gain unauthorized access to the system or data on the system?
Risk
Exploit
Mitigation
漏洞
What type of hacker attempts to hack telephony systems?
脚本KIDDY
Hacktivist
Phreaker
白帽黑客
Which of the following is a method of gaining access to a system that bypasses normal security measures?
创建一个后门
发动DoS攻击
Starting a Smurf attack
开展社会工程
什么安全设计理念,采用分层的方法来消除单点故障,并提供重叠保护?
AVVID
Defense in Depth
SONA
IINS
什么是两种类型的IP欺骗攻击?(选择两项。)
Nonblind欺骗
混杂欺骗
Autonomous spoofing
Blind spoofing
什么术语指的是电磁干扰(EMI),可以从网络电缆辐射?
多普勒波
放射物
高斯分布
Multimode distortion
结合时是什么样的完整性的攻击是导致更大的攻击攻击小集合?
数据diddling
僵尸网络攻击
劫持会话
Salami attack
以下哪项最能说明一个Smurf攻击?
它ping请求发送到子网,请其提供关于子网发送ping回应是设备到目标系统。
它在一个无效大小的段发送ping请求。
It intercepts the third step in a TCP three-way handshake to hijack a session.
It uses Trojan horse applications to create a distributed collection of “zombie” computers, which can be used to launch a coordinated DDoS attack.
以下哪项是思科保护网络的最佳实践的建议?(选择三项。)
Deploy HIPS software on all end-user workstations.
Routinely apply patches to operating systems and applications.
禁用不必要的服务和端口的主机上。
需要强密码,并启用密码过期。
基本主题:探索安全基础
A“安全网”是一个移动的目标。随着新的漏洞和攻击的新方法被发现,一个相对简单的用户都可能发动对未受保护的网络毁灭性的攻击。本节通过描述当前安全形势带来的挑战开始了。您将了解安全的三个主要目标:保密性,完整性和可用性。
This section also explains traffic classification and security controls. You will learn how to respond to a security violation and consider the legal and ethical ramifications of network security.
Why Network Security Is a Necessity
网络攻击在不断发展的复杂性和对自己的能力,以逃避检测。此外,攻击变得更有针对性,并为他们的受害者提供更多的财务后果。
威胁的类型
连接网络到外部网络(如互联网)引入了外部的攻击者会利用网络,很有可能是窃取网络数据或影响网络的性能(例如,通过引入病毒)的可能性。然而,即使网络从任何外部网络断开连接,(其实,大多数的可能的安全威胁)仍然存在安全威胁。
具体而言,根据在旧金山,加州计算机安全协会(CSI),网络滥用事件的大约60%到80%从内部网络发起。因此,尽管网络隔离是在当今的电子商务环境中很少是可行的,从其他网络甚至物理隔离并不能保证网络的安全性。
基于这些因素,网络管理员必须同时考虑内部和外部威胁。
内部威胁
网络安全威胁发起网络内部往往比外部威胁更为严重。这里有一些原因,内部威胁的严重程度:
内部的用户已经拥有了网络及其可用资源的知识。
Inside users typically have some level of access granted to them because of the nature of their job.
传统的网络安全机制,如入侵防御系统(IPS)和防火墙是针对很多内部网络滥用发起的无效。
外部威胁
由于外部攻击者可能没有网络的深入了解,因为他们不已经拥有访问凭据,他们的攻击都是在本质上更多的技术。例如,攻击者可能执行平扫on a network to identify IP addresses that respond to the series of pings. Then, those IP addresses could be subjected to a端口扫描,其中在这些主机开放的服务被发现。然后,攻击者可以尝试利用已知漏洞在主机上发现的服务的妥协之一。如果攻击者可以控制主机的,他可以使用,作为一个出发点在网络中攻击其他系统。
幸运的是,网络管理员可以减少许多外部攻击造成的威胁。事实上,大多数这本书是专门解释,可以打败最外部威胁的安全机制。
挑战范围
“2007 CSI/FBI Computer Crime and Security Survey” is a fascinating document that provides insight into trends in network attacks from 2004 to 2007. A copy of this document can be downloaded fromhttp://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf.
