以下哪個是可路由協議? (Wentz QOTD)
A. SPX
B. NetBEUI
C. IPv4
D. BGP
我建議的答案是C. IPv4。
Routing跟routed,前者是主動,後者是被動。rip, ospf是routing protocol, 而ip是routed protocol.
資料來源:https://wentzwu.com/2021/09/26/cissp-practice-questions-20210926/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
分類: CISSP
CISSP(Certified Information Systems Security Professional)相關知識
目標與管理
目標始於渴望(desire)以及對末來的想像(vision),是對於想要的成果(desired outcome)的具體描述(statement)。目標可以拆解成具有上、下位關係的大目標(goal)與小目標(objective);換句話說,目標是有階層的。大目標是上位目標,通常範圍較大、時間較長;小目標是下位目標,範圍較小,時間也愈短。目標的設定必須符合SMART原則,也就是很具體(specific)、可衡量(measurable)、作得到(achievable)、玩真的(realistic),而且有時間限制(time-bound);其中頭尾最重要,也就是具體與時間。具體的目標就容易衡量,綁定時間的目標才不會拖延(procrastination),才會採取行動(執行)往目標前進。執行的階段產出稱為績效(performance);換句話說,執行的績效就是可衡量的結果。
管理(management)是達成目標的一套有系統的方法;業界最常用的方法是PDCA (Plan-Do-Check-Act),即規劃、執行、查核與行動(改善)。有效的(effective)管理必須能達成目標,規劃(planning)的首要工作就是確定目標(goal setting),規劃的結果就是產出計畫書(plan),以指導活動的執行。計畫書由高階概念開始發展,再逐步發展配套的細部計畫。高階的計畫書又常稱為戰略計畫(strategic plan)或簡稱戰略(strategy);細部的計畫也常被稱為行動計畫(action plan或paln of action)或戰術(tactical plan或tactic)。空有計畫不足以達標,因為有許多影響目標達成的不確定因素存在;這些影響目標達成的不確定因素我們稱之為風險(risk)。
目標管理是運用系統化方法來達成目標的學問,至少包含了三個議題:戰略管理(strategy management)、風險管理(risk management)及問題解決(problem-solving)。
充分與必要
事件(event)的發生有一定的條件與前提,以及因果關係(cause and effect)。好的事情發生,我們會探討成功因素(success factors);面對壞的事情,我們會追究根本原因(root cause)。然而,實務世界很難找到一組成功因素(充分, sufficient)可獲致必然成功的結果。也就是說,分析成功的個案、探究關鍵成功因素(CSF, critical success factor),並且仿效成功個案可以增加成功的機會,但並不一定能獲得同樣的成功。相反的,有些事情則是可預期的必然結果。例如,取得CISSP資格的一定要(必要, necessary)通過CISSP考試;換句話說,沒有CISSP資格的人,我們可以確信他一定沒有通過CISSP考試。
實體與帳號
根據Google字典,實體(entity)是實際存在且可以維一識別的獨立個體 (a thing with distinct and independent existence)。一個實體的特質(quality)、特性(property)、特徵(characteristic)或特色(feature)等的描述稱為屬性(attribute)。用來唯一識別一個實體的屬性則稱為身份(Identity)。台灣是一個政治實體(在政治上實際存在的個體),但我們有許多不同的身份,例如:國名叫中華民國、參加奧運會則是叫中華台北、在WTO則叫作臺澎金馬個別關稅領域。台灣的正名運動,就是讓我們有一個一致、明確、可唯一識別的國家身份。在資訊或資安領域,所有軟硬體相關的東西(其至是使用者),都可以抽象地稱之為實體;UEBA (User and Entity Behavior Analysis)就是針對使用者與使用者以外的所有實體(東西)來進行分析,以察覺及偵測異常並強化安全性。帳號(account)則是為了方便管理實體的技術手段。
個體與系統
系統(system)是指為了達成特定目的而一起協同運作的一群元素的統稱。相對於系統強調整體,組成該系統的元素則是個體。不論是整體的系統或是個體的元素,它們都可稱為實體,都有唯一識別的身份。一個系統的組要元素及其關係我們稱之為架構(architecture);例如:企業架構、系統架構、網路架構、軟體架構、資料架構或觀念架構等。資訊系統是指將資料(data)進行處理,並轉換為有用的資訊(information)的系統;其常見的組成元素有資料、電腦系統、作業系統、應用軟體、網路、資料中心、人,以及業務流程等。
