IPSec
[b]----------------------------------------------------------------------------------------------------------------[/b][size=4][color=red]文章作者:[/color][url=http://3344520.org/][size=4]Crab[/size][/url][/size]
[size=4][color=red]文章连接:[/color][/size][url=http://3344520.org/index.php/archives/66]http://3344520.org/index.php/archives/66[/url]
[size=4][color=red]本文首发[/color]Crab's Blog,后转载到落伍。转载请注明出处。
[/size][b]----------------------------------------------------------------------------------------------------------------[/b]
[size=3][b][size=4]前言:[/size][/b] [/size]
[size=3]在系统安全 网络安全结合ipsec ,加强安全使用IPSec比内置的防火墙灵活得多 ,也比第三方的防火墙软件简单 同时系统兼容性又好(Win And unix). 属于win2003内置的功能,不要钱的![/size]
[size=3][/size]
[size=3]对于有自己服务器的,IPSEC还是很实用的。比如你采用的是[color=red]3389[/color]远程桌面管理服务器,可以利用IPSEC[color=red]限制下连接的IP段[/color],要是有[color=red]2台[/color]以上的服务器,分别开启[color=red]VPN服务[/color],限制只允许指定这[color=red]2台IP[/color]才可以连接。(因为2台可以防止一台服务器VPN挂了话,还有另外一台可以。)当然还可以用到的其他地方很多。在这里[/size][size=3]自己写写,做记录下![/size]
[size=3][/size]
[b][size=4]正文:[/size][/b]
[size=3][color=#ff0000]第一:网络监听[/color](嗅探) 由于是广播 通过广播,MAC地址,目标接收。sniff (抓到全部流到网卡的 数据包 没加密 可以读出数据)[/size]
[size=3][color=#ff0000]第二:数据篡改[/color] 监听 抓包 从网络删掉 改包 再放到网络继续传递 发送方和接受方不知情[/size]
[size=3]比如银行ATM,取贯机,取钱10000,传输到银行后台数据库,4个0修改为2个0,真实是取1000后台就以为是100。[/size]
[size=3][color=#ff0000]第三:欺骗[/color] 封装数据包 包含目标地址 源地址 攻击数据包,修改源地址别人地址或不存在地址。分析数据包出来也是错的。IP ARP DNS 欺骗[/size]
[size=3][color=#ff0000]第四:中间人攻击[/color] 包含 (数据篡改 网络监听)[/size]
[size=3][color=#ff0000]第五:密码破解[/color] 破解系统密码 (通过监听 抓密码 比如HTTP登陆网页 HTTP默认是不加密数据 客户端输入的密码 到服务端)[/size]
[size=3][color=#ff0000]第六:缓冲区溢出[/color] 主要是软件 程序漏洞进行的 等到权限 不是网络 协议导致[/size]
[size=3][b]----------------------------------------------------------------------------------------------------------很黄很暴力的分割线-----------------------------------------------------------------[/b]
[/size][size=3][color=#0000ff]先知道黑客怎么入侵,攻击的手段,再加强网络安全。才能够做防范。
[/color][b]----------------------------------------------------------------------------------------------------------很傻很天真的分割线-----------------------------------------------------------------[/b]
[color=#ff0000]第一:数据保密性[/color] 数据加密 从A-B的数据是加了密再发送到B (加密的数据和要发送的数据不同)[/size]
[size=3][color=#ff0000]第二:数据完整性[/color] 防止数据被篡改 用HASH算法 (单向的)根据原始数据 算出128位数字 主要确认接收和发送的数据一样 发送2部分 原始数据和HASH算完的128位字符 接到的数据做运算,与接收的HASH做对比 以确保数据一模一样。[/size]
[size=3][color=#ff0000]第三:认证 密码身份验证[/color][/size]
[size=3][color=#ff0000]第四:不口否认性[/color]
