CISSP 領域重要名詞釋疑 - CIA 三元素

CIA Tried (CIA三元素)

Confidentiality 保密性/機密性
保密性主要在保護未經授權的資訊洩漏。

換句話說，保密性主要在於防止未經授權的讀取資料。

舉個攻擊保密性的例子，例如盜竊個人資訊(Personally Identifiable Information, PII)，例如個人信用卡資訊。

關於機密性的關鍵詞
Data encryption 加密數據存取(Disk, Databasre, Storage...)
Message encryption 傳輸加密(IPSsec, SSL, PPTP, SSH)
Access Control 存取控制 (物理與技術)

Integrity 完整性

完整性主要在保護未授權的資料更改。

換句話說，完整性主要在於防止未經授權的寫入資料。

完整性分成兩種種類：資料完整性(Data Integrity) 與 系統完整性(System Integrity)。資料完整性主要在於防止未經授權的資訊再次被修改；資訊完整性主要在於保護系統，例如一套Windows 2008的作業系統未經授權的修改。

假如有一位學生入侵了大學的評分資料庫，將他未通過的分數提高，他則侵犯了資料的完整性。假如他安裝了巨集軟體在系統上並開啟了系統的後門存取，則他侵犯了系統的完整性。

關於完整性的關鍵詞
Distribution 分散式 (數據完整性)
Configuration Management 配置管理 (系統完整性)
Modify Control 變更控制 (過程完整性)
Access Control 存取控制 (物理與技術)
Digital Signature 數位簽章
Communication CRC(Cyclic redundancy check) 通訊-循環冗余檢查碼

Availability 可用性

可用性確定資訊被需要時是可用的。在一般商業環境中，系統必須確保可用性。舉一個攻擊可用性的例子，像是DoS(Denial of Service)攻擊，這類攻擊主要在於癱瘓系統服務。

關於可用性的關鍵詞
RAID (Redundant Array of Independent Disks) 磁碟陣列
Cluster 叢集
Load Balancing 附載平衡
Software Backup & Data Backup 軟體與資料備份
UPS (Uninterruptible Power Supply) 不斷電供應器
Disk Image 磁碟鏡像
Co-location & Remote Backup 主機代管與異地備援
Rollback 回溯
Failover 容錯移轉

Tension Between the Concept

機密性、完整性、可用性有些時候是處於對立的：當一個資料在於安全地方並遺失了鑰匙，它可能和機密性或完整性有關，但是與可用性無關。

有個錯誤的答案：我們的任務不是在於追求資訊機密性、完整性與可用性的需求平衡。

Disclosure Alteration and Destruction

CIA三元素同時也描述對立的三項：洩漏(Disclosure)、變造(Alteration)、破壞(Destruction)，合併起來是DAD。洩漏是指未經授權的紕漏資料；變造是指未經授權的修改資料；而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變，DAD縮寫則會保持順序。

Key Word
肩窺(shoulder Sufing)
越過別人肩膀瀏覽未經授權的信息。
社會工程(Social Enginner)
欺騙他人共享敏感信息以獲取未經授權的訪問。

OSI 網路七層模型

OSI Model	TCP/IP Model or DoD Model	TCP/IP Protocol Suite or DoD Protocol Suite
Application Layer	Application Layer or Process / Application Layer	HTTP（Hypertext Transfer Protocol）			FTP（File Transfer Protocol）			SMTP（Simple Message Transfer Protocol）
Presentation Layer		DNS（Domain Name System）			TFTP（Trivial File Transfer Protocol）			SNMP（Simple Network Message Protocol）
Session Layer		NFS（Network File System）			RIP（Routing Information Protocol）			LPD（Line Printer Daemon）
		Telnet			rlogin			X Windows
Transport Layer	Transport Layer or Host-to-Host Layer	TCP（Transmission Control Protocol）					UDP（User Datagram Protocol）
Network Layer	Internet Layer	ICMP（Internet Control Message Protocol）	IGMP（Internet Group Management Protocol）			ARP（Address Resolution Protocol）				RARP（Reserve Address Resolution Protocol）
		IP（Internet Protocol）
Data-link Layer	Link Layer or Network Access Layer	MAC（Media Access Control）
		LLC（Logical Link Control）
Physical Layer		Ethernet		Frame Relay					ATM
		Fast Ethernet		Token Ring					FDDI

Application附加一個非常重要的協定：

DHCP（Dynamical Host Configuration Protocol）/BootP

參考連結下載

D-link 3552 Link Aggregation Test

提供 D-link 3552 設備的 Channel-group 指令設定方式，供可位作為參考。

參考連結下載

Cisco ACL 指令差異整理

Cisco ASA(Adaptive Security Appliance, ASA)
 不使用反向遮罩，使用一般的子網路遮罩。

access-list GAD extended permit tcp any 10.0.0.0 255.255.255.0 www

相當於C3750交換器所設定的存取清單:

ip access-list extended GAD
 permit tcp any 10.10.10.0 0.0.0.255 eq www

而NX-OS則是使用prefix來取代子網路遮罩或萬用遮罩

ip access-list GAD
  10 permit tcp 10.10.10.0/24 any eq www

*注意一下各種指令下達時候的差別。

關於DNS的說明

DNS是網路服務當中相當重要的一環，在此留下編修的筆記供各位做為參考。
包含名稱解析原則、運作原理、協定標準、規範、常用故障排除、相關設定方式等。

下載參考連結

部落格主親自編寫

Cisco 6500 多層交換器 簡介

特性：擴充性、電力備援、高容量、高密度連接埠。
插槽規格槽位數量從3-13個不等。
每一個模組都是可以熱插拔(hot-swappable)。
電源供應器可設為故障切換(failover)或聯合(combined)模式支援更多耗電模組。
符合電信等級認證的網路設備建置系統(Network Equipment Building System，NEBS)。