工程與專案
工程(engineering)的本質是作東西(acquire and develop),當作解決方案(solution)來解決利害關係人(stakeholder)的問題(problem)及滿足他們的需求(expectations, needs, and requirements);也就是運用專業知識把一個東西從無到有作出來,讓它上線、使用它、維運它,一直到它除役的整個生命週期都必須考慮到利害關係人的需求。系統安全工程特別強調發展一套系統必須在整個系統發展生命週期(SDLC, system development life cycle)的每一個階段的每一個活動,都必須考慮到利害關係人的安全需求(安全性)。一個系統的發展不可能一開始就鉅細靡遺,而是從主要的元素及其關係(架構)開始設計。所謂的設計(design)是指書面的解決方案。因此,一個安全的系統必須從生命週期(life cycle)及架構(architecture)的角度來思考安全性,也就是時間都安全、處處都安全的概念。
所有的工程案都是專案(project)。也就是透過一次性的專案投資(investment),來創造持續性(persistent)的價值(value)。所謂的專案都有開始、有結束、有產出,而且產出必須在範圍內(scope)、時間內(schedule)、成本內(cost),且兼顧品質(quality)。一個組織要作工程除了必須具備良好的專案管理能力外(又稱為技術管理能力),還必須具備卓越的技術能力;此外,面對眾多的工程案,一個組織必須具備的跨專案的資源管理能力(也稱為組織的專案致能能力),以及合約(取得及供應)管理能力(也稱為協議能力)。
References
- Management
- Project Management 101
- Security Engineering 101
- Engineering, Life Cycle Stages, and Processes
- Systems Engineering: Confidence, Trust, and Assurance
- Necessity and sufficiency
資料來源:https://coaches.wuson.org/wuson_glossary/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-SDN 架構(來源:Dargahi、Tooska 等人)
網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛擬化網路功能,例如路由或交換。NFV 可能與軟體定義網路 (SDN) 混淆,後者將數據平面與控制平面分開。
SDN 控制器可以直接對交換機進行編程以丟棄、泛洪或轉發數據包,或者在現有底層網路之上構建虛擬覆蓋網路。
參考
. 軟體定義網路
. 我們為什麼要走向SDN?
. SDN控制器(軟體定義網路控制器)
. 有狀態SDN數據平面安全性調查
資料來源: Wentz Wu QOTD-20211101
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
DIKW Hierarchy (Credit: Drill)
何謂資料?
資料(data)是事實(facts)的記錄;主要以客體(object)方式存在,沒有相對的主體(subject),因此不具備情境(context)、沒有生成意義(meaning),也不產生價值(value),所以也常被為原始資料(raw data)。描述資料的資料則稱為中繼資料(metadata)。資料經過處理,在特定情境就會對主體(人)產生意義,我們稱之為資訊(information)。如何運用資料及資訊來解決問題與創造價值的資訊稱為知識(knowledge)。反覆運用資料、資訊及知識以追求美好未來所累積的經驗總合,稱為智慧(wisdom)。
資料即事實,必須有明確的表示方式(expression)及編碼(encoding)才能被有效的儲存、處理及運用。資料流程圖可有效地呈現資料被儲存、處理及運用的過程。不同的資料型態有不同的表示法及編碼;常見的資料型態有量化及質化資料。例如:數值(9.9)為連續型(continuous)量化資料、計次(1,2,3)為不連續型(discrete)量化資料;類別(男/女)是名目(nominal)的質化資料、大綱符號(A,B,C)是順位(ordinal)的質化資料。將資料以系統化的方式組織起來即形成資料結構(data structure),以有效的儲存、處理及運用資料;常見的資料結構有陣列、鍵結串列、佇列、堆壘、樹及網路等。為解決特定問題,針對特定資料結構的處理邏輯稱為演算法(algorithm);例如:排序(sorting)及遍尋(traversal)等。
何謂科學?
