整理大綱真的超級花時間，但觀念在構築上就更加完整。之前寫過的文章，未來還是會持續修正，就當成自己的知識庫使用。

4.1 评估和实施网络架构中的安全设计原则

• 开放系统互连 (OSI) 和传输控制协议 / 互联网协议 (TCP/IP) 模型
  

引用自OSI-TCP

• 兩種網絡模型之間的主要區別之一是 TCP/IP 承載網絡連接，而 OSI 模型被稱為概念模型，它在通信中不起任何作用。
• 傳輸控制協議的特性由 TCP 協議提供。 而在 OSI 模型中只允許兩個主機處理兩個正在進行的通信。

• 互联网协议 (IP) 网络（例如，互联网协议安全 (IPSec)、互联网协议 (IP) v4/6)
  • IP: 網路位置 + 主機位置
  • IPv4、IPv6

• 安全协议

  • 為特殊通信的管道提供安全協議
  • 要從歷史演進的過程開始順序念起

    撥接時代 (PPP)[Point to Point Protocol]

    • PAP：密碼驗證協議（使用明文顯示，Clear Text）
    • CHAP：不斷的挑戰與回應協議
      • 加密方法: MD5
      • 應用:
        使用nonce 增加重放阻力
        nonce 只能使用一次，有助於防止重放攻擊

    EAP，屬於擴展性框架，非協議

    • EAP-TLS

      • 基於憑證驗證
      • 主從方都必須安裝憑證
      • 憑證會過期，增加管理負擔

    • EAP-TTLS

      • EAP-TLS的改良版，精簡版
      • 僅主方安裝憑證即可

    • PEAP (MS版本的TLS)

      • 僅主方安裝憑證即可

    • VPN - 建通道+加密

      • 建立從A點到B點的通道，英文稱為Tunnel
      • 確保真實性，可不加密通道
      • 撥接時代的所有安全通信協議都可以使用

      Tunnel mode/ E2E mode (Transfer)

      Tunnel: 只有這個隧道加密
      E2E: 從頭到尾 都會加密

      • L2TP (RFC)
        • PPTP (MS)
        • IPSec
          • AH (真實性)
            身份驗證標頭 (AH) 提供數據包的完整性並添加 AH 標頭。這包括對每個數據包的身份驗證，但不包括加密。
          • ESP (真實性+機密性)
            封裝安全有效負載 (ESP) 提供數據包的機密性並添加 ESP 標頭。這為每個數據包提供了有限的身份驗證和原始數據包的加密。

      Lan 網路時代 - NAC（Network Access Control）

      • 連線加密協議

        • PPP 還是可以用
        • 802.1X (身份驗證協議）
          • 終端到Switch或Wi-Fi AP的身份驗證協議
          • 又被稱為EAPOL （EAP OVER LAN）
            • 有線 (Switch + Radius)
            • 無線 (Radius)

      • 內部網路 (Intranet)

        • NTLM (Windows NT時代)
        • Kerberos (Windows 7 開始)
          • 三個角色 (Client、KDC、Server)
          • KDC（Key 分發中心)
            • AS: 認證伺服器
              • 認證跟驗證身分
            • TGS: 票據授權伺服器
          • Server
            • 只認TGT 票券
            • TGT: 就是提貨券的意思
              運作原理:
              人 --- 向KDC出示及驗證完身分後可購買提貨券 --- 拿給server --- 兌換貨物
              
        • 安全防護
          Kerberos 通過對稱密鑰(例如: AES)為身份驗證流量提供機密性和完整性，以防止中間人攻擊。

      外部網路 (Extranet)

      • SAML (用於出示身分及驗證使用)
        • XML
      • 介於internet 和intranet之間
      • 簡單的說就是學校的游泳池對外開放的意思，不僅內部學生可以使用，外部人員憑有效的票證也可以進入使用

      網際網路 (Internet)

      • OIDC (常用的身分協議)
        • JSON

• 多层协议的含义

• 聚合协议（例如，以太网光纤通道 (FCoE)、互联网小型计算机系统接口 (iSCSI)、IP 语音 (VoIP))

  • iSCSI - 利用最普遍的IP網路來承載SCSI指令，達成儲存區域網路（SAN）所要求
  • VoIP
    • SIP、SRTP/ RTP
      在討論 IP 語音 (VoIP) 和會話發起協議 (SIP) 協議套件時區分信令和媒體流量至關重要。信令參考控制和建立媒體的流量。信令流量通知每一方如何通信。媒體流量是分解成數據包的實際音頻。媒體流量使用實時傳輸協議 (RTP)。如果媒體流量需要加密，可以使用安全實時傳輸協議 (SRTP)。SRTP 不加密信令流量。
    • 原始: 電路交換
    • 現在: 封包交換
    • 攻擊: 重放攻擊
    • 缺點: Latency 、jitter

