network-security

OpenVPN“TLS 错误:TLS 密钥协商失败”;可能存在恶意访问
network-security

OpenVPN“TLS 错误:TLS 密钥协商失败”;可能存在恶意访问

我有一个装有 OpenVPN 2.5.5 的 Ubuntu 服务器。以下是服务器配置 port 1194 proto udp dev tun ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/issued/server.crt key /etc/openvpn/server/private/server.key dh /etc/openvpn/server/dh.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-per...

Admin

Azure 托管标识 Arc 启用服务器和操作员安全性
network-security

Azure 托管标识 Arc 启用服务器和操作员安全性

我有一台启用了 Arc 的服务器,该服务器使用托管标识连接到 Azure Key Vault。 IIS 托管应用程序能够毫无问题地访问密钥保管库,但存在一个可能存在安全风险的安全元素。 如果操作员登录到机器上,他们是否能够访问密钥保管库,因为整个服务器具有托管标识,因此理论上他们可以在机器环境中运行 powershell 命令来查询密钥保管库? ...

Admin

为什么我的系统日志中会收到这些随机的 [UFW BLOCK] 请求?
network-security

为什么我的系统日志中会收到这些随机的 [UFW BLOCK] 请求?

我刚刚注意到,在我的 Ubuntu 服务器 22.04 中,大量此类随机请求被 UFW 阻止 9:34 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=193.254.3.18 DST=[MY_SERVER_LOCAL_IP] LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56991 DF PROTO=TCP SPT=53380 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 kernel 9:34 AM [UFW BLOCK] ...

Admin

从特定 IP 地址获取随机 http/s 请求
network-security

从特定 IP 地址获取随机 http/s 请求

使用的堆栈:ExpressJs、NodeJs、Docker、Nginx、Ubuntu 20.04 我的后端托管在DigitalOcean droplet使用上面提到的技术堆栈。我的服务器经常多次受到特定 http/s 请求的攻击,这些请求试图读取有时敏感的信息(例如 env 文件)。这些请求来自本地网络(::ffff:192.168.128.6)以及公众。例如: 1. /wp-admin/.env 2. /api.mydomain.com/.env 3. /library/.env 4. /new/.env 5. /old/.env 6. /lo...

Admin

Windows 安全事件 ID 4769 单个用户域上的 Kerberos 错误
network-security

Windows 安全事件 ID 4769 单个用户域上的 Kerberos 错误

我有一个测试实验室,里面有一台 Windows Server 2019 和一台与之连接的 Windows 10 Pro PC,只有一个用户,也就是我。我在上面测试我们自己的软件,仅此而已。 截至过去几天,我看到此错误: 日志名称:安全 来源:Microsoft-Windows-Security-Auditing 日期:2023 年 11 月 19 日上午 10:33:26 事件 ID:4769 任务类别: Kerberos 服务票证操作 级别:信息 关键词:审计失败 用户:N/A 计算机:SERVERNAME.domain.local 描述:请求了 Kerb...

Admin

Windows Mac Ubuntu 的无线 SSID 限制
network-security

Windows Mac Ubuntu 的无线 SSID 限制

我是一名 IT 管理员,我们正在使用 Symantec EndPoint 保护,通过这种方式,我们限制了外部 USB 访问。现在,我需要只允许办公室提供的无线接入点访问办公室端点(台式机和笔记本电脑),端点不应能够查看和访问任何其他无线接入点(可以是员工个人 wifi 热点和邻居 wifi)。我们正在使用的 Symantec(云 SEPM 14.0)没有配置此特定无线限制的功能。 我已经尝试通过 Windows AD GPO 来满足这些限制,但如果个人热点和邻居的无线 SSID 名称与白名单中的相同,则可以访问它们。而且这仅适用于 Windows,我们需要在...

Admin

通过 AWS 应用程序保护外部数据库访问
network-security

通过 AWS 应用程序保护外部数据库访问

今天,我们有一个解决方案,其基础设施完全托管在 AWS 上。除其他外,还有一个 API(API 网关 + lambda),它通过由安全组和数据库身份验证保护的 VPC 到 VPC 连接与数据库通信。出于管理目的(也使用安全组),数据库仅向一小部分知名 IP 地址公开到 Internet。我认为这种设置相对安全,因为只能从知名 IP 地址和我们的 lambda 访问数据库。 在另一个环境中(针对我们的一个客户),我们计划将数据库外部化到另一个云托管提供商(OVH),以便数据存储在法国公司而不是亚马逊。 我们应该如何设置网络基础设施以在该环境中保持相同的安全级别...

Admin

使用 Always On 技术或第三方 VPN 客户端保护 VPN 访问?
network-security

使用 Always On 技术或第三方 VPN 客户端保护 VPN 访问?

我对所有 Windows 10 和 11 工作站使用混合 Azure AD Join,但不对 Windows Server 操作系统使用。 那么,我可以使用 Always On VPN 或 Microsoft Entra VPN 产品,而不是手动将第三方 VPN 客户端部署到每个工作站吗? 以下是我正在试用的第三方 VPN 列表: https://learn.microsoft.com/en-us/windows-server/remote/remote-access/overview-always-on-vpn https://www.paloaltone...