Science is a systematic enterprise that builds and organizes knowledge in the form of testable explanations and predictions about the universe.
Source: Wikipedia
科學是一門有系統地探究萬物,以建立知識體系的過程及學問;這些知識通常是建立在可被驗證的解釋或預測的基礎上。大學(中國經典四書之一)所謂之【格物、致知】即為科學之道。
何謂資料科學?
資料科學是一門科學的新研究領域,主要目的是從巨量且複雜的資料集中,萃取出更高階的知識及智慧。資料科學通常涉及資料的管理及治理議題(從資料的表示、編碼、儲存、處理、運用到治理),因此通常會涵蓋資料庫、統計學、軟體工程、商業分析等知識領域。
參考(References)
.Science
.What Is Science?
.DIKW Hierarchy – Understanding the Concept of Wisdom
資料來源:https://coaches.wuson.org/%E8%B3%87%E6%96%99%E7%A7%91%E5%AD%B8/
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-安全設計原則分類
模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成為可能,在管理系統複雜性(complexity)方面是有效的。然而,良好的模組化分解或系統設計的細化是具有挑戰性的,並且抵制一般的原則陳述。
模組化(Modularity)用於將功能和相關數據結構隔離(isolate)為定義明確的邏輯單元( logical units)。分層(Layering)可以更好地理解這些單元的關係,從而使依賴關係清晰,避免不必要的複雜性。
模組化的安全設計原則將功能模組化( modularity)擴展到包括基於信任、可信度、特權和安全政策(security policy)的考慮。
基於安全的模組化分解包括以下內容:
– 將政策分配給網路中的系統;
– 向分層分配系統政策;
– 將系統應用程序分離為具有不同地址空間的進程;
– 基於硬體支持的特權域,將進程劃分為具有不同特權的主體。
模組化和分層的安全設計原則與縱深防禦(defense in depth)的概念不同,這在 F.4 節中進行了討論。
資料來源:NIST SP 800-160 第 1 卷
參考
. NIST SP 800-160 第 1 卷
. 模組化(網絡)
資料來源: Wentz Wu QOTD-20211029
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建具有高級功能的應用程序,例如廣告、推送通知等;大多數應用軟體開發人員使用特定的軟體開發工具包。
分佈式軟體系統的元素通常通過定義的應用程序編程接口 (Application programming interface:API) 進行通信。
SDK 是軟體開發工具的集合。它不是組成系統元素。
依屬進程(Dependent processes)是分佈式軟體系統的一部分。他們使用靜態庫還是動態庫都沒有關係。
接口描述語言 (Interface description language:IDL) 用於定義接口,然後將其翻譯成特定的編程語言。
資料來源: Wentz Wu QOTD-20211028
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-圖片來源:socradar
紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設施保護中心,CPNI) 創建,以鼓勵更多地共享敏感資訊。
基本概念是發起者表明他們希望他們的資訊在直接接收者之外傳播的範圍有多廣。它旨在以受控和受信任的方式改善個人、組織或社區之間的資訊流。處理帶有 TLP 標記的通信的每個人都必須理解並遵守協議的規則,這一點很重要。只有這樣,才能建立信任並實現資訊共享的好處。TLP 基於發起者標籤資訊的概念,使用四種顏色中的一種來指示接收者可以進行哪些進一步的傳播(如果有的話)。如果需要更廣泛的傳播,接收者必須諮詢發起者。
