CISSP认证教材OSG第9版有增加或者改动的知识点,CISSP认证的教材新版知识点可能会在考试中出现,因此我们为大家进行了梳理,CISSP认证教材OSG第9版新增(改)知识点如下。
D4-网络和通信安全
1、网络流量分析(Analyzing Network Traffic)(p505)
网络通信分析通常是网络管理的基本功能。它可用于追踪恶意通信、检测错误或解决传输问 题。协议分析器是一种用于检查网络流量内容的工具。协议分析器也可以称为嗅探器、网络 评估器、网络分析器、流量监视器或数据包捕获实用程序。
2、DNS 嫁接、DNS 查询欺骗(DNS Pharming、DNS Query Spoofing)(p512)
另一种与 DNS 中毒(DNS poisoning)或 DNS 欺骗(DNS spoofing)密切相关的攻击是 DNS 嫁接。嫁接是将有效网站的 URL 或 IP 地址恶意重定向到虚假网站。嫁接通常通过修改系统 上的本地主机文件或通过中毒或欺骗 DNS 解析来发生。 当黑客能够窃听客户端对 DNS 服务器的查询时,就会发生 DNS 查询欺骗攻击。然后攻击者 发回带有虚假信息的回复。为了使此操作成功,虚假回复必须包含从查询中克隆的正确 QID。
3、分离解析 DNS 系统、DNS 沉洞(split-DNS system、DNS sinkhole)(p514)
分类解析 DNS 是部署一个 DNS 服务器给公共使用,以及再部署单独的一个 DNS 服务器给 内部使用。DNS 沉洞是一种虚拟遥测系统的例子,这种技术用于防御 DNS 欺骗,DNS 沉洞 试图对自恶意软件(例如机器人)的 DNS 查询提供错误响应,以防止访问命令和控制系统。
4、域劫持(完善):域名抢注、同形异义攻击、URL 劫持(Domain Hijacking:Typosquatting、 Homograph Attack、URL Hijacking)(p515)
域名抢注是一种用于在用户错误输入预期域名或 IP 地址时被利用的做法,用于域名抢注的 变体包括常见的拼写错误(例如 http://googel.com)、打字错误(例如 http://gooogle.com) 等。 同形异义词攻击。这些攻击利用字符集的相似性来注册肉眼看来合法的假冒国际域名 (IDN)。 例 如 , 拉 丁 语 中 的 l (即小写 L ) 看 起 来 像 Palochka Cyrillic 字 母 。 因 此 , http://apple.com 和 http://paypal.com 的域名可能看起来像拉丁字符一样有效,但实际上可 能包含西里尔字符,这些字符在解析时会将定向到与预期不同的站点。 URL 劫持是指显示看起来像知名产品、服务或网站的链接或广告的做法,但在点击时会将用 户重定向到其他位置、服务或产品。这可以通过发布站点和页面并利用搜索引擎优化 (SEO) 来实现,或者通过使用广告软件将合法广告和链接替换为导致替代或恶意位置的广告和链 接。
5、微隔离(Microsegmentation)(p526)
微分段通过内部分段防火墙 (ISFW)、子网、VLAN 或其他虚拟网络解决方案,将内部网络划 分为多个子区域。区域之间的任何和所有通信都被过滤,可能需要进行身份验证,通常需要 会话加密,并且可能受到允许列表和阻止列表控制。微分段是实现零信任的关键要素。
6、无线信道:2.4GHz、5GHz、6GHz(Wireless Channels:2.4GHz、5GHz、6GHz)(529)
在无线信号的指定频率内对该频率的细分,称为信道。将信道视为同一条高速公路上的车道。 2.4 GHz 信道宽 22MHz,相距 5MHz,而 5 GHz 信道宽 20MHz,相距 20MHz。因此,相邻 的 5 GHz 信道不会相互干扰。6 GHz 频谱范围比 5 GHz 频谱支持多达七个 160 MHz 宽的信 道。
7、Wi-Fi Protected Access 3 (WPA3)(p532)
Wi-Fi Protected Access 3(WPA3)于 2018 年 1 月定稿。WPA3-ENT 使用 192 位 AES CCMP 加 密,而 WPA3-PER 保持在 128 位 AES CCMP。WPA3-PER 用同步验证 (SAE) 替换了预共享 密钥验证。一些 802.11ac/Wi-Fi 5 设备最先支持或采用 WPA3。同时身份验证 (SAE) 仍然 使用密码,但它不再加密并通过连接发送该密码来执行身份验证。相反,SAE 执行称为 Dragonfly Key Exchange 的零知识证明过程,它本身是 Diffie-Hellman 的衍生物。该过程使 用预先设置的密码以及客户端和 AP 的 MAC 地址进行认证和会话密钥交换。 WPA3 还实现了 IEEE 802.11w-2009 管理帧保护,以便大多数网络管理操作具有机密性、 完整性、源身份验证和重放保护。
8、Wifi Disassociation、Jamming(p541)
Wifi 解除关联(Wifi Disassociation)是多种无线帧管理中的一种。当客户端连接到同一 ESSID 网络覆盖区域中的另一个 WAP 时,解除关联帧用于断开客户端与一个 WAP 的连接。如果 被恶意使用,客户端将失去无线链接。可以使用解除身份验证数据包执行类似的攻击。此数 据包通常在客户端启动 WAP 身份验证后立即使用,但未能提供正确的凭据。但是,如果在 连接会话期间的任何时间发送,客户端会立即断开连接,就好像其身份认证失败一样。 Wifi 干扰(Wifi Disassociation)是通过降低有效信噪比来故意阻止或干扰通信的无线电信号 传输。
9、LiFi、卫星通信、窄带无线、ZigBee(LiFi (light fidelity) 、Satellite communications、 Narrow-band wireless、Zigbee)(p543)
