由于最近一次渗透testing的结果,我们没有得到很好的结果,我们注意到我们面向互联网的全functionExchange 2010 SP3服务器没有安装防火墙,因此,完全暴露于互联网。 我亲自validation了结果,这确实很糟糕。 通过我们的Exchange服务器,SMB,LDAP,远程registry,RDP以及您在Windows Active Directory环境中find的所有其他默认服务都会暴露给互联网。 当然,我想解决这个问题,并计划用Windows防火墙来做到这一点,但是在谷歌search中,我所能find的关于官方来源的端口引用似乎适用于内部交换stream量 ,一个Technet博客文章说,不要使用这些引用来configuration您的防火墙 ,因为Exchange服务器之间唯一支持的configuration相当于一个ANY:ANY allow规则。 :/ 鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道什么防火墙规则是一个所有的angular色在互联网所面临的Exchange服务器所需? (对于任何拥有官方MS来源的人来说,奖金也是一个小小的奖励)。 在我头顶,有一些偶然的交换pipe理员和偶然的IT安全人员的经验,我已经拿出了下面的列表(这对我来说似乎太长和太短),但在我走之前,可能会破坏一千个用户的电子邮件,我真的很想核实一下我打算做的事情。 TCP:25 for SMTP TCP:465 for SMTPS TCP:587 for SMTP TCP:80 for OWA http to https redirect TCP:443 for https/OWA/Active Sync/EWS/Autodiscover TCP:143 for Endpoint Mapper/IMAP4 Client Access TCP:993 for IMAP4 Client Access (also) TCP:110 for POP3 (because some technological dinosaur […]
nmap -p 7000-7020 10.1.1.1 将输出所有过滤的端口 Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET Nmap scan report for 10.1.1.1 Host is up (0.00091s latency). PORT STATE SERVICE 7000/tcp filtered afs3-fileserver 7001/tcp filtered afs3-callback 7002/tcp filtered afs3-prserver 7003/tcp filtered afs3-vlserver 7004/tcp filtered afs3-kaserver 7005/tcp filtered afs3-volser 7006/tcp filtered afs3-errors 7007/tcp filtered afs3-bos 7008/tcp filtered afs3-update […]
我有许多思科IP电话以以下方式运作(过于简化): 与IP协议,DNS,TFTP等协商 在TFTP服务器上查找SEPXXXXXXXXXXXX.cnf.xmlconfiguration文件,其中X是电话的MAC地址 parsingconfiguration文件以加载其configuration并更新固件(也存储在TFTP服务器上),如有必要 这里的问题是我有一些电话需要放在小办公室或人民的家中。 我需要能够随时更新configuration文件,所以我不能预先configuration手机并发送出去。 如何通过互联网使TFTP访问安全,并防止有人未经授权访问configuration文件? 我知道我可以做一个基于IP的ACL,但这并不能阻止某人欺骗IP的可能性。
我正在开发一个需要两台电脑连接的系统。 我决定通过直接以太网电缆将两台机器连接在一起。 我的老板不喜欢,因为中间没有防火墙。 两台计算机都连接到单独的公司networking。 电缆将基本上桥接这两个networking构成安全问题 然后,我的老板决定,我们购买CISCO防火墙只是为了连接两台机器。 我告诉他为什么不使用Windows防火墙? 这不够吗? 答案:这不是标准! 有没有降级Windows防火墙的特定标准? 谢谢
这个古老的问题。 我已经看到了这方面的反应,但从来没有一个全面的答案,为什么你要在你的信任networking中激活防火墙。 当我说“可信”时,我(通常)是指已经在主动防火墙之后的局域网。 我想有全面的理由,为什么你会想这个。 我听说过的唯一理由是防火墙在您信任的networking中处于非活动状态,导致“脆脆”的安全安排,破坏“脆硬”的外部防火墙,暴露出所有“软软”的内部机器。