目前存在許多 TLP 規範。
– 來自 ISO/IEC,作為跨部門和組織間通信的資訊安全管理標準的一部分
– 來自旨在提供公開可用的簡單定義的 US-CERT
– 來自事件響應和安全團隊論壇(FIRST),它於 2016 年 8 月 31 日發布了其合併 TLP 文檔的 1.0 版。它來自一個特殊興趣小組,旨在確保對 TLP 的解釋是一致的,並且在用戶社區中存在明確的期望。
資料來源:維基百科
參考
. 網路安全和基礎設施安全局 (CISA) 的自動指標共享 (AIS)
. 駕馭威脅情報規範的海洋
. 網路威脅搜尋框架第 1 部分:痛苦金字塔
. 痛苦金字塔 (DavidJBianco)
. 妥協指標(維基百科)
. 將 zveloCTI 威脅情報數據映射到妥協指標 (IOC) 的痛苦金字塔
. 紅綠燈協議
. 您需要了解的有關威脅情報中交通燈協議使用的知識
資料來源: Wentz Wu QOTD-20211027
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
-存取控制策略、機制和模型
晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為最小上限或連接)和一個唯一的下界(也稱為最大下限或滿足)。
資料來源:維基百科
自主存取控制 (DAC) 是一種授權機制,資料所有者根據需要知道和最小權限原則做出授權決定。安全管理員或資料保管人根據主體(能力表)和對象(存取控制列表)的身份對存儲在稱為存取控制矩陣的資料結構中的系統實施授權決策。但是,根據 DAC 策略授予的權限可能會傳播到其他主體。
強制存取控制(MAC)通過基於晶格理論匹配主客體標籤來控制信息流來彌補DAC的弱點。
-安全核心
資料來源: Wentz Wu QOTD-2021026
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
虛擬區域網路 (VLAN)
-VLAN 組(來源:Cisco Press)
虛擬 LAN (VLAN) 是在數據鏈路層(OSI 第 2 層)的計算機網絡中劃分和隔離的任何廣播域。
資料來源:維基百科
目前的VLAN數量有限,為4094,無法滿足數據中心或雲計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。
私有VLAN
-酒店專用 VLAN
專用 VLAN,也稱為端口隔離,是計算機網絡中的一種技術,其中 VLAN 包含受限制的交換機端口,因此它們只能與給定的上行鏈路進行通信。受限端口稱為專用端口。每個專用 VLAN 通常包含許多專用端口和一個上行鏈路。上行鏈路通常是連接到路由器、防火牆、服務器、提供商網絡或類似中央資源的端口(或鏈路聚合組)。
專用 VLAN 的典型應用是酒店或乙太網到家庭網絡,其中每個房間或公寓都有一個用於 Internet 訪問的端口。
資料來源:維基百科
VXLAN 問題陳述(VXLAN Problem Statement)
VXLAN (RFC 7348) 就是為了解決這個問題而設計的。VXLAN 問題陳述突出了以下問題:
- 生成樹(Spanning Tree)和 VLAN 範圍施加的限制
- 多租戶環境(Multi-tenant)
- ToR(架頂式)交換機的表尺寸不足
它還寫道:“VXLAN(虛擬可擴展區域網路)解決了在多租戶環境中存在虛擬機的情況下第 2 層和第 3 層數據中心網絡基礎設施的上述要求。”
VXLAN 作為覆蓋網絡(VXLAN as Overlay Network)
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。所述葉脊架構採用葉片開關和主幹交換機組成的兩層的網絡拓撲。
覆蓋和底層網絡(Overlay and Underlay Networks)
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 被路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network
