一直希望能從別人的教訓裡學點東西,盡量避免在別人跌倒過的地方跌倒,今天又長見識了。某公司運維管理做的還不錯,給idc拉了管理專網,辦公網通過vpn接入這個管理專網管理分布在所有idc的伺服器,對乙個企業來說,能做到這點就相當不容易。這麼做的好處很明顯,對外的acl好做很多了,風險被聚合然後消滅或轉移。乙個牛x的銷售老大曾經和我說過:「乙個優點有時候就是他的缺點」,風險集中的時候,我們可以集中精細的控制,但一旦這道門檻被突破,那很可能就是全面的崩盤。例如黑客不管從任何途徑搞進這個管理網之後,那麼這些伺服器可能都是經不住hydra -l root -p ooxx -t 5 -m ip -o log ssh2這種攻擊的。
今天我問某黑客:「你是如何獲得這麼多關於這個企業網路架構的資料的?「
黑客曰:「我x掉了他們辦公網的乙個管理員的pc「
我問:「那你是如何x這個管理員的pc的?從服務網到辦公網跨度好大。」
黑客曰:「他們的服務網和辦公網連著的」
其實管理專網和域類似,把風險聚合到乙個點,然後圍殲之,結果也是差不多:搞好了事半功倍,搞不好弄巧成拙。如果是我的話,我依然會聚合風險然後圍殲,但是會增加防禦的縱深。那個企業沒發現黑客入侵的原因就是防禦太單一了,單獨的訪問控制的作用還是比較有限的,其實這個黑客在那個網路裡的行為還是挺暴力的,稍有點東西就可以發現。
縱深防禦是乙個出來很久的理念了,但是真正能落實的企業又有多少?難以落實的原因或許有很多很多,我感覺和財力、人力關係比較大。
網路訪問控制
一 ead概述 ead 埠准入防禦 是一種安全防禦解決方案,能彌補傳統的單點安全防禦的不足 portal概述 portal認證通常也稱為web認證,是一種運營商常用的,通過強制使用者到門戶 進行認證的方式 主要包括認證客戶端 接入裝置 portal伺服器 認證 基肥伺服器以及可選的安全策略伺服器 二...
網路安全 接入控制和訪問控制
接入控制只允許授權接入網路的使用者所使用的終端接入網路,相應的協議ppp協議 其中ppp本身是載體協議,口令鑑別協議pap 挑戰握手協議chap,ip控制協議ipcp 802.1x標準 wpa2 其中擴充套件鑑別協議eap 訪問控制只允許每乙個使用者訪問授權該使用者訪問的網路資源,由kerberos...
安全和訪問控制
ldap提供很複雜的不同層次的訪問控制或者aci。因這些訪問可以在伺服器端控制,這比用客戶端的軟體保證資料的安全可安全多了。可以完成 給予使用者改變他們自己的 號碼和家庭位址的權 限,但是限制他們對其它資料 如,職務名稱,經理的登入名,等等 只有 唯讀 權 限。禁止任何人查詢ldap伺服器上的使用者...