前言
這門考試分成管理類及技術類兩種
- 管理類
- Domain 1 安全與風險管理
- Domain 2 資產安全
- Domain 5 身份和訪問管理 (IAM)
- Domain 6 安全評估和測試
- Domain 7 安全運營
- 技術類
- Domain 3 安全架構與工程
- Domain 4 通信與網絡安全
- Domain 8 軟件開發安全
網路則屬於Domain 4 技術類的範圍,一起共好的志工教練曾提及 [網路要從OSI七層及其安全開始唸起]
OSI 是 。。。。
開放式系統互聯模型(英語:Open System Interconnection Model,縮寫:OSI;簡稱為OSI模型)是一種概念模型,由國際標準化組織提出,一個試圖使各種電腦在世界範圍內互連為網路的標準框架。定義於ISO/IEC 7498-1。
引用自OSI模型
OSI 分為上、下兩組的網路協議
| 階層編號 |
名稱 |
主要功能 |
| 7 |
應用層 |
* 提供使用者介面 |
| 6 |
表現層 |
* 呈現資料 |
| . |
. |
* 處理加密程序 |
| 5 |
會話層 |
* 分開不同應用的資料 |
| 階層編號 |
名稱 |
主要功能 |
| 4 |
傳輸層 |
* 提供可靠或不可靠的繞送 |
| . |
. |
* 重傳前先校正錯誤 |
| 3 |
網路層 |
* 提供邏輯位置,讓路由器(Router)來決定路徑 |
| 2 |
數據鏈結層 |
* 將封包 (Packet) 組合成訊框(Frame)中的位元組 |
| . |
. |
* 使用MAC 位址來存取媒介 |
| . |
. |
* 進行錯誤偵測,但不會校正 |
| 1 |
物理層 |
* 在實體裝置間移動位元 |
| . |
. |
* 規定電器設備特徵及特性 |
七層細部說明如下:
- 實體層 (Physical layer)
- 目的
- 功能
- 讓資料可經由實體媒體作為傳輸媒介,在裝置間傳遞位元組
- 規定電壓,線路速度與接腳定義
- 應用
- 威脅或風險 (考量C.I.A 三元素)
- 遭遇實體破壞,例如: 網路線或設備被實際破壞
- 竊聽,實體破壞、干擾運作
- 數據鏈結層 (Data Link Layer)
- 目的
- 傳輸訊框及媒介存取控制
- [白話解釋] 線材都拉好了後要怎麼使用,進行媒體存取控制 及傳輸控制
- 功能
- 邏輯連結控制 (Logical Link control, LLC)
- 訊框傳送/ 錯誤通知/ 資料流控制, 常見 flow control
- 媒介存取控制 (Media Access Control, MAC)
- OSI 規定網路上各種有線網路及橋接器都是在這層做應用的
- 應用
- [MAC] CSMA/CD,Token Ring,CSMA/ CA
[10萬個WHY] 請問CSMA/CD 及CSMA/ CD 是做啥用的?
