タグ付けされた質問 「security」

ファイアウォール、ACL、AAA、およびネットワークを不正アクセスから安全に保つことに関連する他の多くを含む一般的なセキュリティトピックのディスカッションをマークする汎用タグ。

11
ネットワーク上の不正なワイヤレスアクセスポイントをどのように防止しますか?
ネットワークを通過するトラフィックの種類によっては、従業員がワイヤレスルーターを持ち込んでネットワークにセットアップするのは現実的ではありません。これは、多くの場合、セキュリティが確保されていないか不十分であり、ネットワークへのバックドアを提供するためです。不正なワイヤレスアクセスポイントがネットワークに導入されるのを防ぐにはどうすればよいですか?

8
イーサネットの壁のソケットに差し込む侵入者がネットワークにアクセスするのを止めるにはどうすればよいですか?
MACアドレスフィルタリングは、誰かがイーサネットウォールソケットに接続して自分のデバイスをネットワークに接続するのを防ぐ最適なオプションですか?デバイスのプラグを抜いてそのMACのクローンを作成するとどうなりますか?

5
シスコデバイスでイネーブルシークレットを設定する必要がありますか?
Cisco 2901ルーターをセットアップしています。コンソールラインにログインパスワードがあり、vtyラインは、公開キー認証によるssh接続のみを受け入れるように設定されています。補助回線はシャットダウンされます。ルーターにアクセスする管理者は2人だけであり、ルーターの設定を実行する権限が両方にあります。 私はシスコのギアの専門家ではありませんが、ルーター構成へのアクセスを保護するにはこれが適切であると考えています。ただし、私が読んだすべてのガイドでは、他のユーザーや回線のパスワードに関係なく、イネーブルシークレットを設定する必要があると述べています。 無効になっていることに気付いていない、有効化パスワードには他に何かありますか?コンソール、補助、またはvty回線以外にルーターにアクセスする方法はありますか? 編集: 私の状況をより明確にするために、実際の設定を以下に追加しました。次のように機能します。有効化パスワード、または内のusername設定とは別に設定が必要ip ssh pubkey-chainです。 aaa new-model ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ip ssh pubkey-chain username tech key-hash ssh-rsa [HASH] ip scp server enable line vty 0 4 transport input ssh
16 cisco  security 


6
パッシブインターフェイスのみでOSPFを保護する
OSPFを保護するには、1)OSPF認証を使用し、2)ospfネイバーを持たないインターフェイスでパッシブインターフェイスコマンドを使用する必要があることを知っています。ospf認証ではなく、passive interfaceコマンドのみを使用する場合、どのような脆弱性が残されていますか?
15 ospf  security 

1
IGMPスヌーピングの利点と欠点は何ですか?
新しいルーターは、IGMPスヌーピングを有効にするかどうかを確認しています。これに慣れていないので、私はインターネットを見て、次のウィキの説明を得ました: IGMPスヌーピングは、インターネットグループ管理プロトコル(IGMP)ネットワークトラフィックをリッスンするプロセスです。この機能により、ネットワークスイッチはホストとルーター間のIGMP会話をリッスンできます。これらの会話をリッスンすることにより、スイッチはどのリンクがどのIPマルチキャストストリームを必要とするかのマップを維持します。マルチキャストは、それらを必要としないリンクからフィルタリングされ、特定のマルチキャストトラフィックを受信するポートを制御します。 しかし、利点は何ですか?そして、それを有効にする前にどのような考慮事項(セキュリティ、パフォーマンスなど)を考慮する必要がありますか?私の見解は-安全であれば、なぜデフォルトでオンになっていないのですか?

1
エンタープライズネットワーク機器のハートブリードに対する脆弱性
2014年4月9日、The Heartbleedの脆弱性がOpenSSLチームによって開示されました。 Heartbleed Bugは、一般的なOpenSSL暗号化ソフトウェアライブラリの重大な脆弱性です。この脆弱性により、通常の条件下では、インターネットを保護するために使用されるSSL / TLS暗号化によって保護されている情報を盗むことができます。 heartbleedに対して脆弱なエンタープライズネットワーキングデバイスのリストを作成できますか?
14 security 

5
ソーシャルネットワークサイトのIPアドレスの検索
FacebookのIPアドレスのような会社を見つけるにはどうすればよいですか。私は職場でfacebookをブロックしようとしていますが、HTTPsとURLのブロックに問題があります。FacebookのIPをブロックするたびに、ポップアップが表示されます。 Facebook、Myspace、Snapchatなどが使用するすべてのIPを簡単に見つける方法はありますか?
14 ipv4  security  firewall  acl 


