タグ付けされた質問 「security」

DropboxはストレージにAmazon AWSを使用しているようです。そのため、dropbox.comへのトラフィックをブロックまたは操作することはできません。 AmazonAWSに依存するWebサービスはたくさんあるので、そのドメインをブロックすることはできません。 Dropboxトラフィックの処理方法について何か提案はありますか？ 私はCisco ASAから作業していますが、これはすべてのファイアウォールマネージャに当てはまると思います

10 cisco  qos  security  cisco-asa  firewall 

FacebookはIPv6アドレススキームに関して非常に賢いですが、ACLについて考えさせられました。それに一致するCisco IOS IPv6 ACLを作成することは可能ですか？IPv4では、 'x'を 'do n't care'でヒットするために、10.xxx.10.xxxなどの中間オクテットを一致させることができます。これはIPv6では可能ではないと思います。少なくともIOS 15.1では不可能です。 私の例の場合、Facebookは賢いので、できればFACE：B00Cで簡単に一致させることができます。あるブロックが割り当てられているかどうかを調べなくても、その範囲で照合できるため、これは単純化されます。 2A03：2880：F000：[0000-FFFF]：FACE：B00C :: / 96 2A03：2880：F000 :: / 48で一致させるのが明白で通常の方法ですが、残念ながら、FBの範囲が広いかどうかは一目でわかりません（おそらく）。したがって、この特定のケースでは、FACE：B00Cパーツのみを照合できれば、FACE：B00Dに移動しないと想定して、使用しているすべてのものを照合できます。 IOSとIPv6 ACLではワイルドカードマスクを入力できないので、これはできないと思いますが、興味深い回避策があるかどうか知りたいです。大規模なプロバイダーの/ 32全体をブロックしたくないが、ある時点でDDoSまたはアグレッシブトラフィックのためだけにサブブロックをフィルター処理する必要がある場合があるため、これを知っておくと便利だと思います。 さらに、これにより、ポリシーベースのトラフィックのリダイレクトまたは優先順位付けが可能になります。アドバタイズが別のブロックにあることに気付いた場合は、QoSを変えることができます。たとえば、低帯域幅の混雑した衛星リンクに適した機能です。 編集：少し明確にするために。/ 32のような大きなブロック内の特定の範囲をブロックまたは許可する必要がある場合があります。これらはわずかに連続していて、数百のエントリではなく、ワイルドカードがそれらの大部分と一致する場合があります。これは、すべての10.x.10.0ブロックをルーティングする方法でトラフィックエンジニアリングにも使用できます。xが奇数の場合、あるルートと別のルートに行きます。 別の例は、ハッカーのグループ名を綴るパターンでIPv6ソースIPがスプーフィングされているDDoSです。これは少なくとも1回は発生します。それをフィルタリングできると便利です。 コンパクトなACLはクリーンですが、常に管理しやすいとは限りません。これらは良いアイデアか悪いアイデアか実践かもしれませんが、ここで議論するのではなく、自分が持っているツールと自分が作成しなければならない可能性のあるツールを理解しようとしているだけです。

9 security  ipv6  cisco-ios  acl 

Juniper EXシリーズスイッチのアクセスポートでIPv6 RAアドバタイズをブロックするにはどうすればよいですか？シスコがスパニングツリーのbpdu-guardと同様にオプションとしてra-guardを提供していることを知っていますが、Junosで同じことを行う方法がわかりません。

