第12章 安全通信与网络攻击

Communication security protects transported data.

通信安全保护传输中的数据。

它不只是加密，还要检测、预防和纠正传输错误。

看到 communications security，要同时想 confidentiality 和 integrity。

Secure channels follow the design.

安全通道应按设计实施。

语音、视频、远程访问、数据通信和第三方连接都要按风险选择控制。

安全通道不是统一答案，要看业务和威胁模型。

QoS protects availability.

QoS 保护可用性。

带宽、延迟、抖动、吞吐、丢包、SNR 都会影响关键通信可用性。

CIA 中的 A 经常通过 QoS、容量和故障处理体现。

Protocols add security services.

协议会叠加安全服务。

TCP/IP 本身有缺陷，因此需要认证、加密、完整性、访问控制和隧道机制。

IPSec、TLS、SSH、EAP、802.1X 都属于常见安全机制。

Network attacks target communications.

网络攻击会针对通信过程。

DDoS、窃听、冒充、重放、篡改、欺骗、ARP/DNS 投毒都在本章范围。

答题时先判断攻击破坏 CIA 哪个属性，再选对策。

PPP encapsulates IP over point-to-point links.

PPP 在点对点链路上传输 IP。

PPP 提供链路配置、错误检测、地址管理、全双工和认证选项。

PPP 是数据链路层协议，替代了更弱的 SLIP。

SLIP offered no authentication.

SLIP 不提供认证。

SLIP 还缺少错误检测，只支持半双工，现代场景基本是旧知识点。

SLIP 弱，PPP 强；看到替代关系要选 PPP。

PAP transmits credentials in cleartext.

PAP 明文传输凭据。

它只是把用户名和密码送过去，没有加密保护。

PAP 几乎总是不安全答案。

CHAP uses challenge-response.

CHAP 使用挑战响应。

服务器发随机挑战，客户端用密码哈希计算响应，可降低重放风险。

CHAP 基于 MD5，已不算现代强安全。

EAP is an authentication framework.

EAP 是认证框架。

EAP 允许智能卡、令牌、生物识别、证书等多种认证方法。

EAP 不是单一协议，要看具体 EAP 方法是否加密。

EAP-TLS uses certificates.

EAP-TLS 使用证书。

客户端和服务器都有证书时，可实现强双向证书认证。

企业无线强认证题常优先 EAP-TLS。

Tunneled EAP protects authentication.

隧道化 EAP 保护认证过程。

PEAP 把 EAP 放进 TLS 隧道；EAP-TTLS 先建类似 VPN 的隧道再认证。

保护用户名不明文传输是 EAP-TTLS 常见考点。

802.1X is port-based access control.

802.1X 是基于端口的访问控制。

这里的端口指网络链路，不只是 RJ-45；可用于 WAP、交换机、VPN 网关等。

802.1X 不是无线技术本身，而是认证接入技术。

Port security can mean physical control.

端口安全可以指物理控制。

墙口、交换机端口、配线架、布线间都要防止未授权设备接入。

不用的墙口和交换机端口应该禁用或断开。

Open ports expose active services.

开放端口暴露活动服务。

服务监听 TCP/UDP 端口后，攻击者可通过扫描发现它。

防火墙、IDS、IPS 可检测或阻断端口扫描。

Ports can require authentication.

端口可要求认证。

802.1X 让客户端认证后才能通过端口通信。

端口认证可发生在交换机、路由器、无线或智能配线架。

QoS manages communication performance.

QoS 管理通信性能。

QoS 让关键业务在拥塞时仍有可用性，尤其是语音和视频。

QoS 是 availability 控制，不只是网络优化。

Metrics include latency, jitter, and throughput.

指标包括延迟、抖动和吞吐量。

带宽是容量，吞吐是实际成功传输量，抖动是延迟变化。

VoIP 对 jitter 和 packet loss 特别敏感。

Traffic can be throttled or reshaped.

流量可以被限速或整形。

可按协议、IP 或业务优先级控制最大使用量和传输顺序。

throttling 是限速，shaping 是重新安排流量形态。

Observability helps detect network issues.

可观测性帮助发现网络问题。

指标、日志、流量、容量和故障事件让管理员知道网络是否健康。

监控不是事后看图，而是支撑故障检测和容量管理。

Telephony includes PSTN, PBX, cellular, and VoIP.

电话技术包括 PSTN、PBX、蜂窝和 VoIP。

传统电话和 IP 电话都属于语音通信安全范围。

不要把 voice security 只理解为网络电话。

Voice can be intercepted or tapped.

语音可能被拦截或搭线窃听。

PBX 和 PSTN 仍可能受到物理搭线、窃听、滥用和配置问题影响。

组织外的电话链路常涉及运营商责任边界。

VoIP encapsulates audio into IP packets.

VoIP 将音频封装进 IP 包。

VoIP 把语音变成网络流量，因此也继承网络攻击面。

VoIP 需要 QoS、分段、加密和补丁管理。

Encryption protects voice in transit.