LiFi(light fidelity)可见光无线通信,这是一种使用光进行无线通信的技术。它用于在设备 之间传输数据和位置信息。它使用可见光、红外线和紫外线光谱来支持数字传输。它的理论 传输速率为 100 Gbps。 卫星通信主要基于在地面位置和轨道人造卫星之间传输无线电波。卫星用于支持电话、电视、 广播、互联网和军事通信。 窄带无线被 SCADA 系统广泛用于在电缆或传统无线无效或不合适的距离或地理空间上进行 通信。Zigbee 是一种基于蓝牙的物联网设备通信概念。Zigbee 具有低功耗和低吞吐率,并 且需要靠近设备。Zigbee 通信使用 128 位对称加密算法进行加密。
10、蜂窝网络:5G(Cellular Network:2G, 3G, 4G, and 5G)(p544)
通过蜂窝网络提供的服务通常用代号表示,例如 2G、3G、4G 和 5G。5G 是最新的移动服 务技术,可用于某些手机、平板电脑和其他设备。许多 ICS、IoT 和专业设备可能具有嵌入 式 5G 的功能。5G 使用比以前的蜂窝技术更高的频率,这允许更高的传输速度(高达 10Gbps),但距离更短。
11、Jumpbox、传感器、收集器、聚合器、片上系统(jumpbox、Sensor、Collector、Aggregator、 A system on a chip (SoC))(p548)
Jumpbox:Jump 服务器或 jumpbox 是一种远程访问系统,其部署目的是使访问特定系统或 网络更容易或更安全。 传感器(Sensor):传感器收集信息,然后将其传输回中央系统进行存储和分析。 收集器(Collector):安全收集器是将数据收集到日志或记录文件中的任何系统。收集器的 功能类似于审计、日志记录和监控的功能。 聚合器(Aggregator):聚合器是一种多路复用器。 片上系统 (A system on a chip (SoC):SoC 是一种集成电路 (IC) 或芯片,它将计算机的所有 元素集成到单个芯片中。
12、端点检测和响应(EDR) (Endpoint detection and response)(p558)
端点检测和响应 (EDR) 是一种安全机制,是传统反恶意软件产品、IDS 和防火墙解决方案的 演变。EDR 旨在检测、记录、评估和响应可疑活动和事件,这些活动和事件可能由有问题的 软件或有效、无效用户引起。EDR 的一些相关概念包括托管检测和响应 (MDR)、端点保护 平台 (EPP) 和扩展检测和响应 (XDR)。
13、EAP 衍生品:LEAP、PEAP、EAP-SIM、EAP-FAST、EAP-MD5、EAP-POTP、EAP-TLS、 EAP-TTLS(EAP Derivatives)(p583)
LEAP:轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol)是 Cisco 专有的 WPA TKIP 替代方案。在 802.11i/WPA2 被批准为标准之前,开发它是为了解决 TKIP 中的缺陷。 PEAP:受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol)将 EAP 封装在 TLS 隧道中。 EAP-SIM:用户身份模块 (EAP-Subscriber Identity Module) 是一种通过全球移动通信系统 (GSM) 网络对移动设备进行身份验证的方法。 EAP-FAST:通过安全隧道的灵活身份验证 (Flexible Authentication via Secure Tunneling) 是 Cisco 提议用于取代 LEAP 的协议,由于 WPA2 的发展,LEAP 现在已经过时。 EAP-MD5:是最早的 EAP 方法之一。它使用 MD5 散列密码,现在已弃用。 EAP-POTP:EAP 保护的一次性密码 (EAP Protected One-Time Password) 支持在多因素身 份验证中使用 OTP 令牌(包括硬件设备和软件解决方案)以用于单向和相互身份认证。 EAP-TLS:EAP 传输层安全 (EAP Transport Layer Security) 是一个开放的 IETF 标准,它是用 于保护身份认证流量的 TLS 协议实现。当客户端和服务器都拥有数字证书(即相互证书身份 认证)时,EAP-TLS 最有效。 EAP-TTLS:EAP 隧道传输层安全 (EAP Tunneled Transport Layer Security) 是 EAP-TLS 的扩 展,可在身份认证之前在端点之间创建类似 VPN 的隧道。这确保即使是客户端的用户名也 不会以明文形式传输。
14、Vishing (p588)
VoIP 允许攻击者伪造他们的来电显示,以掩盖他们的身份或建立一个借口来欺骗受害者。 这种类型的攻击被称为 Vishing,它代表基于语音的网络钓鱼。
15、拆分隧道 vs. 完整隧道(Split Tunnel vs. Full Tunnel)(p607)
拆分隧道是一种 VPN 配置,它允许连接 VPN 的客户端系统(即远程节点)同时通过 VPN 和 Internet 直接访问组织网络。完整隧道是一种 VPN 配置,其中所有客户端的流量都通过 VPN 链接发送到组织网络,然后任何以 Internet 为目标的流量都从组织网络的代理或防火墙接口 路由到 Internet。
16、第三方连接(Third-Party Connectivity)(618)
几乎所有企业都越来越关注第三方连接。IT 环境之间的任何连接都应在实际部署(无论是物 理的还是虚拟的)之前详细规划。通常,此过程以 MOU 开始,以 ISA 结束。谅解备忘录 MOU(A memorandum of understanding ) 或协议备忘录 MOA(memorandum of agreement) 是两个实体之间协议或一致意图、意愿或目的的表达。互连安全协议 ISA(interconnection security agreement)是对两个组织的 IT 基础设施之间链接的安全立场、风险和技术要求的 正式声明。
关注中培伟业,了解更多CISSP相关信息。