• 微隔离（例如，软件定义网络 (SDN)、虚拟可扩展局域网 (VXLAN)、封装、软件定义广域网 (SD-WAN))

  • SDN
    • 將控制平面與資料平面分離
  • VXLAN
    • 解決VLAN 4096 上限的問題
  • SD-WAN
    • ABAC　常用於此
    • 軟體定義廣域網路是軟體架構的網路技術，可透過一般的寬頻網際網路與私人連線，為廣域網路連線提供虛擬化資源。

• 无线网络（如 Li-Fi、Wi-Fi、Zigbee、卫星）

  • Li-Fi
    • 用光傳輸
  • Wi-Fi
    • 2.4G/ 5G
    • 頻道1、6、11
    • WPA + TKIP - RC4
    • WPA2 - AES (取代WPA)
  • Zigbee
    • 802.15.4
  • Lan
    • 802.3
  • Bluetooth
    • LE/ 標準版
    • 攻擊
      • Bluejacking 是通過藍牙發送未經請求的消息。攻擊者還可能通過藍牙發送惡意附件。目標是讓受害者允許攻擊者連接到設備，使黑客可以訪問聯繫人、圖像和其他私人數據。
      • Bluesnarfing 允許黑客在用戶不知情的情況下連接藍牙設備並從設備中提取信息。
      • Bluebugging 是一種攻擊，可讓黑客遠程控制藍牙設備的特性和功能。
      • 藍盒釣魚被用來操縱電話提供商通過生成信號音來撥打長途電話。

• 蜂窝网络（如 4G、5G)

  • 蜂巢式網路，又稱行動網路是一種行動通訊硬體架構，分為類比蜂巢式網路和數位蜂巢式網路。由於構成網路覆蓋的各通訊基地台的訊號覆蓋呈六邊形，從而使整個網路像一個蜂窩而得名。 目前世界的主流蜂巢式網路類型有：GSM、UMTS／HSPA、LTE／LTE-A、NR等

  引用自蜂巢式網路

• 内容分发网络 (CDN)

  • CIA: A (可用性)
  • 分散性服務，避免單點故障
  • 有跨境傳輸疑慮

4.2 安全的网络组件

• 硬件操作（例如，冗余电源、保修、支持）
• 传输媒介
  • 安全議題:
    • 單點失敗，影響可用性
    • 訊號衰減，影響可用性
      • 防範: 用repeater
  • 有線網路
    
    • 同軸電纜，雙絞線（Twisted Pain）
    • 光纖
  • 無線網路
    • 微波
    • 紅外線
• 网络访问控制 (NAC) 设备
  • 802.1X
    - 用戶端: supplicant
    - Server: REDIUS
    - EAP 系列
  • Wi-Fi AP
  • Router
  • Switch
• 终端安全
  • 識別風險並將之管控到最低及可接受的程度
  • EDR
  • AV
  • SCAP
  • IDS

4.3 根据设计实施安全通信通道

白話文: 先有解決方案後按圖施工

• 语音

  • SRTP

• 多媒体协同

  • 應用: 串流媒體和實況分發

• 远程访问

  • VPN
  • TLS+AES

• 数据通信

  • 數據通信是通信技術+電腦技術相互結合的新形態通信方式，在兩地間傳輸信息必須有傳輸通道，根據傳輸媒體，分為有線數據通信和無線數據通信。主要是通過傳輸通道將數據終端和電腦連結起來。
  • DTC、DTE
    • DTE及DCE是指RS-232介面的二端
  • 簡單理解: 電腦連到數據機

• 虚拟网络

  • NFV (Switch 、router 那邊都虛擬化出來)
  • 『虛擬區域網路』(Virtual Local Area Network, VLAN)(IEEE 802.1Q 規範)即是利用某一特定技術，將某些工作站(或電腦)組織設定一個『邏輯網路』(Logical Network)。
    

  引用自VLAN intro

  • 攻擊: VLAN Hopping
    

  資料引用自VLAN Hopping

• 第三方连接

  • SSO（Single Sign On）單一簽入
    • 使用者登入一次，即可跨系統存取資源
    • 一次登入可以對應多個系統帳號
    • 不同系統都會存在各別唯一的帳號
    • 安全斷言標記語言 (SAML) 是一種基於可擴展標記語言 (XML) 的單點登錄 (SSO) 技術。SAML 具有三個角色：委託人、身份提供者和服務提供者。
    • 安全疑慮:
      • 由於單點登錄 (SSO) 只需要一次登錄，因此如果帳戶遭到破壞，攻擊者無需再次進行身份驗證即可訪問任何系統或資源。
  • 聯合身分 (Integrated Identity)
    • 一個使用者只有一個帳號
      • 例如: Windows AD
    • 腳本存取 (Scripted Access)
      • 寫程式幫忙登入，讓使用者以為只有登入一次

參考資料

• SD-WAN
• ISC2 - CISSP考試大綱
• CISSP 筆記
• PocketPrep Exam
• 網路傳輸媒體