3
UDPポートが開いていることを確認する方法は?[閉まっている]
閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか? 質問を更新して、 Network Engineering Stack Exchangeのトピックになるようにします。 2年前に閉店。 ここにジレンマがあります。別のリモートデバイスと通信するデバイスがありますが、それらの間にファイアウォールがあります。これはUDP接続なので、特定のポートが開いているかどうかをテストするためにTCPユーティリティが機能しません。ファイアウォールから取得できることはわかっていますが、アクセス権がないため、ポートが開いていないことを証明する必要があります。 ソースシステムはWindows 7システムで、デスティネーションシステムはLinuxを実行しているアプライアンスです。


2
プロバイダーブリッジを介したMACSec暗号化の拡張
私はすでにSFについてこの質問をしましたが、こちらの方が適していると考えました。 プロバイダーブリッジを介してMACSec暗号化を拡張することはまったく可能ですか?典型的な802.1adの実装は暗号化されたフレームを転送できますか、それともブレークフレームの整合性を転送しますか? MACSecはホップバイホップのセキュリティを目的としていることは理解しています。キャリア上のポイントツーポイント暗号化、または考慮すべきその他の特別な考慮事項にMACSecを使用しない理由はありますか? MACSecハードウェアは、レイヤ2暗号化に関連する通常のコストの数分の1でワイヤスピードの暗号化を提供するためです。 新しいタグを追加する担当者はいませんが、MACSec、PBN、802.1ad、802.1aeなどに関連するタグを追加してください。

3
Cisco:VLANがCiscoルーターで相互に通信するのを防ぎます(代替ACL)
セットアップ:複数のVLANが構成されたCiscoルーター。 2つのVLANが互いに通信するのをどのように防ぐことができますか?通常、これは次のようなACLで行います。 access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 int vlan 1 ip address 1.1.1.1 255.255.255.0 access-group 102 in int vlan 2 ip address 2.2.2.2 255.255.255.0 access-group 102 in ただし、これはルーター上に構成された多くのVLANを処理する場合には便利ではありません。これを微調整したり、スケーラビリティを改善するための代替手段を使用したりする提案はありますか?

1
ネイティブVLANを使用すべきではないのはなぜですか?
現在CCNAセキュリティーについて勉強しており、ネイティブVLANをセキュリティー目的で使用しないように教えられています。シスコフォーラムからのこの古い議論はそれを非常に明確に述べています: デフォルトのVLANからVLANホッピングを実行する方がはるかに簡単であるため、デフォルトのVLANを使用しないでください。 ただし、実際の観点からは、実際の脅威に対処しているものを正確に特定することはできません。 私の考えは次のとおりです。 攻撃者はネイティブVLANにいるため、最初のスイッチによって変更されることなく転送される802.1qパケットを直接注入でき(ネイティブVLANからのものとして)、今後のスイッチはこれらのパケットを、選択した任意のVLANからの正当なパケットと見なします攻撃者によって。 これは実際にVLANホッピング攻撃を「はるかに簡単」にしたでしょう。ただし、最初のスイッチはアクセスポートで802.1qパケットを受信すると異常であると正しく見なし、そのようなパケットをドロップするため、これは機能しません。 非ネイティブVLANにいる攻撃者は、なんとかしてスイッチアクセスポートをトランクポートに変えます。トラフィックをネイティブVLANに送信するには、ネットワークインターフェイスでVLANを有効にする(4つのコマンド)代わりに、IPアドレスを変更(1つのコマンド)するだけで、3つのコマンドを保存できます。 私は明らかにこれを非常にわずかな利益と考えています... 歴史を掘り下げるとき、802.1qインジェクションには互換性のあるネットワークカードと特定のドライバーが必要になる可能性があるという古い推奨事項をどこかで読んだと思いました。このような要件は、攻撃者が802.1qパケットを注入する能力を実際に制限し、前のシナリオではネイティブVLANの活用をはるかに実用的にします。 ただし、これは現在のところ実際の制限ではないようで、VLAN構成コマンドはLinuxの(少なくとも)ネットワーク構成コマンドの一般的な部分です。 ネイティブVLANを使用しないというこのアドバイスは古くなっていて、歴史的および構成の健全性の目的のためだけに保持されていると考えることはできますか?または、ネイティブVLANが使用されているためにVLANホッピングが実際にはるかに容易になる具体的なシナリオはありますか?
10 vlan  security 

1
L-ASA-SC-10 =は再起動が必要ですか?
マルチコンテキストモードの既存のASA-5555Xがいくつかあり、トランスペアレントレイヤ2ファイアウォールとしてVLANごとに1つのコンテキストを使用しています。時間が経つにつれ、このソリューションに追加されており、5つのセキュリティコンテキストの元のライセンスを超えようとしています。 L-ASA-SC-10 =を購入しましたが、このアクティベーションキーを適用するためにASAを再起動する必要があるかどうかは不明です。アクティブスタンバイペアを解除する必要があることは知っています。 L-ASA-SC-10 =を実行中のASAに適用するには再起動が必要ですか?問題がある場合は、バージョン9.0(2)を使用しています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.