[b]----------------------------------------------------------------------------------------------------------很好很强大的分割线-----------------------------------------------------------------[/b]
[color=blue]IPSEC
创建IP安全策略,添加IP安全规则(筛选器,筛选器动作,身份验证等)。[/color]
[b]----------------------------------------------------------------------------------------------------------很娇很冠希的分割线-----------------------------------------------------------------[/b]
[/size][size=3][color=#ff0000]禁用协议
例子:ping[/color][/size]
[size=3]筛选器:源地址:任何IP地址 目标地址:我的IP地址 协议:icmp
筛选器动作: ①通过②阻止③协商安全
启用策略:指派策略[/size]
[size=3]效果:ping 不了,显示Request timed out.[/size]
[size=3]
[/size][size=3][color=#ff0000]关闭端口
例子:80[/color]
筛选器:源地址:任何IP地址 目标地址:我的IP地址 协议:tcp 设置IP端口:从任意端口到此端口(连接端口是随机的,被连接端是固定的。比如客户端使用随机端口访问web服务器的固定80端口)
筛选器动作: ①通过②阻止③协商安全
启用策略:指派策略[/size]
[size=3]效果:telnet ip 80,连接不上.[/size]
[size=3]
[/size][size=3][color=#ff0000]身份验证&数据加密
例子:ping[/color][/size]
[size=3]抓包工具:network monitor 或是 SmartSniff[/size]
[size=3]可以看到抓到8个包,因为 ping默认是4个包,来回就是8个。第一个包是192.168.199.128 ping 192,168.199.131可以看到包的内容.之所以可以看到包内容,是因为ping命令默认是不加密的。[/size]
[size=3][img=642,369]http://3344520.org/wp-content/uploads/2008/01/smarsniff.jpg[/img][/size]
[size=3]利用IPSEC做加密,需要2台机器上都要分别做加密,而且加密算法要一致,这样才可以兼容!
筛选器动作:协商安全
添加→安全措施(仅保持数据完整性,利用HASH算法,不加密数据,只保证数据不被篡改,只要数据被篡改,数据就不会被接收。加密并保持完整性,保持数据不被篡改,又加密数据。或者自定义!)
会话密钥设置:可以默认,[/size]
[size=3]身份验证方法
①KERBEROS协议(需要域环境在才可以用)
②证书(需要有证书颁发机构,比如用win2003.)
③预共享密钥 (工作组可以采用这个)[/size]
[size=3]以下是加密与不加密抓包的对比
[img]http://3344520.org/wp-content/uploads/2008/01/no-md5.jpg[/img]
[img]http://3344520.org/wp-content/uploads/2008/01/md5.jpg[/img]
[/size]
[[i] 本帖最后由 梁静茹 于 2008-3-11 22:41 编辑 [/i]] 哎呀~看了12人,没一个支持啊!
俺打字累死了 - -! 不错支持一个 不错IPSEC+端口筛选 也很娇~~ [quote]原帖由 [i]DieRock[/i] 于 2008-3-11 09:52 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=24427882&ptid=2440468][img]http://www.im286.com/images/common/back.gif[/img][/url]
不错IPSEC+端口筛选 也很娇~~ [/quote]
谢谢!
回复 2楼 的帖子
支持一下! 不错,能出一个更详细的就好了 能写的再详细点不?我小白 看不明白 哥们 看不明白 再详细点可以吗? [b][size=3]回复下7 8 9楼[/size][/b]因为这个只是个笔记,前面部分主要是些概念
详细的话,大家可以直接跳到
[color=Red]禁用协议
例子:ping
关闭端口
例子:80[/color]
步骤因为文字描述~没上图片! 以上的禁用协议,关闭端口,基本够用了! 静如大姐很厉害 看了标题,简单看了内容,就知道有内涵 不错~~
很娇很冠希 ;) 很黄很暴力的分割线-----------------------------------------------------------------
很傻很天真的分割线-----------------------------------------------------------------
很好很强大的分割线-----------------------------------------------------------------
很娇很冠希的分割线-----------------------------------------------------------------
页:
[1]