《安全攻防技能》-网络安全
来源极客时间《安全攻防技能30讲》
以下是自己总结笔记,仅用于学习思考!
一、内网中的“最小权限原则”
在内网中,实现“最小权限原则”的核心在于分区和隔离。
1、对内网进行水平划分
需要依据不同的“身份”来对网络区域进行隔离,而这就需要用到 VLAN 提供的功能了。
那什么是 VLAN 呢?在一般情况下,连入同一个交换机的所有设备都在同一个网络中,两两之间能够相互访问。为了阻止这些设备相互访问,我们可以在交换机上设定,在不改变物理连接的情况下,通过交换机的控制将这个网络划分为多个不同的子网,也就是 VLAN(Virtual Local Area Network,虚拟局域网)。简单来说,VLAN 就是一个交换机创建出来的多个子网。因为隔离的存在,不同 VLAN 的访问请求,会被交换机阻止。
这样子一来就实现了对不同身份的人进行了网络隔离。
2、对内网进行垂直划分
将公司内网整体保护起来,和外网进行隔离,这种隔离就属于垂直划分。在这种隔离之下,内网可以访问外网的资源,外网却不能够直接访问内网的资源。
二、无线网络和有线网络安全
1、无线网络安全
为了保证无线网络数据的安全性,我们主要的防护手段,就是使用目前最安全的无线网络协议WPA2。
但是,WAP2 协议只是用来保护无线网络中数据安全性的。它的连入**都是共享的,所以不具备严格意义上的认证功能。
那就需要对连入的用户“强制门户”,举个例子就是连入WiFi,需要手机验证码。
在无线网络中,“劫持”的主要方式是,伪造热点。
伪造热点的实现,主要依赖的就是现在设备的自动连网功能。简单来说,就是只要你的设备曾经连入过某一个热点,设备就会记住这个热点的 ID 和密码,下次如果设备再检测到这个热点 ID,就会尝试自动连接。而黑客恰恰是通过伪造一个设备记住的ID,去让设备自动链接上。
2、有线网络安全
首先,有线网络不存在认证和加密的问题。我们在有线网络中,主要考虑的问题就是“劫持”。所谓“劫持”,其实就是误导服务器将请求发送到黑客的设备上去。
在网络协议中,目标地址主要通过 MAC 地址和 IP 地址来确定。MAC 地址和 IP 地址分别是基于ARP协议和DNS协议来寻址,早期这两种协议的安全性又差,这就造成了很容易被黑客利用。
如何去防护呢?
1、定期检查内网环境安全
2、对网络进行合理规划
三、如何理解DDoS攻击?
介绍一种常见的内网攻击,DDoS 攻击(Distributed Denial Of ServiceAttack,分布式拒绝服务攻击)。DDoS 就是黑客由外网向公司服务发起大量的请求,从而打满网络带宽,让内网无法响应用户的正常请求。
另外一种是DoS攻击(拒绝服务攻击)。
DoS 攻击主要有两种类型。一种是通过漏洞进行攻击,使得服务或设备因为程序报错而宕机。比如针对 ICMP 协议的“死亡之 PING”,就是因为旧版本的 Windows 系统在处理超长的 ICMP 包时会报错死机。另一种则是通过巨量的垃圾流量挤占网络带宽,使得网络设备无法接收或者发送合法的流量。
但是,黑客如果直接对目标网络发起 DoS 攻击,很容易就会被溯源出来。所以,黑客会通过大量的“肉鸡”(被黑客远程控制的机器)来向目标网络发起请求,隐藏自己的真实地址。这个过程就是 DDoS。
如何防护?
基本上不可防,购买各种云服务。