我们使用安全指标进行PCI合规性扫描。 过去没有任何问题,但是我们最近的一次扫描表示,由于“HTTP反向代理检测”,我们失败了。 我猜这与静态资产或heroku在幕后的路线有关。 无论哪种方式,我不知道该去哪里。 做了一些search,我找不到任何东西。 Heroku的支持一直没有用。 我们在Ruby 2上使用Rails 4.下面是来自Security Metrics的全部报告错误。 任何帮助,将不胜感激。 TCP 443 https 5.8说明:HTTP反向代理检测摘要:此端口上正在运行透明或反向HTTP代理。 影响:此Web服务器可通过反向HTTP代理访问。 收到的数据:GET方法揭示了这个web服务器上的代理服务器:HTTP / 1.1 vegurparsing:n / a风险因素:中/ CVSS2基本评分:5.8(AV:N / AC:M / Au:N / C :P / I:P / A:N)CVE:CVE-2004-2320其他CVE:CVE-2007-3008 CVE-2005-3498 CVE-2005-3398 TCP 80 http 5.8说明:HTTP反向代理检测摘要:此端口上正在运行透明或反向HTTP代理。 影响:此Web服务器可通过反向HTTP代理访问。 收到的数据:GET方法揭示了这个web服务器上的代理服务器:HTTP / 1.1 vegurparsing:n / a风险因素:中/ CVSS2基本评分:5.8(AV:N / AC:M / Au:N / C :P […]
我公司的员工约有600-700名远程员工,每个员工都是一个企业IP电话,一个瘦客户端计算terminal。 在我们目前的部署中,两个设备都在我们的公司办公室configuration(默认设置,VPN等),并运送给最终用户。 我们在当前的部署中遇到了一些问题,其中包括我们的支持团队在需要支持时几乎不可见我们的员工家庭networking(难以确定问题是出在我们身边还是员工ISP。 我们正在考虑更换我们的标准基础设施部署,以包括一个托pipe接入点(可能是思科Meraki z1),以便更好地了解我们员工的家庭networking体验。 我们要求员工通过他们的Meraki连接尽可能多的家庭设备(以便更好地使我们能够为他们的工作设备提供QOS保证)。 这种变化使我感到不安: 1)目前,发给我们员工的两种设备都pipe理着自己的VPN设置,所有其他通信端口都被locking,所以我们通过审计确信设备只通过encryption通道进行通信。 build议使用Meraki的部署包括一个不由VPNpipe理的新networking链路(Meraki本身将通过VPN连接,设备将不会) 2)也许在将设备连接到Meraki AP与员工将其设备直接连接到其家庭路由器的当前部署之间没有什么明显的区别,但是我发现自己希望更好地理解Meraki z1上的状态防火墙设置,从企业设备分离家庭设备。 有没有经验丰富的Meraki用户或networking安全专家可以评论这些担忧?
我刚刚开始使用盐,我想知道saltmaster如何对客户进行身份validation。 我知道,当连接一个仆从时,主人必须接受仆从的公共钥匙,因此没有未经授权的仆人可以连接。 但是,是什么让一个人假装成为盐头人,让所有的奴才连接到错误的服务器上,并且愉快地执行代码并给予攻击者完全的访问权限? 当然,奴才连接到一个给定的IP地址或主机名,但它应该是相当容易劫持…
我从源代码安装了snort-2.9.7,并以IDS身份启动: % snort -devQ -A console -c /etc/snort/snort.conf -i eth0:eth1 Enabling inline operation Running in IDS mode … configuration文件是非常微不足道的: # var RULE_PATH rules # Set up the external network addresses. Leave as "any" in most situations ipvar EXTERNAL_NET any # Setup the network addresses you are protecting ipvar HOME_NET [10.10.10.0/24] config daq: afpacket config daq_mode: […]
下面列出了我们正在考虑的3个选项。 哪一个最好,还是有更好的解决办法,我们没有考虑。 所有的服务器都是nginx的linux。 你有没有看到任何一个特别错误? 额外的澄清。 nginx的php-fpm服务器将有开放的端口到SQL服务器和文件共享,因此中间防火墙。 此外,可能需要对video进行转码,以便反向代理服务器将负载均衡nginx php-fpm服务器的实例。 1)互联网 – >防火墙 – >在DMZ中的nginx反向代理 – > firewall – > nginx php-fpm – > files&sql server 2)互联网 – >防火墙 – >在DMZ中的nginx php-fpm – > firewall – > files&sql server 3)互联网 – >防火墙 – >在DMZ中的nginx反向代理 – > firewall – > nginx php-fpm – > vm firewall – > […]
有没有一种方法(使用代理或其他方式)隐藏在端口443上侦听的RDP服务,使得从浏览器发出的HTTPS请求服务于网站,而RDP请求正常连接?
从安全angular度来看,MS CRM 2013或CRM 2015的IFD部署有多安全? 我知道这是将MS CRM公开给networking的推荐方式,但是这些漏洞有哪些? build议还使用一种Web应用程序防火墙还是已经包含在软件或部署本身? 什么是最佳实践? 我已经在网上search了这个,但是我不能得到满意的答案。
我运行一个运行Ubuntu Server 14.04的小型服务器,刚刚注意到用户主目录中的.ssh文件夹可以通过SMB和NFS访问。 SMB和NFS都是安全的,但是我觉得这是服务器安全方面的一个弱点,因为我只通过密钥authentication限制了对SSH的访问。 除了通过SSH之外,每个人在确保无法访问.ssh文件夹方面做了什么? 我一直在环顾四周,找不到一个普遍接受的方法。 我已经考虑限制和排除对NFS和SMB共享内的某些文件夹的访问,但这种感觉更像是一种解决方法,而不是对我的特定解决scheme。
通过备份解决scheme工作,可以使用一些安全协助。 请看下面。 这个过程 对于我们的编辑业务,我们有一个非现场备份服务器,我们每晚使用rsync通过SSH进行更新。 备份脚本: 唤醒远程机器 装入encryption的卷 分析本地RAIDarrays上的文件与备份机器上的单个LUKSencryption磁盘相比较 将它们拆分,以尽可能less的数据传输来适应这些备份驱动器 Rsync的的 卸载encryption的卷 进行SMARTtesting来解决问题 使远程机器进入睡眠状态 问题 现在进程正在进行,所有的数据传输都被encryption,并且驱动器本身被encryption(系统本身除外),并通过远程服务器发送LUKS密码。 这主要是安全的,但理论上远程站点的恶意工作人员可能会闯入系统并通过如下方式监视stream量: 启动到单用户模式 更改root密码 正常启动 以root身份login 更改密码文件,并隐藏痕迹 当脚本远程login并安装驱动器时,监视所有的启动,文件名,访问文件系统 有没有一种方法可以解决这个问题,或者检测这些types的现场攻击,而不必在发送到远程服务器之前重写所有要encryption的东西(这会使我们的过程更加磁盘和/或带宽密集型,我们正在讨论许多TB数据的)。 谢谢。
寻找任何想法,我们发现我们的组策略(默认策略)不再适用我们的帐户策略(密码年龄/复杂性/历史logging等)。 我们的区议会仍然有本地政策的定义,所以广告用户仍然坚持政策,但是我们不能解释为什么这些政策消失了。 任何想法或build议在哪里检查将不胜感激。 我们重新制定了这些政策,并确认这些政策正在整个域内分发。