CISSP 領域重要名詞釋疑 - AAA 與 Nonrepudiation

Identity and Authentication, Authorization, and Accountability
單詞AAA也經常被使用，描述了 驗證、授權、記錄 的概念。跳脫AAA縮寫指的就是 身分確認 ，身分驗證之前會要求這三個A被落實。

Identity and Authentication (身分確認與驗證)
驗證身分的聲稱：假如你的名字叫做X，你聲稱你自己叫做X。此種身分單一確認是薄弱的，因為並未加以證實。你可以同時聲稱你自己是Y。證實一個身分稱之為驗證，你可以驗證你自己的身分，通常會提供額外資訊或是獨有的物件，例如：密碼以及護照。
通常在機場做通關時，登機員會問你的名字(身分)。你可以說你喜歡的任何事情，但是你對於近期相貌的說謊會產生問題：登機原會要求出示駕照或是護照。換句話說，他們想要藉此驗證你的身分。

有一個使用者Deckard想要在ericconrad.com登入他的電子郵件帳號。他鍵入了”deckard”在使用者名稱欄位上；這代表他在此系統上的身分。需要注意的是Deckard可以輸入任何東西在使用者欄位框上，但此一識別是薄弱的。如果他需要證實身分，則需要驗證。Deckard之後輸入了密碼”R3plicant”。這在ericconard.com系統上是一個正確的密碼，所以Deckard的身分可以被證實並且讓他進行登入。
 

Authorization (授權)
授權描述了你可以在系統上所執行的動作，當你已驗證與已授權。動作包含了 讀取、寫入、執行檔案與程式。
假設你是公司裏面的一個資訊主管管理人力資源資料庫，你需要授權你自己與少數的員工去查閱資料庫(例如：病假與請假資訊)。你不應該被授權去看CIO的薪資。

使用者Deckard身分驗證與授權自己，並且登入該系統。他使用Linux的Cat指令去查看sebastion-address.txt檔案。Deckard是被受全去檢視該份檔案，所以具該權限是理所當然的。Deckard接著試著去看/etc/shadow，這裡存放著使用者的加密密碼。Deckard沒有被授權去檢視該檔案，因此拒絕存取。

Accountability (記錄稽核)
記錄掌握使用者所有可記錄的行動。這通常藉由登入及分析稽核資料。強制執行記錄可以幫助維持誠實者誠實。對某些使用者而言，了解資訊蒐集並不足以提供記錄；他們總是知道資料是被搜集且被稽核的，制裁可能導致違反政策。

一間健全的公司Kaiser Permanente在2009年針對違反政策(違反HIPPA條款《健康保險可攜與責任法》)的員工，開除並影響了超過20名員工後(他們非法檢視了Nadya Suleman好萊塢演員的用藥紀錄)，執行強制記錄。詳見http://www.scmagazineus.
com/octomoms-hospital-records-accessed-15-workers-fired/article/129820/
光是蒐集資料是不足的，查明侵犯與制裁違法者也是必須的。

Nonrepudiation (不可否認性)
不可否認性意指使用者不能否認已執行過的交易。它包含了授權以及完整性：不可否認性授權一個驗證身分的使用者執行交易，並且確保交易的完整性。你必須同時具有授權與完整性才具有不可否認特質：證實你簽署了一份汽車購買合約(驗證身分就是購買者)是沒有用的，如果你的汽車經銷商能夠更改價錢從20,000到40,000(合約違反資料完整性)。

CISSP 領域重要名詞釋疑 - CIA 三元素

CIA Tried (CIA三元素)

Confidentiality 保密性/機密性
保密性主要在保護未經授權的資訊洩漏。

換句話說，保密性主要在於防止未經授權的讀取資料。

舉個攻擊保密性的例子，例如盜竊個人資訊(Personally Identifiable Information, PII)，例如個人信用卡資訊。

關於機密性的關鍵詞
Data encryption 加密數據存取(Disk, Databasre, Storage...)
Message encryption 傳輸加密(IPSsec, SSL, PPTP, SSH)
Access Control 存取控制 (物理與技術)

Integrity 完整性

完整性主要在保護未授權的資料更改。

換句話說，完整性主要在於防止未經授權的寫入資料。

完整性分成兩種種類：資料完整性(Data Integrity) 與 系統完整性(System Integrity)。資料完整性主要在於防止未經授權的資訊再次被修改；資訊完整性主要在於保護系統，例如一套Windows 2008的作業系統未經授權的修改。

假如有一位學生入侵了大學的評分資料庫，將他未通過的分數提高，他則侵犯了資料的完整性。假如他安裝了巨集軟體在系統上並開啟了系統的後門存取，則他侵犯了系統的完整性。

關於完整性的關鍵詞
Distribution 分散式 (數據完整性)
Configuration Management 配置管理 (系統完整性)
Modify Control 變更控制 (過程完整性)
Access Control 存取控制 (物理與技術)
Digital Signature 數位簽章
Communication CRC(Cyclic redundancy check) 通訊-循環冗余檢查碼

Availability 可用性

可用性確定資訊被需要時是可用的。在一般商業環境中，系統必須確保可用性。舉一個攻擊可用性的例子，像是DoS(Denial of Service)攻擊，這類攻擊主要在於癱瘓系統服務。