9 juniper  ipv6  security  juniper-junos 

一部の3com S4210スイッチでIPソースガードとDAIを使用してDHCPスヌーピングを設定しています。 スヌーピングデータベースでバインディングを記録する際に問題が見つかりました。PCがインターフェイスに接続されていることがわかっている場合、DHCPを使用します。スイッチはDHCPトラフィックがあることをデバッギングします。PC上の接続は割り当てられたアドレスで機能しますが、display dhcp-snoopingコマンドを実行してもレコードがありません。 テーブルラボでいくつかの実験を行ったところ、DHCPトラフィックが2つのアクセスポート（クライアントとサーバーの両方が同じVLANにあり、どちらもアクセスポートに接続されている）に入ると、記録されることがわかりました。 DHCPをトランクインターフェイスに接続した後（実際のネットワークと同じように、DHCPサーバーが別のスイッチに接続され、ルーターにリレーがある場合）、DHCPがそのトランクのタグなしVLANで通信していると、バインディングが記録されます（使用した場合と同じ動作） vlan 1のアクセスポートのクライアント、またはvlan Xのアクセスポートに接続されたクライアントで、トランクポートコマンドポートトランクpvid vlan Xに設定）。 DHCPトラフィックがタグ付きのトランクをスローする場合、バインディングはスイッチに記録されません。どのように構成されていても、クライアントはDHCPから正しいアドレスを受け取り、正しく通信できます。 適切に動作するバインディングdbがないと、IPソースガードとDAIを有効にできません。 このスイッチの最新のFWを入手できます（HPのWebページで見つけるのは簡単ではありませんでしたが、しばらくしてからGoogleがサポートしました） グーグルによって私はシスコ製品でvlanのdhcp-snoopingを有効にする必要があることを発見しましたが、3comでドキュメントやスイッチのコマンドラインで同様のコマンドを見つけることができませんでした。 誰かがこれらの問題を抱えていて、問題がどこにあるのかを理解しましたか？ HPに直接問い合わせることはできません。弊社のテクニカルサポートの保証がすでに切れており、彼らは私と話をしません（別の状況で試みました）。 回答ありがとうございます。 ミハル

8 security  dhcp  dhcp-snooping 

以下のためにリモートアクセス（RA）とのLAN-to-LAN（L2L）VPN、私は現在のCisco VPNのペアを操作するインターネットエッジの外側にルータとは何かにPIX 535sの内部ペアに結び付けられ内部に縛ら3005のコンセントレータ実際の内部ネットワークへの通過が許可される前のファイアウォール外部インターフェース。VPN 3005とPIX 535はどちらもASA-5545Xプラットフォームに置き換えられています。これらのファイアウォールは、主要なインターネットトラフィック用ではなく、VPN専用です。また、プライベートラインを介してデータセンターに入るトラフィックの内部ファイアウォールとしても機能します。 VPNファイアウォール（5545）の内部インターフェースが別のサブネットにある場合、セキュリティ境界のために、VPNトラフィックと潜在的に他のプライベートライントラフィックを処理する単一のファイアウォールに内部ファイアウォールACLを組み合わせて、ルーティングの問題を回避します。メインのインターネットファイアウォールから、またはそれは本当に重要ではないのですか？ OSPFは現在、インターネットファイアウォール（w / default-originate）およびVPN 3005で実行されています。このデータセンターはWebトラフィックの主要なDCであるので（パンとバター）、配置の潜在的な問題を排除する必要があります。少しでもこれに干渉する可能性のあるVPNファイアウォール。 ** 5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にAGGスイッチにトランク接続してセキュリティを向上させるか、内部回線を直接Aggレイヤにドロップする必要があります。また、プライベートライントラフィックがさらに別のインターフェイスを通過する可能性があることも考慮してください。 5545の将来。 問題となっているASA-5545X *について、L3接続の関連部分のみを以下に示します。 インターネット | エッジRTR +エッジRTR | 5545 *（VPN /内部fw）+ 5540（DCのトラフィックの送受信用のインターネットfw） | Agg-1 + Agg-2 | 等 L2スイッチのペアは、Aggスイッチに到達する前にすべてのエッジデバイスを接続します。 ファイアウォールの外側のパブリックIPスペース、内側はプライベート。 （各ファイアウォールは、示されていない個別のフェイルオーバーペアの一部です。5545および5540 相互作用はありません。） ベストプラクティスと見なすことができる回答またはコメントを探すこと、またはあなたが見つけたものは、典型的なエンタープライズネットワークで最もうまく機能します。