Admin

Docker 和 Nginx 反向代理最佳实践
network-security

Docker 和 Nginx 反向代理最佳实践

我最近发现了一些可以实施的基本安全措施,以确保我的 VPS 更安全。我尝试实施这些措施,但遇到了一些问题。我不知道下一步该怎么做。 首先,我没有手动处理 nginx 配置,而是设置了 nginx 代理管理器。到目前为止,它对我来说效果很好。这与我发现的安全问题无关,但它确实让我的生活更轻松,因为我过去使用 nginx 的方式更手动。 我将我的域名服务器指向 cloudflare,这样我的 VPS 的 IP 地址就可以被代理了。我进行了 DNS 查找,但在任何地方都找不到我的服务器 IP。我在终端中运行 tracepath 到我的域,也没有在那里看到我的 IP...

Admin

有没有办法从不与主机共享的网络适配器访问 Hyper-V 主机?
network-security

有没有办法从不与主机共享的网络适配器访问 Hyper-V 主机?

我正在考虑将防火墙移到 Hyper-V 内部。将只有一个客户操作系统连接到虚拟交换机,并且客户操作系统是防火墙操作系统。而防火墙操作系统上的第二个适配器将连接到内部网络虚拟交换机。 但我担心安全性,特别是因为这个接口面向公共网络。 那么,如果我不与管理操作系统共享网络适配器,有什么办法可以访问主机操作系统吗? 无论如何,我的意思是,无论需要什么远程攻击。合法或非法,官方或非官方,用任何手段,入侵主机。Hyper-V 存在此漏洞的可能性有多大? ...

Admin

有没有办法可以排除通过 INADDR_ANY 绑定的网络接口?
network-security

有没有办法可以排除通过 INADDR_ANY 绑定的网络接口?

在网络编程中,通常将INADDR_ANY(或IN6ADDR_ANY)作为第二个参数传递给绑定(),告诉网络堆栈您希望套接字从机器恰好拥有的任何网络接口接收连接/流量。许多程序都这样做,因为这通常是最有用的行为。另一个常见选项是指定要绑定到的单个网络接口。 但是,我有一个用例,我希望我的 Linux 机器上的一个特定网络接口被“保留”,即它不包含在绑定到 的套接字使用的网络接口集中INADDR_ANY。特别是,我希望这个网络接口只能由明确绑定到其 IP 地址的套接字使用(或者可能已经执行了其他一些明确步骤来表明它们知道这个网络接口的特殊状态并希望使用它)——如...

Admin

VPN 取代 VLAN
network-security

VPN 取代 VLAN

我的网络有大约 8,000 名用户,他们在多栋大楼里工作。员工流动频繁,目前迫使交换机端口上的 VLAN 配置发生变化。此外,我们组织中有许多设备制造商,例如 Juniper、HP/Aruba、Cisco、TP-Link 和华为。 我想在交换机上仅使用几个 VLAN:VoIP、打印机、内部网络 (Intranet)。仅通过身份验证后的 VPN 访问互联网。我需要收集日志 (IP <-> 用户) - 适用我国法律。我们组织中有一个 radius 服务器,我可以使用它来授权用户。 是否有可能基于开源软件构建 VPN 集群? - 我需要 HA 解决方案...

Admin

DigitalOcean 网络防火墙仅允许 22 以外的端口上的 SSH 连接
network-security

DigitalOcean 网络防火墙仅允许 22 以外的端口上的 SSH 连接

我在 DigitalOcean 上有一个启用了 IPv4 和 IPv6 的 droplet。该 droplet 位于 Digital Ocean 网络防火墙后面,防火墙规则如下: 入站: SSH TCP 22 全部 IPv4、全部 IPv6 HTTP TCP 80 全部 IPv4、全部 IPv6 HTTP TCP 443 全部 IPv4、全部 IPv6 出站: ICMP ICMP 全部 IPv4 全部 IPv6 所有 TCP TCP 所有端口 所有 IPv4 所有 IPv6 所有 UDP UDP 所有端口 所有 IPv4 我的理解和期望是,这将阻止除...

Admin

Wireguard VPN 未进行握手
network-security

Wireguard VPN 未进行握手

我遇到了一个麻烦,我有一台配置了 Wireguard 的服务器,密钥由 wg 命令行生成。我已经下载了 Windows 版 Wireguard,并将公共服务器密钥放在客户端对等体上,将公共客户端密钥放在服务器对等体部分上。我的疑问是:客户端是否配置为访问服务器端点外部 IP?我尝试从客户端指向外部和内部 (LAN) IP,但不起作用。我正在使用 VirtualBox 并采用以下方案: 服务器:1 个网卡 - 模式 NAT;1 个网卡 - wg0 (wireguard) 客户端 Windows 10:1 个网卡 - wg0 (wireguard)。没有其他网卡...

Admin