如本文档中包含的信息的一例,图1-1节目安全事故的平均数报告208名受访者对2004年年内至2007年注意的受访者占报告中,每年有超过10个事件在2007年显着增加。
Incidents in the Past 12 Months (Source: “2007 CSI/FBI Computer Crime and Security Survey”)
The following is a further sampling of information contained in the survey:
The average financial loss from computer crime/security incidents increased from $168,000 in 2006 to $350,424 in 2007.
Of the survey respondents who reported one or more attacks, 18 percent of those attacks were “targeted” attacks (that is, an attack not targeting the general population).
2007年的报告之前,病毒是领先的贡献者经济损失七年成一排。然而,在2007年的报告,病毒跌至财务损失的第二大原因,与金融诈骗上升到头号因素。
不安全的自定义应用程序
网络攻击的绝大多数(大约75%)目标特定的应用,而不是下层的攻击。其中一个原因攻击已经变得更有针对性的攻击的趋势,受利益更有动力,而不是名气或者通过创建一个病毒,例如恶名产生。不幸的是,因为许多组织使用自定义应用程序(通常没有考虑到安全性的书面),这些应用程序可以是首要攻击目标。
Attacks on custom applications are not as preventable as attacks on “well-known” applications, which periodically release security patches and updates. Another concern for some organizations is complying with regulatory mandates about protecting company data (for example, customer credit card information).
The Three Primary Goals of Network Security
对于今天大多数的企业网络,电子商务和客户联系的需求要求企业内部网络和外部世界之间的连接。从安全角度看,是对现代企业网络的两个基本假设如下:
今天的企业网络都很大,互连与其他网络,并同时运行基于标准的和专有协议。
The devices and applications connecting to and using corporate networks are continually increasing in complexity
因为几乎所有的(如果不是全部)的企业网络需要的网络安全,考虑网络安全的三个主要目标:
保密
廉正
可用性
保密
Data confidentiality implies keeping data private. This privacy could entail physically or logically restricting access to sensitive data or encrypting traffic traversing a network. A network that provides confidentiality would do the following, as a few examples:
Use network security mechanisms (for example, firewalls and access control lists [ACL]) to prevent unauthorized access to network resources.
需要适当的凭证(例如,用户名和密码)来接入网络特定资源。
Encrypt traffic such that an attacker could not decipher any traffic he captured from the network.
廉正
数据完整性确保数据没有在运输过程中修改。此外,数据完整性的解决方案可能会执行原产地认证,以确认流量是应该将其发送源始发。
完整性违规的例子包括
修改企业网站的外观
Intercepting and altering an e-commerce transaction
Modifying financial records that are stored electronically
可用性
The availability of data is a measure of the data’s accessibility. For example, if a server were down only five minutes per year, it would have an availability of 99.999 percent (that is, “five nines” of availability).
这里有一对夫妇的攻击者可能会如何尝试破坏网络的可用性例子:
他可能不正确格式的数据发送到网络设备,从而导致未处理的异常错误。
他可以淹没网络系统,通信或请求过量。这将消耗系统的处理资源和防止系统响应许多合法的请求。这种类型的攻击被称为拒绝服务(DoS)攻击。
分类数据
不同的数据需要安全的变化水平(例如,基于数据的灵敏度)。因此,企业通常会适应数据分类系统对数据进行分类。每个类别然后可以用安全的特定级别的处理。不过,有时这种数据分类不只是一个方便。有时,组织法律规定来保护数据的某些分类。
Classification Models
Although no single standard exists for data classification, organizations often benefit from examining classification models commonly used by government and many businesses.
Government and Military Classification Model
表1-2提供了一种数据分类模型,其用于通过多个政府和军事的一个例子。