關於可用性的關鍵詞
RAID (Redundant Array of Independent Disks) 磁碟陣列
Cluster 叢集
Load Balancing 附載平衡
Software Backup & Data Backup 軟體與資料備份
UPS (Uninterruptible Power Supply) 不斷電供應器
Disk Image 磁碟鏡像
Co-location & Remote Backup 主機代管與異地備援
Rollback 回溯
Failover 容錯移轉

Tension Between the Concept

機密性、完整性、可用性有些時候是處於對立的：當一個資料在於安全地方並遺失了鑰匙，它可能和機密性或完整性有關，但是與可用性無關。

有個錯誤的答案：我們的任務不是在於追求資訊機密性、完整性與可用性的需求平衡。

Disclosure Alteration and Destruction

CIA三元素同時也描述對立的三項：洩漏(Disclosure)、變造(Alteration)、破壞(Destruction)，合併起來是DAD。洩漏是指未經授權的紕漏資料；變造是指未經授權的修改資料；而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變，DAD縮寫則會保持順序。

Key Word
肩窺(shoulder Sufing)
越過別人肩膀瀏覽未經授權的信息。
社會工程(Social Enginner)
欺騙他人共享敏感信息以獲取未經授權的訪問。

OSI 網路七層模型

OSI Model	TCP/IP Model or DoD Model	TCP/IP Protocol Suite or DoD Protocol Suite
Application Layer	Application Layer or Process / Application Layer	HTTP（Hypertext Transfer Protocol）			FTP（File Transfer Protocol）			SMTP（Simple Message Transfer Protocol）
Presentation Layer		DNS（Domain Name System）			TFTP（Trivial File Transfer Protocol）			SNMP（Simple Network Message Protocol）
Session Layer		NFS（Network File System）			RIP（Routing Information Protocol）			LPD（Line Printer Daemon）
		Telnet			rlogin			X Windows
Transport Layer	Transport Layer or Host-to-Host Layer	TCP（Transmission Control Protocol）					UDP（User Datagram Protocol）
Network Layer	Internet Layer	ICMP（Internet Control Message Protocol）	IGMP（Internet Group Management Protocol）			ARP（Address Resolution Protocol）				RARP（Reserve Address Resolution Protocol）
		IP（Internet Protocol）
Data-link Layer	Link Layer or Network Access Layer	MAC（Media Access Control）
		LLC（Logical Link Control）
Physical Layer		Ethernet		Frame Relay					ATM
		Fast Ethernet		Token Ring					FDDI

Application附加一個非常重要的協定：

DHCP（Dynamical Host Configuration Protocol）/BootP

參考連結下載

D-link 3552 Link Aggregation Test

提供 D-link 3552 設備的 Channel-group 指令設定方式，供可位作為參考。

參考連結下載

Cisco ACL 指令差異整理

Cisco ASA(Adaptive Security Appliance, ASA)
 不使用反向遮罩，使用一般的子網路遮罩。

access-list GAD extended permit tcp any 10.0.0.0 255.255.255.0 www

相當於C3750交換器所設定的存取清單:

ip access-list extended GAD
 permit tcp any 10.10.10.0 0.0.0.255 eq www

而NX-OS則是使用prefix來取代子網路遮罩或萬用遮罩

ip access-list GAD
  10 permit tcp 10.10.10.0/24 any eq www

*注意一下各種指令下達時候的差別。

關於DNS的說明

DNS是網路服務當中相當重要的一環，在此留下編修的筆記供各位做為參考。
包含名稱解析原則、運作原理、協定標準、規範、常用故障排除、相關設定方式等。

下載參考連結

部落格主親自編寫

Cisco 6500 多層交換器 簡介

特性：擴充性、電力備援、高容量、高密度連接埠。
插槽規格槽位數量從3-13個不等。
每一個模組都是可以熱插拔(hot-swappable)。
電源供應器可設為故障切換(failover)或聯合(combined)模式支援更多耗電模組。
符合電信等級認證的網路設備建置系統(Network Equipment Building System，NEBS)。

最初僅支援 32Gbps 背板速度，如今可以支持 720Gbps 背板速度，未來可以支持 1440Gbps 背板速度。
在大規模企業中扮演Core網路核心設備。

即使在小規模公司，也可以使用6509。包含防火牆模組(FWSM)、內容交換模組(CSM)、網路分析模組(NAM)，單一機箱就能包含完整的 網路基礎架構、安全、負載平衡、裝置監控 等功能。

配備多層交換卡(包含在最新的supervisor之內)，就成為了多層交換器，若執行原生的IOS還可以在保持交換器功能與速度的前提下，化為擁有300多個Ethernet連接埠介面的路由器。

C6500系列的槽位不能隨意亂插，例如：C6509，Supervisor可以主要插在槽位1，備援Supervisor插在槽位2；SFM(Switch Fabric Module)主要插在槽位5，備援SFM插在槽位6。如有內建SFM的Supervisor(例如sup-720)主要必須插在槽位5，備援插在槽位6，不要錯置了。

C6506沒有槽位7,8,9；C6513須將sup-720插在槽位7(主要)、槽位8(備援)。如有疑問請查閱思科相關文件。

增強型機箱(例如C6509E)
多一碼E代表增強型機箱，目的為了供應更多電力給線卡(Line card)。例如：VOIP的乙太網路供電(POE)線卡使用。

E經重新設計過後，每個槽位能支援 80Gbps 的總傳輸量；此理論值是一般C6500機箱的兩倍。C6509-V-E則為每個槽位均支持 80Gbps ，且包含NEBS機箱前版功能，包含了前後散熱與垂直模組。