- CSMA/ CD (Carrier Sense Multiple Access with Collision Detection,帶碰撞偵測功能的載波偵測器)
- 應用在有線網路及做碰撞偵測
- 如遇到碰撞現象發生後,下一筆資料會等待特定時間後再行傳送
- CSMA / CA (Carrier Sense Multiple Access with Collision Avoidance,帶防撞功能的載波偵測器)
- Token Ring
- 威脅或風險
- ARP spoofing / Poisoning (ARP 偽造或假造)
- MAC Flooding
- 網路層 (Network Layer)
- 目的
- 負責管理裝置的定址,追蹤網路裝置的位置,以及決定移動資料的最佳路徑選擇。
- 定址邏輯位置
- 資料封包 (poacket)的傳輸路徑選擇 (Routing path)
- 功能
- 決定移動資料的最佳方式(RIPv2、EIGRP、OSPF)
- 路徑更新(Route Update Packet)封包
- 網路位址(Metwork Address)
- 介面(interface) ex. IPv4
- 衡量指標
- 應用
- 威脅或風險
- 淚珠攻擊
- 利用受害者的 IP 分片重組代碼中的漏洞。通過發送帶有超大有效負載的分段 IP 數據包來工作。當受害者試圖重新組裝數據包時,會導致崩潰情節發生,屬於拒絕式服務攻擊 (D.O.S)。
- 流氓路由器
- 自己當成是中間人,傳遞發送信號
- 影響機密性及可用性
- 傳輸層 (Transport Layer)
- 目的
- 功能
- 將資料切割與重組到單一資料串流中,會對上層應用的資料進行切割與重組,統整到一個資料串流中。
- 應用
- TCP
- 三向交握 (SYN、SYN+ACK、ACK)
引用自TCP三向交握
- UDP
- iSCSI
- 威脅與風險
- UDP
- Fraggle attack (送出假造來源的UDP 廣播封包到目標網路,以產生更多的資料流)
- TCP
- SYN Flood Attack (SYN 洪水攻擊)
- SYN洪泛是一種阻斷服務攻擊,起因於攻擊者傳送一系列的SYN請求到目標端
[10萬個WHY] TCP 4層 v.s OSI 7層 ,差異PK
參考資料 TCP-OSI 差異
主要區別
- OSI 有 7 層,而 TCP/IP 有 4 層。
- OSI 模型是一個邏輯和概念模型,它定義了系統使用的網絡通信,該系統對與其他系統的互連和通信開放。另一方面,TCP/IP 可幫助您確定特定計算機應如何連接到 Internet 以及如何在它們之間進行傳輸。
- OSI header為 5 個字節,而 TCP/IP header 為 20 個字節。
- OSI 指的是開放系統互連,而 TCP/IP 指的是傳輸控制協議。
- OSI 遵循垂直方法,而 TCP/IP 遵循水平方法。
- 傳輸層 OSI 模型僅面向連接,而 TCP/IP 模型既面向連接又無連接。
- OSI 模型由 ISO(國際標準組織)開發,而 TCP 模型由 ARPANET(高級研究計劃署網絡)開發。
- OSI 模型幫助您標準化路由器、交換機、主板和其他硬件,而 TCP/IP 幫助您在不同類型的計算機之間建立連接。
參考及引用自 TCP-OSI 區別
[10萬個WHY] 請問VLAN,是橫跨哪幾層網路架構呢?
虛擬區域網路(Virtual Local Area Network或簡寫VLAN,V-LAN)是一種建構於區域網路交換技術(LAN Switch)的網路管理的技術。
引用自VLAN 介紹
- 直接在Network Switch上的Port 做為不同VLAN 的基線 -- 實體層
- 以每台主機不同的MAC address 作為劃分不同VLAN 的基線 -- 資料鏈結層
- 以每台主機的IP 位址做為劃分VLAN的基線,以子網路視為N設定的依據 -- 網路層
所以,總共橫跨了1/ 2/ 3 層。
[直接看OSG題目] Of the following, what is BEST at logically segmenting a network without altering its physical topology?
(A) VLAN (B) Router (C) WLAN (D) Firewall
A: 依照VLAN在網路層的狀態來看,以IP位址做為劃分VLAN的基準,所以這題是A.
- 會話層 (Session Layer)
- 目的
- 負責在呈現層間實體間建立、管理與解除會話,其還提供裝置間的對話控制
- 功能
- 應用
- 威脅
- 中間人攻擊
- DNS posing
- XSS 跨站攻擊
[OSG 問題] 單向會話被稱為什麼類型的通信?
a. 半單工 b. 單工 c.半雙工 d. 全雙工
答: 單向會話屬於射後不理,是單工,答案是A
- 表達層 (Presentation Layer)
- 目的及功能
- 應用
- 編碼Coding: UTF-8、ASCII
- 加密演算法
- 解密
- 威脅
- 破密分析或攻擊 (這部分會在後續加解密介紹的時候一併說明)
- 應用層 (Application Layer)
- 目的及功能
- 扮演真正應用程式與下一層之間的介面
- 使用者能夠真正與電腦接觸的點,這一層只有在真正需要存取的時候才有作用
- 應用
- 威脅
參考資料
小結
技術章節很討厭的點在於技術原理要了解得很透徹,不然很容易被問倒,筆者在技術類Domain 很不熟悉,只能以勤能補拙的方式讓自己盡量熟悉。
iThome鐵人賽
看影片追技術