攻擊向量(Attack Vector)
VXLAN 是一個 MAC-over-IP 覆蓋網絡,它繼承了第 2 層和第 3 層攻擊向量,因此它擴展了第 2 層網絡的攻擊向量。
傳統上, 第 2 層網絡 只能被惡意端點從“內部”攻擊——要么:
. 通過不當訪問 LAN 和窺探流量,
. 通過注入欺騙性數據包來“接管”另一個 MAC 地址,或
. 通過氾濫並導致拒絕服務。
用於傳送第 2 層流量的 MAC-over-IP 機制顯著擴展了此攻擊面。 這可能是由於流氓將自己注入網絡而發生的:
. 通過 訂閱一個或多個 承載 VXLAN 網段廣播流量的多播組,以及
. 通過將 MAC-over-UDP 幀發送 到傳輸網絡以注入虛假流量,可能是為了劫持 MAC 地址。
本文檔不包含針對此類攻擊的具體措施,而是依賴於 IP 之上的其他傳統機制。相反,本節概述了 VXLAN 環境中一些可能的安全方法。
. 通過限制在 VXLAN 環境中部署和管理虛擬機/網關的人員的管理和管理範圍,可以減輕流氓端點的傳統第 2 層攻擊。此外,此類管理措施可能會通過 802.1X 之類的方案得到加強,以對單個端點進行准入控制。此外,使用基於 UDP 的 VXLAN 封裝可以在物理交換機中配置和使用基於 5 元組的 ACL(訪問控制列表)功能。
. 可以使用 IPsec 等傳統安全機制保護 IP 網絡上的隧道流量,這些機制對 VXLAN 流量進行身份驗證和可選加密。當然,這需要與授權端點的身份驗證基礎設施相結合,以獲取和分發憑據。
. VXLAN 覆蓋網絡是在現有 LAN 基礎設施上指定和運行的。為確保 VXLAN 端點及其 VTEP 在 LAN 上獲得授權,建議為 VXLAN 流量指定一個 VLAN,服務器/VTEP 通過此 VLAN 發送 VXLAN 流量以提供安全措施。
. 此外,VXLAN 需要在這些覆蓋網絡中正確映射 VNI 和 VM 成員資格。期望使用現有安全方法完成此映射並將其傳送到 VTEP 和網關上的管理實體。
來源:RFC 7348
區域網路上的 EAP(EAP over LAN)
-EAP 和 802.1X
IEEE 802.1X 是基於端口的網絡訪問控制 (PNAC) 的 IEEE 標準。它是 IEEE 802.1 網絡協議組的一部分。它為希望連接到 LAN 或 WLAN 的設備提供身份驗證機制。
IEEE 802.1X 定義了基於 IEEE 802.11 的可擴展身份驗證協議 (EAP) 的封裝,稱為“EAP over LAN”或 EAPOL。EAPOL 最初是為 802.1X-2001 中的 IEEE 802.3 以太網設計的,但在 802.1X-2001 中被闡明以適合其他 IEEE 802 LAN 技術,例如 IEEE 802.11 無線和光纖分佈式數據接口(ANSI X3T9.5/X3T12 和 ISO 9314) . 在 802.1X-2010 中,EAPOL 也經過修改以與 IEEE 802.1AE(“MACsec”)和 IEEE 802.1AR(安全設備身份,DevID)一起使用,以支持內部 LAN 段上的服務識別和可選的點對點加密。
資料來源:維基百科
參考
. 虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架 (RFC 7348)
. 虛擬可擴展 LAN(維基百科)
. 什麼是 VXLAN?(Juniper)
. 底層網絡和覆蓋網絡
. 網絡工程師對虛擬可擴展區域網路 (VXLAN) 的看法
. TOR、EOR 和 MOR 是什麼意思?
. 數據中心架構中流行的 ToR 和 ToR 交換機
. 虛擬區域網路 | 第 1 部分 – VxLAN 的工作原理 (YouTube)
. VXLAN 介紹 (YouTube)
. SD-WAN 的基礎知識
. 私有VLAN
. 虛擬可擴展區域網路
. RFC 7348:虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架
資料來源: Wentz Wu QOTD-20210804
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文