8 cisco  security  cisco-asa  vpn  switching 

私はこれを確認するためのラボASAを持っていないので、Ciscoのドキュメントを読んでも、確実に％100未満でした。 私が本当に知りたいのは、グループポリシーから属性をプルした場合、DfltGrpPolicyですでに設定されているものに置き換えられますか？ ここに良い例があります： group-policy DfltGrpPolicy attributes dns-server value 1.1.1.1 group-policy BLAH-VPN attributes dns-server value 5.5.5.5 次に、dns-serverステートメントをBLAH-VPNから削除すると、そのグループはDfltGrpPolicyで設定された値を使用しますか？

8 cisco  security  cisco-asa  firewall 

誰かが私を啓発するのを手伝ってくれますか？これらのコネクタは正式な名前/標準を持っていますか？これらは、英国の住宅顧客向けのストリートサイドISPブロードバンドキャビネットにあります。これらのケーブルはそれぞれ顧客の家に直接通じていると思いますか？ 特定のターゲットに対して物理的な中間者攻撃を開始するのは、それほど簡単なことではないでしょうか？写真の右側にあるすべての「厄介な」配線の目的は何ですか？

8 security  architecture 

2段階認証プロセスにもかかわらず、このIPアドレスがGmailアカウントにアクティブにアクセスしているのがわかります。 whois 243.25.203.20は、次のメッセージを生成します。 このIPを使用している機能を確認するにはどうすればよいですか？

8 security 

ICMPスプーフィングはどの程度実用的ですか？ シナリオ1：NAT環境で、NATはどのようにしてICMPセッション（接続指向ではないため、技術的にはセッションではない）を追跡しますか？ECHO / ECHO応答の場合、Windowsは同じ識別子（0x1）とシーケンス番号を使用し、パケットごとに256インクリメント。2つのホストが同じ外部サーバーにpingを送信する場合、NATは着信ICMPパケットをどのように区別しますか？内部ネットワークが送信元アドレスをフィルタリングしない場合、ECHO応答を偽造することはどれほど難しいですか？使用例：監視に使用されるicmp ping、偽造されたICMP応答（宛先に到達できない、高遅延など）を受信すると、ロードバランサーが正しくない/不要なアクションを実行する場合がある シナリオ2：通過パス上のパケットを検査する、一部のIPSデバイス（GFWなど）。ICMPエラーメッセージを偽造してステルス接続を強制終了することは、どれほど実用的ですか。TCP RSTを送信する代わりに、宛先ポート到達不能/パケットが大きすぎる（これは興味深いかもしれません:)）偽造ソースIP（反対側の正当なIPまたはパスのさらに下のいくつかのホップ）を送信します。元のIPヘッダーを追跡し続けると、最初の64バイトは高価になる可能性がありますが、現在利用可能なコンピューティング能力があれば、それは可能ですか？ 基本的に、NATの内部または外部のいずれかから、偽造されたICMPが損傷/混乱を引き起こす可能性はどのくらいありますか？ICMPフラッドについて話しているのではありません。 ところで、NATはTCP / UDP以外のIPプロトコルを処理できますか？実際には、さまざまなICMPタイプをどのように処理するのか正確にはわかりません。

8 security 

DEFCONの講演「A Bridge Too Far」では、正規のマシンとネットワークの間に透過的なブリッジを設定することにより、有線802.1xネットワークアクセス制御をバイパスする方法について詳しく説明しています。認証が実行されると、トランスペアレントブリッジは自由に改ざんしてトラフィックを注入できます。 このリスクを軽減するために導入できる管理策はありますか？

7 security  ieee-802.1x 

ローカルで定義されたアカウントにパスワードの複雑さを適用するパスワードポリシーを構成することはまったく可能かどうか疑問に思っていました。TACACS +とRADIUSで可能であることは知っていますが、ローカルで定義されたアカウントにそのようなポリシーを適用できるかどうかを知る必要があります。 私が対象とするデバイスは、IOSとNX-OSを実行しています

