Coursera - IBM - Network Security & Database Vulnerabilities 觀後摘要(一)

Week 1  - TCP/IP Framework

Introduction to the TCP/IP Protocol Framework

• Stateless Check
  無狀態感知檢查需要的記憶體較少，針對通過的封包作簡易與快速的過濾。這種協定並沒有session的概念。無法根據溝通的兩端所處的狀態階段作出複雜的決策。
  
  
• Stateful Check
  狀態感知檢查可針對活動中的連線維護前後傳輸的脈絡，並使用這些狀態資訊來加速封包過濾處理。
  
  
• 現行的網路連線由各種性質描述，包括：來源端IP位址，目的端IP位址、UDP或TCP 連接埠號，以及連線所處的狀態階段(連線初始化、交握中，資料傳輸中或完成連線)。
  
  
• 如果有封包與現存連線不符，防火牆會根據規則來評估此封包是否該屬於另外一個新連線。如果封包符合現存連線，防火牆會根據自己所建立的狀態表完成比對，該封包就不必額外處理，即可通過兩端網路。
  
  
• IDS
  入侵偵測系統是一種網路安全技術，旨在檢測組織內的網路異常訊息；大多數情況下，IDS為一台聯接到Switch上的專用伺服器，Switch將所有流經它的所有流量轉發到IDS所在的介面，IDS監聽這些流量以查找異常行為。
  
  
• IPS
  入侵防禦系統與IDS的主要區別在於所有流量必須經過 IPS 進出，因此IPS通常被整合/部署在路由器與防火牆上，IPS不僅監聽網路流量，並在偵測到異常或攻擊時執行相應措施。
  
  
  
  
  
  
• Network Address Translation (NAT)
  NAT是一種在IP封包通過路由器或防火牆時，重寫來源或目的IP位址的技術。這種技術被普遍使用在有多台主機但只通過一個公有IP位址存取網際網路的私有網路中。
  
  
• Types
  
  
• Static
  靜態轉換支援將1個私有IP一對一映射至1個公有IP，並允許內部網路的電腦使用公有IP位址連線到網際網路。
  
  
• Dynamic
  動態轉換支援將多個私有IP映射到多個公有IP，但同一時間，每組IP的映射關係仍為一對一。
  
  
• Overloading (Port Address Translation, PAT)
  連接埠轉換支援將多個"私有IP:port"對應至1個"公有IP:port"，理論上PAT支援同時連接64500個TCP/UDP的連線。
  
  
• Usage
  
  
• 數據偽裝
  不讓內網主機位址直接暴露在網際網路中。
  
  
• 負載平衡
  將連線隨機導向至所有可用伺服器。
  
  
• 提高系統可用性
  系統異常時將連線自動轉移到可用伺服器上。
  
  
• 通透式代理
  減少頻寬的使用、並避免使用者利用瀏覽器組態調整代理伺服器設定。
  
  

Network Protocols over Ethernet and Local Area Networks

• VLAN
  VLAN是一種邏輯上分解Broadcast Domain的方法，可節省流量與提高區域網路的安全性；透過Trunking，可使同一個VLAN的成員跨越多個交換機進行通訊。
  
  
• 連接線材
  
  
• Coaxial Cable
  同軸電纜，使用F型連接頭。
  
  
• Twisted Pair Cable
  雙絞線電纜，使用RJ45連接頭，電纜的長度不超過100米。
  
  
• 網路裝置
  
  
• 集線器(Hub or Repeater)
  當集線器接收到封包時將轉送給其他所有連接的端口，由於集線器無法得知發送訊息的安全時機，因此無法避免資料傳輸中發生碰撞(Collision)；碰撞發生時，發送端們將會被要求若干時間後重新發送封包，造成網路通信速度減緩。
  
  
• 橋接器(Bridge)
  橋接器類似於集線器，但不會將封包轉發至所有連接的端口，而是透過維護MAC Table進而將封包轉送至相對應的端口，各端口皆是一個獨立的Collison Domain，但橋接器僅支援半雙工模式，且無法設定VLAN，所有端口共享頻寬。
  
  
• Switch
  交換器支援VLAN與全雙工模式傳輸，亦即每個端口可同時接收與傳送數據，且端口之間享有獨立頻寬。

Basics of Routing and Switching, Network Packets and Structures

• Address Resolution Protocol (ARP)
  ARP 是一種通過解析IP位址來尋找實體位址的網路傳輸協定，查詢過程如下：
  
  
1. 每一台主機都會在自身的 ARP 快取緩衝區 (ARP Cache)中建立一個 ARP Table﹐用來記錄其所在VLAN的 IP 位址和實體位址的對應關係。這個 Table 的每一筆資料會根據自身的存活時間遞減而最終消失﹐以確保資料的真實性。
   
   
2. 當發送主機有一個封包要傳送給目的主機的時候﹐發送主機會先檢查自己的 ARP Table中有沒有該 IP 位址對應的實體位址：
• 如果有，就直接使用此位址來傳送封包。
• 如果沒有，則向網路發出一個 ARP Request 廣播封包﹐查詢目的主機的實體位址，這個封包會包含發送端的 IP 位址和實體位址資料。
  
  
3. 網路上所有的主機都會收到這個廣播封包﹐接收端會檢查封包的 IP 欄位是否和自己的 IP 位址一致：
• 如果是，則會先將發送端的實體位址和 IP 資料更新到自己的 ARP 表格去﹐如果已經有該 IP 的對應﹐則用新資料覆蓋；再回應一個 ARP Reply 封包給對方﹐告知發送主機自己的實體位址。
• 如果不是則忽略。
  
  
4. 當發送端接到 ARP Reply 之後，也會更新自己的 ARP 表格，之後就可以用此紀錄進行傳送了。
   
   
5. 如果發送端沒有得到 ARP Reply，則宣告查詢失敗。
   
   
• Route
  
  
• Command
  
  
• netstat -nr (in Mac or Windows)
  顯示路由表 (Routing table)
  
  
• ip route show (in CentOS)
  顯示路由表
  
  
• Type
  
  
• Default route
  任何在路由表找不到傳送路徑的封包都會交由預設路徑傳送。
  
  
• Dynamic Route
  若某個設定好的路徑無法使用時，現存的節點必須透過路由協定，與其他路由器交換資訊，決定另一條到目的地的路徑，常見的協定如下
  
  
• OSPF
• RIP v.1
• EIR
• GRP
• ......

Network Vendor Training Availability

略