加密保护传输中的语音。

可用 SRTP 加密媒体流，用 TLS 保护信令。

SRTP 保护语音内容，SIP over TLS 保护信令。

Voice systems support social attacks.

语音系统会支持社工攻击。

来电伪造、语音邮箱滥用、假客服和语音钓鱼都可能绕过技术控制。

vishing 是 voice phishing。

Voice security needs layered controls.

语音安全需要分层控制。

物理安全、强密码、禁用未用功能、VLAN、QoS、日志和供应商管理一起用。

单靠加密不能解决默认口令和 PBX 配置问题。

Remote access has multiple forms.

远程访问有多种形式。

可以只访问特定服务，也可以远程控制桌面，或像远程节点一样接入网络。

service-specific、remote control、remote node 要会区分。

Remote systems may be less secure.

远程系统可能安全性较弱。

家庭设备、公共 Wi-Fi、丢失设备和缺补丁系统都可能成为入口。

先验证用户，也要验证设备状态。

Plan a remote access policy.

应规划远程访问策略。

策略要规定谁能远程、用什么设备、怎么认证、能访问什么、如何审计。

管理类题优先选策略、标准和流程。

VPN and TLS protect transmission.

VPN 和 TLS 保护传输。

远程访问应使用合适的加密协议组合，避免敏感数据裸奔。

VPN/TLS 是远程访问常见安全通道。

Remote users should be stringently authenticated.

远程用户应被严格认证。

MFA、证书、设备合规和上下文条件能降低凭据被盗风险。

远程访问通常比内网本地访问需要更强认证。

Remote access supports administration.

远程访问支持管理功能。

管理员可远程做监控、配置、故障排查和安全管理，但必须限制来源和记录操作。

管理平面建议跳板机、带外管理、最小权限和审计。

Remote users need assistance.

远程用户需要支持。

远程支持流程要防止假支持、过度授权和屏幕共享泄露。

便利性不能压过最小权限和身份确认。

Collaboration uses multimedia technologies.

协作使用多媒体技术。

视频、语音、聊天、白板、屏幕共享和文件共享都可能进入业务流程。

协作工具要看访问控制、加密、记录和供应商风险。

Meetings can expose sensitive information.

会议可能暴露敏感信息。

会议链接外泄、录制泄露、屏幕共享失误和权限过宽都很常见。

等候室、会议密码、主持人控制和录制审批是常见控制。

Observability reveals network behavior.

可观测性揭示网络行为。

通过指标、日志、追踪和流量分析发现容量、延迟和故障问题。

可观测性支撑 fault detection、capacity management。

Load balancers distribute service requests.

负载均衡器分发服务请求。

它做健康检查、请求分配、故障切换和容量扩展。

负载均衡提高可用性，但也要保护自身。

Load balancers use virtual IP addresses.

负载均衡器使用虚拟 IP。

用户访问 VIP，后端真实服务器由负载均衡器选择。

VIP 常是 SSL/TLS 终止点。

TLS offloading removes encryption at the balancer.

TLS 卸载在负载均衡处解除加密。

这样减轻后端服务器负担，但解密后的后端链路也要保护。

卸载后不能默认后端流量仍然安全。

Transparent controls are unseen by users.

透明控制对用户不可见。

越透明，用户越不容易绕过，也越少感知性能影响。

透明性强调不打扰用户同时保持控制有效。

Email uses SMTP, POP3, and IMAP.

邮件使用 SMTP、POP3 和 IMAP。

SMTP 发信，POP3/IMAP 访问邮箱；实际部署要配合 TLS。

SMTP 25，POP3 110，IMAP 143 是基础端口。

Email is insecure unless secured.

邮件若不加保护就是不安全的。

发件人可伪造，内容可被转发、归档、泄露或携带恶意附件。

邮件安全必须叠加多种控制。

S/MIME protects email with encryption and signatures.

S/MIME 用加密和签名保护邮件。

它可提供机密性、完整性、认证和不可否认性。

S/MIME 依赖证书和 PKI。

SPF validates sending servers.

SPF 验证发信服务器。

域名所有者在 DNS 中声明哪些服务器可以代表该域发信。

SPF 主要防伪造来源服务器，不等于加密内容。

DKIM signs email for domain validation.

DKIM 为邮件添加域签名。

接收方用 DNS 中的公钥验证邮件是否被域签名并未被篡改。

DKIM 关注签名和完整性。

DMARC uses DNS-based email policy.

DMARC 使用基于 DNS 的邮件策略。

它结合 SPF/DKIM 结果，告诉接收方如何处理失败邮件。

DMARC 策略常见 none、quarantine、reject。

STARTTLS upgrades SMTP to TLS.

STARTTLS 将 SMTP 升级到 TLS。

它是 SMTP 命令，目标支持 TLS 时建立加密信道，否则可能退回明文。

STARTTLS 常用 TCP 587。

Filtering and retention support email security.

过滤和保留支撑邮件安全。

反垃圾、信誉服务、附件沙箱、DLP、备份和保留策略都很重要。

邮件归档可能涉及法律发现和隐私。

A VPN crosses an untrusted network.