7 cisco  cisco-ios  security  cisco-nexus-5k  cisco-nexus-7k 

物理的に安全ではなく、ゲストが行き来する場所にスイッチを設置する必要がある状況があります。これは、スタッフに物理的にアクセスできる多くの非スタッフメンバーがいる施設のサウンドデスクのオーディオラックにあります。 HP ProCurveスイッチです。次の予防策を講じる予定ですが、見逃した抜け穴がないか探しています。 エポキシではなく、スイッチの前面にある物理デバイスのリセットボタンを（ソフトウェアで）無効にする アクティブに使用されていないすべてのポートを無効にする メインネットワークから信頼性の低いネットワークに移動するアクティブポート用のポートベースのVLAN（ただし、dmzスタイルの完全に信頼されていないネットワークにはアクセスできません） ゲストのゲストVLANのキャプティブポータルにすぐに移動する2つのポートを有効のままにします。（これらのポートの使用は公開文書化されます） アクティブな非ゲストポートの既知のMACアドレスに基づくポートベースの802.1X認証 アップリンクポートは、未使用のネイティブVLANで802.1qトランキングを使用します。 ケーブルは静的です。2つのゲストポートを除いて、実質的に変更されることはありません。 ある場所を通り抜ける人たちがスイッチの内容を知りたがるので、彼らが積極的に破壊しようとしない限り、ネットワークの保護された部分に侵入したくないという事実を知っています。セキュリティ。（そして、彼らがそうするなら、それはsecurity.seの問題です）

7 security  hp-procurve 

ユーザーが誤ったパスワードを何度も入力した場合に、Cisco IOSデバイスを構成できないようにしようとしています。これは私が使用しているコマンドです： Router(config)# login block-for 120 attempts 3 within 60 不正なパスワードが60秒以内に3回入力された場合に、120秒間のログイン試行をブロックする必要があります。私はこれをパケットトレーサーで試してみましたが、機能していないようです。ルーターのユーザーEXECモードにアクセスして、3回試行してもブロックされない不正なパスワードを使用しようとすると、唯一のことは、「不正なパスワード」の場合は、引き続き試行できます。このコマンドはどのタイプのログインをブロックすることになっていますか？ユーザーEXEC、特権EXEC、コンソールポート？

7 cisco  security  cisco-ios 

ゲストネットワークでdhcp snoopingとダイナミックARPインスペクションを有効にする方法を理解しようとしていますが、少し混乱しています... ここに状況があります： ハブアンドスポークトポロジがあり、メインコアスイッチが複数のレイヤ3 /ディストリビューションスイッチに接続しています。エッジスイッチはすべて、ゲストVLAN 10でゲストネットワークトラフィックを伝送します。そのトラフィックは、VRFを介してレイヤー3の残りのネットワークから分離されます。各ディストリビューションスイッチとメインコアの間には、異なるゲストネットワークVLAN、vlan 8xxがあります。アクセスレイヤスイッチはCisco 2960Sで、コア/ディストリビューションスイッチは4507です。 dhcpサーバーはメインコアに接続します。 VLAN 10でdhcpスヌーピングを有効にし、トランクインターフェイスを信頼できるインターフェイスとして設定する必要があることはわかっていますが、混乱しているのは、vrfに渡されるディストリビューションレイヤーです。VRFゲストVLAN（8xx）でもスヌーピングを有効にする必要がありますか？

7 cisco  security  dhcp  vrf  dhcp-snooping 

ASA 5525-X IPSバンドル（.250）とIPS（.37）の管理IPがある管理ネットワーク（192.168.25.0/24）があります。IPSには、ASAの背後にあるレイヤ3（.1）スイッチのデフォルトゲートウェイがあります（Ciscoのドキュメントによると）。 トラフィックをIPSに戻すために、L3スイッチを指す192.168.25.0/24のルートを作成しました。 私が入力すると#sh routeASAに： C 192.168.30.0 255.255.255.0 is directly connected, inside C 192.168.25.0 255.255.255.0 is directly connected, management C 192.168.35.0 255.255.255.0 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside 同時に#sh running-config route： route outside 0.0.0.0 0.0.0.0 192.168.35.1 1 route inside 192.168.25.0 255.255.255.0 192.168.30.2 1 したがって、ルーティングテーブルには、サブネットが直接接続されており、管理インターフェイストラフィックがIPSに渡されないという情報があります。しかし、IPSはインターネットにアクセスでき、トラフィックはL3スイッチを通過します（カウンターを確認しました）。 …

7 cisco  security  cisco-asa  firewall