在客户站点中,networking团队在客户端和服务器之间添加了防火墙。 大约40分钟的空闲时间后,这会导致空闲连接断开。 networking人士说,防火墙没有任何空闲的连接超时,但事实是空闲的连接被打破。 为了解决这个问题,我们首先configuration了tcp_keepalive_time = 300,tcp_keepalive_intvl = 300和tcp_keepalive_probes = 30000的TCP keepalive服务器(一台Linux机器)。 这是有效的,连接可以持续数天或更长时间。 但是,我们也希望服务器检测到死的客户端并终止连接,所以我们将设置更改为time = 300,intvl = 180,probes = 10,认为如果客户端确实存在,服务器会每隔300s (5分钟),并且客户端将以ACK进行响应,并且防止防火墙将其视为空闲连接并将其消除。 如果客户端死了,10次探测之后,服务器将中止连接。 令我们吃惊的是,这些空闲而又活跃的联系人在大约40分钟后就像以前一样死亡。 运行在客户端上的Wireshark在服务器和客户端之间根本不显示任何keepalive,即使在服务器上启用keepalive也是如此。 这里会发生什么? 如果服务器上的keepalive设置是time = 300,intvl = 180,probes = 10,我认为如果客户端处于活动状态但空闲,服务器将每隔300秒发送一次keepalive探针,客户端已经死了,它会在300秒后发送一个,然后每隔180秒再发送9个探测器,然后再杀死连接。 我对吗? 一种可能性是防火墙以某种方式拦截来自服务器的keepalive探测器,并且无法将它们传递给客户端,并且获得探测器的事实使得认为连接处于活动状态。 这是防火墙的常见行为吗? 我们不知道涉及哪种防火墙。 服务器是Teradata节点,连接是从Teradata客户端实用程序到服务器端的端口1025的数据库服务器,但我们已经看到与SSH连接相同的问题,所以我们认为它会影响所有TCP连接。
我们在使用应用程序内购买来解锁可下载内容的iOS应用程序存在问题,但似乎只能从中国获得。 我们看到很多来自中国的负面评论。 我们在应用程序购买过程中涉及到在DigitalOcean上托pipe的https服务器,该服务器validation收据并发回Amazon CloudFront URL以从中下载。 我已经用greatfire.org检查了我们的服务器,并且它变回了绿色。 CloudFront或直接S3链接似乎也不被阻止。 我已经在PureVPN上build立了一个帐户,并使用了他们的中文服务器(通过它们发送所有stream量),但是我不确定这些服务器是否真的在中国,因为下载过程可以正常工作,而且我可以访问Gmail / Facebook / NYTimes 。 我能模拟在中国的最好方式是什么,在防火墙的后面?
(从SO移动) 我有保护SIP服务器的iptables。 它阻止除了我专门打开的IP以外的所有IP,而且似乎几乎适用于所有人。 我已经从很多不是白名单的IP地址进行testing,他们都应该放弃。 但是,我拿起了一个似乎能够绕过iptables规则的“黑客”。 他的调查邀请通过,我不知道如何,甚至可能。 在十年之内,我还没有见过这个。 我想这一定是我所做的,但是我看不见。 这样创build的iptables(在顶部定义了MYIP – redacted): iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -d $MYIP –dport 22 […]
我在Windows 2008服务器上收到很多失败的login尝试(每秒1次),我已经设置本地安全策略,在login尝试次数过多时自动locking一个帐户,但是有没有办法自动将IP地址包含在Windows防火墙,以便它会被暂时封锁(比如30分钟)?
我正在尝试安装OpenVPN tun来连接两个局域网 打开的VPN连接已经启动,但是我的路由或NAT有问题。 我需要的是一个在服务器和客户端应该看起来像什么样的路由openvpn设置的例子。 主要路由表,Nat翻译,防火墙等 这是我的工作: 我的OpenVPN客户端可以访问服务器端的networking,但是我的服务器甚至无法ping通我的OpenVpn客户端的eth0 我的服务器路由: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 […]