Google上查了好久,結論是
- 第4埠是切割給MOD用的。
- 防火牆檔掉。
2012年8月4日 星期六
2012年4月3日 星期二
DNS 資源記錄 (Resource Record)
區域內所建立的資料稱為資源記錄(RR, Resource Record),常用的種類有(如下圖):
─ 主機記錄 (A Record, Address Record):記錄電腦主機的 DNS 名稱與 IP 位址的對應關係。
─ 別名記錄 (CNAME Record, Canonical Name Record):電腦主機的另一個名稱,一部電腦主機可以擁有多個不同的別名。
─ 郵件交換程式記錄 (MX Record, Mail eXchange Record):記錄指定網域的郵件伺服器 DNS 名稱。
─ 啟動授權記錄 (SOA Record, Start Of Authority Record):在區域建立時,系統會自動新增一個啟動授權記錄,記錄此區域的資料更新由哪一個 DNS 伺服器負責。
─ 名稱伺服器記錄 (NS Record, Name Server Record): 記錄 DNS 資料庫中有哪些電腦是名稱伺服器,不可以用 IP 位址表示,一個區域可以有多筆名稱伺服器紀錄。
資料來源:http://192.192.75.66/elearn/winserver/
2012年3月27日 星期二
無線區域網路的安全性選擇
VPN 是一套可在不安全的網路中 (如網際網路) 安全周遊的絕佳解決方案 (不過 VPN 實作的品質互異)。然而,這不一定是保障內部 WLAN 安全的最佳解決方案。對於這類的應用程式,與 802.1X 解決方案相較之下,VPN 只提供很低或甚至沒有提供任何額外的安全性,同時卻也增加了複雜度和成本、降低使用性,並造成重要的功能無法運作。
:
許多分析團體和廠商都做出不明確的假設,認為 VPN 安全性一定比 WLAN 好。這對靜態 WEP 可能不假,但對於本文所述的 802.1X EAP 型解決方案就不一定如此。具體地說,VPN 確認方法通常比較不安全,而且在最佳狀況時,不一定是最強固的。舉例來說,Microsoft 支援的 WLAN 解決方案使用一模一樣的 EAP 確認方法作為其 VPN 解決方案 (EAP-TLS 和 MS-CHAP v2)。許多 VPN 實作 (尤其是該些以 IPSec 通道模式為基礎者) 都採用預先共用金鑰確認 (群組密碼)。這一直以來都受到廣泛的質疑,而且表明擁有嚴重的安全性漏洞,諷刺的是,有些漏洞還與 WEP 共存。
:
VPN 並沒有辦法保障 WLAN 本身的安全。即便 VPN 通道內部的資料是安全的,任何人仍然可以進入 WLAN,並嘗試攻擊 WLAN 上合法的無線用戶端和其他裝置。
VPN 非常適合用於保障在不安全網路間傳遞的流量,無論使用者是經由家用寬頻連線或從無線作用點連線。然而,VPN 向來不是設計用來保障內部網路上的網路流量安全。對於絕大部份組織來說,這種角色的 VPN 對使用者可能過於麻煩而且功能限制過多,對 IT 部門要維護的話則太過於昂貴和複雜。
在一些特定連線或流量類型需要有更高安全性的例外情況下,除了原始的 WLAN 保護外,還可由 VPN 通道或 IPSec 傳輸模式提供。這是比較合理的網路資源使用。
2012年3月24日 星期六
保護網路的隔離兩種類型
保護網路的隔離共有兩種類型:
•
伺服器隔離:在伺服器隔離案例中,使用 IPsec 原則設定特定伺服器,只接受來自其他電腦的已驗證通訊。例如,資料庫伺服器可以設定為只接受來自 Web 應用程式伺服器的連線。
•
網域隔離:若要隔離網域,系統管理員可以使用 Active Directory 網域成員關係,確保網域成員的電腦只接受來自網域成員之其他電腦的已驗證和安全通訊。隔離網域只包含屬於網域的電腦。網域隔離使用 IPsec 原則,來保護網域成員 (包含所有用戶端和伺服器電腦) 之間傳送的流量。
2012年3月23日 星期五
Windows Server 2008 R2 中的 NPS 改進
Windows Server 2008 R2 中的 NPS 改進包括了:
自動化的 NPS SQL 記錄設定
NPS 記錄改進
系統健康狀態驗證程式 (SHV) 的 NAP 多重組態
NPS 範本
Windows Server 2003 Internet Authentication Service (IAS) 服務的移轉
NAP
NAP 是一個同時包含用戶端和伺服器元件的平台,以啟用可完整擴充的系統健康狀態評估,以及授權某個數目的網路存取和通訊技術,包括了:
受網際網路通訊協定安全性 (IPsec) 所保護的通訊
無線與有線連線的 802.1X 驗證存取
遠端存取虛擬私人網路 (VPN) 連線
動態主機設定通訊協定 (DHCP) 位址配置
