EC-Council CND

CERTIFIED NETWORK DEFENDER v2 // MODULE 03

Technical Network Security

技術層面的網路安全控制是防禦體系的核心。本模組將深入探討存取控制模型 (Access Control)、身份識別 (IAM)、密碼學 (Cryptography) 以及零信任架構 (Zero Trust),建立藍隊防禦的堅實基礎。

SYSTEM_READY // INITIATE_PROTOCOL

1. Access Control Models (存取控制模型)

作為網路防禦者,理解不同的存取控制模型對於實施「最小權限原則 (Principle of Least Privilege)」至關重要。

DAC (Discretionary Access Control)

自主式存取控制。資源擁有者(Owner)決定誰可以存取。

  • 優點: 靈活,適用於小型或低安全性環境。
  • 缺點: 安全性較低,容易受到木馬攻擊 (Trojan horses) 竊取權限。
  • 範例: Windows NTFS 檔案權限 (User 建立檔案後可分享給他人)。

MAC (Mandatory Access Control)

強制式存取控制。系統根據安全標籤 (Security Labels) 和使用者等級 (Clearance) 決定存取權。

  • 優點: 極高安全性,嚴格的單向資訊流。
  • 缺點: 缺乏靈活度,管理成本高。
  • 範例: SEAndroid, SELinux, 軍方系統 (Top Secret > Secret)。

RBAC (Role-Based Access Control)

角色式存取控制。權限綁定「角色」(Role),而非個人。使用者被分配角色。

  • 優點: 適合大型企業,簡化離職/入職管理。
  • 藍隊觀點: 這是企業環境中最推薦的模型,能有效減少權限蔓延 (Privilege Creep)。

ABAC (Attribute-Based Access Control)

屬性式存取控制。基於多重屬性 (Who, What, Where, When) 動態決定。

  • 邏輯: IF (User=Manager) AND (Location=Office) AND (Time=9am-5pm) THEN Allow。
  • 優點: 最細緻 (Granular) 的控制,符合 Zero Trust 架構需求。

2. AAA Framework & IAM

AAA 是網路安全管理的基石,防禦者必須確保這三個環節都有對應的控制措施。

01

Authentication (驗證)

確認「你是誰」。

Multi-Factor Authentication (MFA) 是防禦釣魚與憑證竊取最有效手段。

02

Authorization (授權)

確認「你能做什麼」。

發生在驗證之後。應遵循 NIST 800-53 的最小權限原則。

03

Accounting (稽核/計費)

記錄「你做了什麼」。

關鍵在於 Log 收集 (SIEM)。這是數位鑑識 (Forensics) 的依據。

AUTHENTICATION FACTORS

  • Type 1: Something you know
    密碼, PIN, 安全問題 (最弱)
  • Type 2: Something you have
    智慧卡, 手機 OTP, 硬體 Token
  • Type 3: Something you are
    指紋, 虹膜, 臉部辨識 (生物特徵)
  • MFA = 必須結合上述至少兩種不同類型的因子。

3. Cryptography Essentials (密碼學基礎)

類型 金鑰特性 主要功能 常見演算法 (CND 重點)
Symmetric (對稱式) 加密與解密使用同一把金鑰 (Secret Key)。 速度快,適合大量資料加密 (Confidentiality)。但有金鑰交換問題。 AES (WPA2/3 標準), DES/3DES (已淘汰), RC4 (不安全)
Asymmetric (非對稱式) 使用一對金鑰:Public Key 加密,Private Key 解密。 解決金鑰交換問題,支援數位簽章 (Non-repudiation)。速度慢。 RSA, ECC (行動裝置愛用), Diffie-Hellman (僅交換金鑰)
Hashing (雜湊) 無金鑰,單向函數 (不可逆)。 確保資料完整性 (Integrity)。驗證檔案未被竄改。 SHA-256, SHA-3, MD5 (碰撞風險大,僅用於校驗)

PKI (Public Key Infrastructure) 核心概念: 數位憑證 (Digital Certificate) 就像網路身分證,由 CA (Certificate Authority) 發放。 當瀏覽 HTTPS 網站時,瀏覽器會驗證伺服器憑證的「簽發者信任鏈」與「有效期限」。
攻擊場景:MITM 攻擊者試圖偽造憑證,若 CA 根憑證不受信任,瀏覽器會發出警告。

TACTICAL SIMULATION