论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 59 篇帖子 ]  前往页数 上一页  1, 2, 3, 4
作者 内容
 文章标题 :
帖子发表于 : 2009-12-10 09:28 
离线
初级用户

注册: 2009-10-29 11:56
最近: 2010-12-25 21:04
拥有: 32.00 安全币

奖励: 16 安全币
在线: 66 点
帖子: 26
首先非法接入包括两类:
一是发生在网络边界,
二是内网中不同安全域之间,比如生产网的机器接入办公网

技术手段:
IP-MAC绑定在一定程度上可以起到作用,
内网终端管理软件相对更好用些

还可以通过物理安全等方面入手


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-12 18:18 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2018-05-14 09:27
拥有: 9,427.60 安全币

奖励: 1067 安全币
在线: 5498 点
帖子: 1297
地址: www.youxia.org
前者我不说了,主机审计里面都有。

后者,垃圾货……都是外网有个报警服务器

你上网他就发个数据包给这个服务器,然后采取下一步行动

或者蓝屏,或者锁定,或者自删除数据……

无非如此……防火墙、冰刃全部搞定了。

再说一句,基本都是垃圾货


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-12 18:20 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2018-05-14 09:27
拥有: 9,427.60 安全币

奖励: 1067 安全币
在线: 5498 点
帖子: 1297
地址: www.youxia.org
以前写的个东西




  游侠我没有装过非法内外联监控系统,但是圈子里面的一些朋友发来一些资料,看了下几个厂商的白皮书,或用户手册,感觉就本质上来说,和我几年前就在想的非法内外联监控系统如出一辙——没错,几年前,我刚入行的时候的想法。
  为何说流行?——因为现在很多纯内网的单位都在买,如火如荼。
  为何说扯蛋?我先说下原理:
  1、在所有的内部计算机安装Agent,用以向中心报警
  2、在外网设立一个Server,注意,是要有外网地址,可以是IP或Domain Name
  3、当你的计算机拿到外网上网的时候,Agent向Server发送信息,汇报现在的IP等信息,说明你连上了外网,形成报警事件
  4、Server发送指令给Agent,非法外联计算机自动关机
  下面,说说如何搞定这些个破烂货:
  前提:网上随便下载个防火墙,阻断所有外联的进程
  a、在防火墙开放某个URL的访问,如www.126.com,然后发送信息,绕过了不是?
  b、在防火墙开放某个进程,如FlashFXP,然后向远程服务器发文件,绕过了不是?
  c、在防火墙仅开放某个IP的访问,然后直接共享拷贝,绕过了不是?
  d、如果非要我举例子,我可以把26个字母序列写全……
  某厂家可能会说:这些计算机上没有防火墙——是啊,XP的SP3自带防火墙呢!我就是想装个瑞星、金山,你不能不让我装吧,安装光盘里面有个人防火墙呢!
  反正我看过了几款非法内外联监控系统,看原理、看资料,都可以用此类方法绕过。如果选用这样的产品毫无疑问将会给单位、给国家造成严重的损失,如果您正准备购买或正在测试这样的产品,网路游侠(http://www.youxia.org)提醒您,一定要注意下是否可以用此类方法绕过,小心为上!


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-12 20:25 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
补充一个以前有效,后因互联网采用了措施无效的方法:
不安装客户端,内网采用改造的ICMP协议数据包,源地址为互联网上监控服务器上地址,目的地址为被检查的主机;ICMP包数据中填写检查到的主机的相关信息如MAC和特定的信息;当存在互联网连接时,该主机将通过互联网通道将回应包发送到监控服务器。达到定位非法外联主机的目的。

大致这样分析:
如果人员存在问题,这类边界检查通常是无效的,可以通过一些简单的技术措施绕过。所以这类非法外联,仅仅是一个简单的技术措施,有可能被以需要符合政策要求而采用高价低品质的产品来游说。

比较合理的产品是客户端,并且与审计、准入等措施相结合,并考虑被绕开的可能性的处理。不同级别的要求是不一样的。应该说,还需要考虑实现成本因素,在主机增强产品中一并完善和互补是比较恰当的。三级以上系统,应是需要考虑到人员和物理安全因素,一般在管理手段外,采取较好的技术手段的。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-12 23:25 
离线
初级用户

注册: 2008-11-04 10:42
最近: 2015-02-17 17:20
拥有: 142.20 安全币

奖励: 45 安全币
在线: 162 点
帖子: 47
地址: 西安
阻击非法外联实施起来很难,只能这么说!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-14 11:52 
离线
超级用户

注册: 2008-12-15 08:55
最近: 2013-09-18 23:04
拥有: 2,794.70 安全币

奖励: 795 安全币
在线: 2116 点
帖子: 618
地址: 广东省深圳市
游侠说的那个是非法外联监控系统。涉密网里面有专门要求一定要上这个。原理也和你说的一样。全国只有3家产品获批,而且已经不再接受相关产品的申请了。
我承认这个东西就如游侠所说。很烂,很贵。
目前可行的如WALKOR所说,客户端、审计系统、准入机制、管理制度、安全加固等措施结合。
此外,4级以上系统和绝密级的系统中,还有防止拍照截屏的要求,重要操作终端在操作时有摄像头监控所有操作。(机密增强级的要求记不太清楚了,可能也需要)