終端機服務 (TS) 閘道器存取
網路原則伺服器 (NPS)
網路原則伺服器 (NPS) 是一個遠端驗證撥號使用者服務 (RADIUS) 伺服器以及 Proxy 和網路存取保護 (NAP) 健康原則伺服器。NPS 會評估 NAP 用戶端的系統健康狀態、提供 RADIUS 驗證、授權與帳戶處理 (AAA),並且提供 RADIUS Proxy 功能。
WPA2 (pre-shared key,PSK, 又稱為個人模式)
預共用密鑰模式(pre-shared key,PSK, 又稱為個人模式)是設計給負擔不起 802.1X 驗證伺服器的成本和複雜度的家庭和小型公司網路用的,每一個使用者必須輸入密語來取用網路,而密語可以是 8 到 63 個 ASCII 字元、或是 64 個16進位數字(256位元)。使用者可以自行斟酌要不要把密語存在電腦裡以省去重複鍵入的麻煩,但密語一定要存在 Wi-Fi 取用點裡。
安全性是利用 PBKDF2 密鑰導出函數(英语:key derivation function)來增強的,然而使用者採用的典型的弱密語會被密碼破解攻擊。WPA 和 WPA2 可以用至少 5 個 Diceware 詞或是 14 個完全隨機字母當密語來擊敗密碼破解攻擊,不過若是想要有最大強度的話,應該採用 8 個 Diceware 詞或 22 個隨機字母。密語應該要定期更換,在有人使用網路的權利被撤消、或是設定好要使用網路的裝置遺失或被攻破時,也要立刻更換。
WPA2(PSK) 模式
在WPA的設計中要用到一個 802.1X 認證伺服器來散佈不同的鑰匙給各個用戶;不過它也可以用在較不保險的 "pre-shared key" (PSK) 模式,讓每個用戶都用同一個密語。Wi-Fi聯盟把這個使用pre-shared key的版本叫做WPA個人版或WPA2 個人版,用802.1X認證的版本叫做WPA 企業版或WPA2 企業版。
不使用非廣播無線網路
許多無線 AP 可被設定為不廣播它們的無線網路名稱。不廣播其無線網路名稱的無線網路稱為非廣播或隱藏的無線網路。這個無線 AP 功能的目的是要防止未經授權的無線用戶端偵測到此無線網路。不過,非廣播網路並不是無法偵測的。非廣播網路名稱會經由無線用戶端與無線 AP 所傳送的各種訊息來公告。
將無線 AP 設定為非廣播模式並無法讓一般無線用戶端探索不到您的無線網路。而且即使是技巧最差的惡意使用者也可以擷取無線用戶端或無線 AP 所傳送的無線網路名稱,然後判斷您的無線網路名稱。
除了在無線網路名稱私密性的部分較弱外,非廣播無線網路也會讓想要自動連線到非廣播無線網路的授權無線用戶端發生問題。例如,因為並未公告無線網路名稱,所以無線用戶端必須傳送含有無線網路名稱的訊息來嘗試定位無線網路的無線 AP。這些訊息會公告無線網路的名稱,進而降低了無線用戶端之無線設定的私密性。
伺服器和網域隔離
在 Microsoft Windows 網路中,系統管理員可以用邏輯方式隔離伺服器和網域資源,以限制存取已驗證和授權的電腦。例如,可以在現有的實體網路內部建立邏輯網路,讓邏輯網路中的電腦共用一組共通的需求以進行安全通訊。此邏輯隔離網路中的每部電腦必須將驗證認證提供給隔離網路中的其他電腦,以建立連線。
此隔離可以防止未經授權的電腦和程式不適當地存取資源。而來自不屬於隔離網路之電腦的要求則會予以略過。伺服器和網域隔離有助於保護寶貴的伺服器和資料,以及保護受管理電腦,不讓未受管理或惡意電腦和使用者進行存取。
可用於保護網路的隔離共有兩種類型:
•
伺服器隔離:在伺服器隔離案例中,使用 IPsec 原則設定特定伺服器,只接受來自其他電腦的已驗證通訊。例如,資料庫伺服器可以設定為只接受來自 Web 應用程式伺服器的連線。
•
網域隔離:若要隔離網域,系統管理員可以使用 Active Directory 網域成員關係,確保網域成員的電腦只接受來自網域成員之其他電腦的已驗證和安全通訊。隔離網域只包含屬於網域的電腦。網域隔離使用 IPsec 原則,來保護網域成員 (包含所有用戶端和伺服器電腦) 之間傳送的流量。
唯讀網域控制站
唯讀網域控制站 (RODC) 是 Windows Server "Longhorn" 2008 作業系統的新網域控制站類型,主要用來部署於分公司環境。RODC 可以降低在無法保證實體安全性之遠端地點 (例如分公司) 中部署網域控制站的風險。
2012年1月5日 星期四
APIPA (自動取得虛擬 IP)
APIPA 藉由發送arp,詢問在 169.254.0.0-169.254.255.255 中隨機的一個位址來找到一個可以用的 IP。如果沒有收到就是可以用,接著就會把網路介面指定這個 IP。
這只有在沒有 DHCP 伺服器並且沒有連到網際網路,及其他電腦也用 APIPA 時才適用。
訂閱:
文章 (Atom)