VPN 跨越不可信网络。

它在两个实体之间建立通道，可提供访问控制、认证、机密性和完整性。

VPN 常用加密，但加密不是“叫 VPN”的唯一条件。

Concentrators support many VPN connections.

VPN 集中器支持大量 VPN 连接。

它也可称 VPN server、gateway、firewall、proxy 或 appliance。

远程访问 VPN 常见专用网关或集中器。

VPN traffic is encapsulated.

VPN 流量会被封装。

正常 LAN 流量被包进 VPN 协议，就像放进安全信封。

中间设备可能看不到加密隧道内部载荷。

Transport mode ends at individual hosts.

传输模式终止在单个主机。

它更像主机到主机，通常保护负载，不封装整个原始 IP 包。

transport mode 常与端到端主机通信相关。

Tunnel mode terminates at VPN devices.

隧道模式终止在 VPN 设备。

它封装整个原始包，适合站点到站点和远程访问。

site-to-site VPN 通常想到 tunnel mode。

Split tunneling accesses VPN and Internet directly.

分隧道同时访问 VPN 和互联网。

客户端一边连公司，一边直连互联网，可能打开进入组织网络的路径。

split tunnel 风险高；full tunnel 更集中可控但负载更大。

VPNs use PPTP, L2TP, SSH, TLS, and IPSec.

VPN 可使用 PPTP、L2TP、SSH、TLS 和 IPSec。

PPTP 已过时，L2TP 常配 IPSec，OpenVPN 基于 TLS，SSH 可做主机到主机。

现代题不要推荐 PPTP。

IPSec secures IP traffic.

IPSec 保护 IP 流量。

IPSec 是一组协议，包含 AH、ESP、IKE、SA、ISAKMP 等。

ESP 提供机密性和完整性，AH 不提供加密。

Security tools need decrypted traffic.

安全工具需要解密后的流量。

如果 IDS/DLP 在隧道中间，只能看到加密包，无法检查内部内容。

检测与过滤点应放在 VPN 解密后或终端侧。

NAT maps private and public addresses.

NAT 映射私有地址和公网地址。

内部主机可用私有地址，通过边界设备转换后访问外部网络。

NAT 不是安全控制本身，但可隐藏内部地址。

PAT maps many hosts to one address.

PAT 将多台主机映射到一个地址。

它通过端口区分内部会话，常见于家庭和企业出口。

PAT 也叫 NAT overload。

NAT-T supports tunneling through NAT.

NAT-T 支持隧道穿越 NAT。

NAT 改包头会影响 IPSec 完整性，NAT-T 让 IPSec/L2TP 更容易穿越 NAT。

IPSec + NAT 冲突时想到 NAT-T。

RFC 1918 defines private IPv4 ranges.

RFC 1918 定义私有 IPv4 范围。

10/8、172.16/12、192.168/16 是私有地址空间。

私有地址不能直接在公网路由。

APIPA assigns link-local IPv4 addresses.

APIPA 分配链路本地 IPv4 地址。

DHCP 失败时，主机可自动使用 169.254.0.0/16 地址。

看到 169.254.x.x，多半是 DHCP 问题。

Loopback tests local networking.

回环用于测试本机网络。

IPv4 127/8，IPv6 ::1，流量不会真正离开本机。

localhost 与 loopback 常一起出现。

WANs use leased lines, MPLS, VPNs, and SD-WAN.

广域网使用专线、MPLS、VPN 和 SD-WAN。

不同方案在成本、可靠性、加密、性能和运营商依赖上不同。

best answer 要看业务需要和 SLA。

Carrier links need fault tolerance.

运营商链路需要容错。

双运营商、冗余线路、自动故障切换、监控和容量规划能提升可用性。

第三方连接要看 SLA、责任边界和故障升级流程。

DDoS attacks availability.

DDoS 攻击可用性。

大量流量或请求淹没服务，让正常用户无法访问。

对策包括流量清洗、限速、CDN、冗余和上游协作。

Eavesdropping exposes communications.

窃听暴露通信内容。

攻击者被动监听链路，获取凭据、业务数据或元数据。

TLS、IPSec、SSH、VPN 和物理安全是常见对策。

Impersonation fakes identity.

冒充伪造身份。

攻击者假装成用户、设备、服务或管理员。

MFA、证书、强认证和日志审计是核心。

Replay reuses valid messages.

重放重复使用合法消息。

旧的认证消息或交易被再次发送，诱导系统接受。

nonce、时间戳、序列号、一次性密码可防重放。

Modification changes data in transit.

篡改改变传输中的数据。

攻击者修改包内容、命令或参数，破坏完整性。

MAC/HMAC、数字签名和完整性校验是对策。

Spoofing forges source information.

欺骗伪造来源信息。

可伪造 IP、MAC、DNS、邮件来源或服务身份。

反欺骗过滤、ACL、uRPF 和监控可降低风险。

Poisoning corrupts resolution.

投毒破坏解析结果。

ARP 投毒改 IP 到 MAC 映射，DNS 投毒改名称到地址映射。

DAI、静态 ARP、DNSSEC、受控 DNS 和日志监控是高频对策。