TACAS
TACAS+
拨号连接保护措施
远程身份验证协议:PAP,远程用户用于在PPP线路上; CHAP, 挑战握手身份验证协议; EAP,提供框架
远程连接最佳实践:
- 远程身份验证服务器禁用PAP
- 使用IPSec保护VPN安全
- 定期检查MODEM和网关的安全
该课程属于 安全牛课堂2018年企业课程包 请加入后再学习
Unix
Linux
Windows
操作系统安全设置
- 服务管理:
- 配置防火墙
- 管理自动更新
- 补丁管理
- 开启日志审计
RAID 5提供高可用性
RAID 0 将2块硬盘作一块硬盘使用
89958199
1、安全定义与术语
脆弱性、威胁、风险、暴露、控制
防火墙
主要架构
1、屏蔽主机防火墙
2、多穴防火墙
3、屏蔽子网防火墙
代理服务器
用于客户端访问处理
可以充当网关,配置路由,安装软件防火墙充当防火墙代理
负载均衡器
高可用性
F5,集群eig
无线防御最佳实践
配置接入点设置
due care
due diligence
通用端口:0-1023
注册端口:1024-49151
动态端口:49152-65535
TCP三次握手通信
SYN; SYN/ACK; ACK
SYN泛洪攻击,DOS攻击的一种;防御:流量清洗,IP黑名单,使用SYN代理
TCP会话劫持,通过修改TCP首部序列号进行中间人攻击
IPv4地址分类:
A类:10.
B类:172.16---172.
C类:
双绞线,便宜,信号变弱;普通网线
同轴电缆
光缆
布线的问题:噪声,衰减,串扰
BCM业务连续性管理
ARP协议:将IP地址解析为MAC地址,工作在数据链路层
ARP表中毒:攻击者修改ARP表
DHCP---UDP协议
ICMP协议:工作在网络层,递送状态消息,报告错误
ICMP 的攻击:
loki攻击
重定向流量
死亡之ping
smurf攻击
防御:配置防火墙仅允许必要的ICMP包,配置IDS或IPS
DNS协议 :
缺乏身份验证---DNSSEC
DNS域名相当于门牌号,提供域名,即返回IP地址
DMZ zone: 存放公用服务器
SMTP协议:发送邮件的协议
关闭邮件服务器中继功能
POP3,IMAP协议:接受邮件的协议
网络互连设备:
- 路由器:工作在3层
- 交换机:工作在2层,数据链路层
- 防火墙:
- 代理服务器:放在网关
- 蜜罐:放在公网
- 云计算
安全基本准则
1)机密性
2)完整性
3)可用性
防火墙
- 桌面型:主机上
- 网关型:网关上
防火墙架构:
- 屏蔽主机防火墙
- 多穴
- 屏蔽子网防火墙:DMZ Zone 隔离内网和外网
蜜罐:吸引潜在攻击者
开启日志,发现问题并进行补救
云计算
IaaS
PaaS
SaaS
字典攻击:更具有针对性,只针对字典里的密码进行破解
蛮力攻击/暴力破解:尝试所有可能的密码,没有针对性
防御:限制登录次数,黑名单机制,强密码策略
- 类Unix主机
- Windows主机
- 大型机
代理服务器:类似缓存池,提高浏览速度和效率
UTM: unified threat management 统一威胁管理
IPS: 主动中断,调整或隔离不正常或具有伤害性的行为
IDS:
- 可信计算机:包括安全内核
- 引用监控器
- 安全内核
安全特性:CIA, 真实性,可问责性,不可否认性,可靠性
- 属主
- 属组
Linux: Umask值设置
Windows: NTFS权限
架构设计安全
BS架构:browser/server
CS架构: client/ server