最初僅支援 32Gbps 背板速度，如今可以支持 720Gbps 背板速度，未來可以支持 1440Gbps 背板速度。
在大規模企業中扮演Core網路核心設備。

即使在小規模公司，也可以使用6509。包含防火牆模組(FWSM)、內容交換模組(CSM)、網路分析模組(NAM)，單一機箱就能包含完整的 網路基礎架構、安全、負載平衡、裝置監控 等功能。

配備多層交換卡(包含在最新的supervisor之內)，就成為了多層交換器，若執行原生的IOS還可以在保持交換器功能與速度的前提下，化為擁有300多個Ethernet連接埠介面的路由器。

C6500系列的槽位不能隨意亂插，例如：C6509，Supervisor可以主要插在槽位1，備援Supervisor插在槽位2；SFM(Switch Fabric Module)主要插在槽位5，備援SFM插在槽位6。如有內建SFM的Supervisor(例如sup-720)主要必須插在槽位5，備援插在槽位6，不要錯置了。

C6506沒有槽位7,8,9；C6513須將sup-720插在槽位7(主要)、槽位8(備援)。如有疑問請查閱思科相關文件。

增強型機箱(例如C6509E)
多一碼E代表增強型機箱，目的為了供應更多電力給線卡(Line card)。例如：VOIP的乙太網路供電(POE)線卡使用。

E經重新設計過後，每個槽位能支援 80Gbps 的總傳輸量；此理論值是一般C6500機箱的兩倍。C6509-V-E則為每個槽位均支持 80Gbps ，且包含NEBS機箱前版功能，包含了前後散熱與垂直模組。

NXOS 與 IOS 間的差異

NX-OS 是 Linux base 系統；屬於模組化的系統，NX-OS系統設計講求高效率。
例如：需要OSPF，只需要載入OSPF模組即可；而IOS則是無論須要還是不需要，都會載入所有功能的模組。

在NX-OS中，指令碼模組被稱為功能(feature)；要載入模組，請使用 feature 指令。
有哪些指令可用，可以下達 show feature 查看。

請記得在使用NX-OS時，注意功能是否有被載入。例如：使用SVI，需要下達 feature interface-vlan。

• 不再有速率相關介面名稱

每個Ethernet介面在NXOS裏面就叫做 Ethernet ，不再區分FastEthernet、GigabitEthernet或TenGigabitEthernet，不管哪種都是叫做Ethernet。

• NX-OS 沒有隱藏組態

當一個介面功能改變時(L2變成L3)，IOS有些時候會保留原始模式的組態，在功能改回時，又會顯示原本組態，在NX-OS裡則不會。

• 介面狀態顯示運作狀況及原因

這功能非常好用，可以將低非常多故障排除的時間。指令 show interface 會輸出介面狀態結果，同時如果介面狀態是關閉的話，會顯示出原因，例如：Ethernet 7/3 is down (SFP not inserted)。

• show interface brief

在IOS中，有一個強大的指令為"show ip interface brief"，而此指令在NX-OS中，被 show interface brief 所取代，更精簡資訊量更多。

• 不再有 write memory

存檔不存在 write memory 指令，僅能使用 copy running-config startup-config。

• 不再有 do

不再需要使用到do指令。NX-OS允許在組態模式中執行任何非組態模式的指令。
sh run 不論在哪一層級皆能下達，不用下do sh run，相關show指令參數相同。

• 不再有 show arp

被show ip arp 所取代，畢竟arp協定與ip有關。

• 不再有 interface range 指令

下達介面(interface)區間，不需要 range，會自動判斷為一個區間，Ex: interface e1/1-5。

• 所有的 IPv4 與 IPv6 皆支援斜線表示法(遮罩)

這功能很好用，不需要再去做重複運算子網的工作。NX-7K(Config-int)#ip address 10.255.255.2/24

• 兩種CLI的指令求助說明

當你不曉得指令後面全部拼完名稱時，可以使用 ? 與 Tab鍵 兩種方式尋求答案。

• 大部分的路由模式改在界面中進行

全域啟動方式相同
NX-7K(Config)#router ospf 100
路由協定搬到介面下執行
NX-7K(Config-Router)#int e3/10
NX-7K(Config-int)#ip router ospf 100 area 0
NX-7K(Config-int)#ip ospf hello-interval 5

• 更多的Filter選項

在NX-OS中，可以支援在show指令後加上(|)管線(pipe)符號，比IOS有更多實用指令，想關細節可以查看列舉結果。

• 無法利用 console 直接管理 2000以下設備(Nexus 2248)

只能藉由透過Nexus 5000以上系列管理，連上FEX自動同步NXOS版本等資訊。FEX可以定義2248第二台的Ports

• 清除設定機器設定

下達 write erase；清除 startup-config，需下達 reboot startup-config reset to default。

• 利用setup指令

可執行互動式設定選項。