Questions tagged «security»

一个通用标记,用于标记对一般安全性主题的讨论,包括防火墙,ACL,AAA以及许多其他与使网络安全免受未经授权的访问有关的主题。

11
如何防止网络上的恶意无线访问点?
根据网络上传输的流量类型,员工携带无线路由器并将其设置到您的网络中通常是不可行的。这是因为它们常常没有安全保护或安全保护欠佳,并为网络提供了后门。如何防止流氓无线访问点引入网络?


5
我是否需要在Cisco设备上设置启用密钥?
我正在设置Cisco 2901路由器。我在控制台行上有一个登录密码,并且vty行配置为仅接受具有公钥身份验证的ssh连接。辅助线关闭。只有两个管理员将访问路由器,我们都被授权在路由器上执行任何配置。 我不是Cisco设备方面的专家,但是我认为这足以确保对路由器配置的访问安全。但是,我阅读的每本指南都指出,无论其他用户密码或线路密码如何,都应设置一个启用密钥。 还有我不知道的启用密码吗?除了控制台线,辅助线或vty线以外,还有其他访问路由器的方法吗? 编辑: 我已经添加了下面的实际配置,以更清楚地了解我的情况。以下工作方式需要一个启用密码,或者除中的username配置外的一个配置ip ssh pubkey-chain。 aaa new-model ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ip ssh pubkey-chain username tech key-hash ssh-rsa [HASH] ip scp server enable line vty 0 4 transport input ssh
16 cisco  security 


6
仅使用被动接口保护OSPF
我知道要保护OSPF,您应该1)使用OSPF身份验证,2)在没有ospf邻居的接口上使用被动接口命令。如果我仅使用被动接口命令而不使用ospf身份验证,那么我仍然面临哪些漏洞?
15 ospf  security 

1
IGMP侦听有什么优点和缺点?
我们的新路由器询问我们是否要启用IGMP监听。对此我不熟悉,我看了一下互联网,得到了以下Wiki描述: IGMP侦听是侦听Internet组管理协议(IGMP)网络流量的过程。该功能允许网络交换机侦听主机和路由器之间的IGMP对话。通过收听这些对话,交换机可维护哪些链路需要哪些IP多播流的映射。可以从不需要组播的链接中过滤出组播,从而控制哪些端口接收特定的组播流量。 但是有什么好处呢?启用前需要考虑哪些因素(安全性,性能等)?我的观点是-如果安全的话,为什么默认不打开?

1
企业网络设备易受打击
在2014年9月4日在该心脏出血漏洞vulerability是由OpenSSL团队披露。 Heartbleed Bug是流行的OpenSSL密码软件库中的一个严重漏洞。这种弱点允许在正常情况下窃取用于保护Internet的SSL / TLS加密保护的信息。 我们可以建立易受企业网络设备的列表心脏出血漏洞?
14 security 

5
查找社交网站的IP地址
我如何找到像Facebook这样的IP地址的公司。我正在尝试阻止Facebook工作,并在HTTP和URL阻止方面遇到一些困难。每当我阻止一个facebook IP时,似乎就会弹出更多。 有没有一种简单的方法来找出Facebook,Myspace,Snapchat等使用的所有IP?
14 ipv4  security  firewall  acl 


3
如何验证UDP端口是否打开?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,使它成为网络工程堆栈交换的主题。 2年前关闭。 我在这里有一个难题。我有一台可以与另一台远程设备通信的设备,但是它们之间有防火墙。这是UDP连接,因此TCP实用程序无法测试特定端口是否打开。我知道我们可以从防火墙获得该信息,但是我没有访问权限,因此我必须证明该端口未打开。 源系统是Windows 7系统,目标系统是运行Linux的设备。


2
通过提供商网桥扩展MACSec加密
我已经在SF上问过这个问题,但认为这里可能更合适。 是否可以通过提供者网桥扩展MACSec加密?典型的802.1ad实现是否能够转发加密的帧,或者转发中断帧的完整性? 我确实意识到MACSec是用于逐跳安全性的。是否有任何理由不使用MACSec在运营商上进行点对点加密,或者是否应考虑其他特殊因素? 我问的原因是MACSec硬件以与第二层加密相关的典型成本的一小部分提供线速加密。 我没有代表来添加新标签,但可以随时为MACSec,PBN,802.1ad和802.1ae等添加相关标签

1
为什么不应该使用本机VLAN?
当前正在学习CCNA安全性,我被教导永远不要出于安全目的使用本机VLAN。思科论坛上的旧讨论非常清楚地表明了这一点: 您也不要使用默认VLAN,因为从默认VLAN更容易完成VLAN跳跃。 但是,从实际的角度来看,我无法准确指出正在解决的实际威胁。 我的想法如下: 攻击者位于本机VLAN上,也许他可以直接注入802.1q数据包,这些数据包将在不经过第一台交换机修改的情况下被转发(如来自本机VLAN),而即将到来的交换机会将这些数据包视为来自所选VLAN的合法数据包由攻击者。 这确实会使VLAN跳跃攻击“容易得多”。但是,这不起作用,因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的,因此会丢弃此类数据包。 位于非本地VLAN上的攻击者设法将交换机访问端口转换为中继端口。要将流量发送到本地VLAN,他只需更改其IP地址(单个命令),而不是在其网络接口上启用VLAN(四个命令),保存三个命令即可。 我显然认为这最多是非常微不足道的收益。 回顾历史,我想我读了一些旧的建议,指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力,并使本机VLAN利用在以前的情况下更加实用。 但是,如今这似乎并不是真正的限制,VLAN配置命令是Linux(至少)网络配置命令的常见部分。 即使这种做法不再解决任何特定的威胁,我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留?还是有一种具体的方案,由于使用了本地VLAN,VLAN跳跃确实变得更加容易了?
10 vlan  security 

1
L-ASA-SC-10 =是否需要重启?
我们在多上下文模式下有一些现有的ASA-5555X,并且每个VLAN都使用一个上下文作为透明的layer2防火墙。随着时间的流逝,我们一直在添加此解决方案,并且我们将超过5个安全上下文的原始许可。 我们购买了L-ASA-SC-10 =,但尚不清楚应用此激活密钥是否需要我们重新启动ASA。我确实知道这将需要我们打破主用-备用对。 将L-ASA-SC-10 =应用于我们正在运行的ASA是否需要重启?如果重要的话,我们有9.0(2)版本。

2
您如何限制Dropbox流量?
似乎Dropbox使用Amazon AWS进行存储,因此我无法阻止或拖曳dropbox.com的流量 由于有许多依赖于AmazonAWS的Web服务,因此我不能仅阻止该域。 您对如何处理保管箱流量有任何建议吗? 我在cisco ASA上工作,但是我怀疑这适用于所有防火墙管理器

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.