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【请教】关于等级保护中的网络边界完整性检查的技术要求
帖子发表于 : 2009-12-17 11:44 
离线
高级用户

注册: 2009-07-13 12:31
最近: 2012-10-26 17:45
拥有: 71.00 安全币

奖励: 255 安全币
在线: 1862 点
帖子: 217
chinadoors 写道:
最近在看等级保护的基本要求

看到在网络安全中 有边界完整性检查的要求


(1)应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
(2)应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。

简单说 就是 非法外联监控 和 非法内接监控

非法外联监控就不用多说了 市场上这方面的产品还是不少的 往往通过agent的方式 进行检测和响应处理 能不能阻断不好说 但是起码能够发现并且报警 可以说 是一款基本符合要求的监控产品

但是非法内接 感觉还是有点困惑 其实所谓非法内接到底是啥玩意 一直都没搞清楚 是指物理上的通过网线么 还是指通过网络的逻辑进来 对于这些所谓的非法内接 还是防火墙访问控制、网络准入(IP/MAC绑定、802.1X)之类的preventive机制控制起来比较有效,但是要是按照等保技术要求,要一种监控手段 能够发现和阻断 还真不知道这类产品市场上面有没有合适的 如果没有 等保测评 哪个三级以上系统能过关?


桌面管理系统控制非法外联
网络层端口控制控制非法内联
网管平台和审计系统综合检测并实现阻断
等级保护目标是保护对象所采用的控制措施是否能够控制风险点,残余风险是否可以接受,如果死抠要求,干脆别联网算了。
听口风现在等保的测评和加固逐渐向27000系列转化,从单一的基线评估向详细评估和组合评估模式靠拢,同时在风险的分析上也将风险的可接受程度作为一种评价依据。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-01-14 16:33 
离线
中级用户

注册: 2006-06-24 16:22
最近: 2017-12-31 16:17
拥有: 2,045.20 安全币

奖励: 1163 安全币
在线: 1884 点
帖子: 82
两个问题:
1、非法外联的监控(防止内部非法外联)
2、网络准入的问题(防止外部非法接入内部)


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-09 09:57 
离线
新手

注册: 2010-02-07 15:07
最近: 2013-07-17 18:03
拥有: 2.00 安全币

奖励: 0 安全币
在线: 176 点
帖子: 17
开拓等级保护销售市场,所需知识太多,学习中。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-09 14:27 
离线
超级用户

注册: 2008-12-15 08:55
最近: 2013-09-18 23:04
拥有: 2,794.70 安全币

奖励: 795 安全币
在线: 2116 点
帖子: 618
地址: 广东省深圳市
等级保护不是个销售市场,而应该是个产品销售的由头。呵呵,如果你做服务,那才算是销售市场。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【请教】关于等级保护中的网络边界完整性检查的技术要求
帖子发表于 : 2010-03-28 10:34 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,637.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
呵呵,技术+管理吧!

技术层面:终端接入网络需要进行严格的合规性检查(必须要实时检测防止非法外连的程序或程序组,并且确保该程序或程序组运行稳定可靠),
其实国外的终端安全防护软件,本身自带的防火墙,用户禁止操作防火墙的进出访问规则和策略,完全在一般的受控范围内,可以通过终端上安装的防火墙禁止非法外连的情况发生(可以直接限制允许访问的网段等)。

通过终端接入网络合规性检查,必须要求终端上运行的软件正常,如果一旦异常,直接把该终端下线。

有了技术保障,没有管理措施也白费,就像游侠说的那样,肯定乱套,即使国外的产品如果没有了管理措施,也会出现“垃圾”的场面。

另,该版面一直都是规范、技术的深入讨论,很少见到把这些结合到具体的产品、方案中的帖子,各位大牛们平时也应该有很多做售前,有些应该也做过实施等工作。

多多提思路,也许对国内的等级保护的相关产品才会更有借鉴意义了吧,不过厂家可能不会付费,呵呵。


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【请教】关于等级保护中的网络边界完整性检查的技术要求
帖子发表于 : 2010-03-28 21:19 
离线
中级用户

注册: 2006-05-05 11:09
最近: 2012-07-19 09:25
拥有: 844.00 安全币

奖励: 0 安全币
在线: 48 点
帖子: 70
非法内接主要是防止外部用户接入内部网,采用的方式如拨号路由器、接入服务器NAS,还有可能情况,企业合法用户通过VPN接入,这种情况也要有一定的控制措施。
非法外联是必要的,一般企业网都至少有防火墙,但担心直接使用ADSL、GPRS等,这样安全防护措施将不能发挥作用,还可能带来很大的风险。

基本认识这个观点,非法外联一般是指通过MODEN 无线 ADSL也可能是内网机接错网外口外联行为.以上是我个人的一点补充.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【请教】关于等级保护中的网络边界完整性检查的技术要求
帖子发表于 : 2010-03-29 10:14 
离线
超级用户

注册: 2008-12-15 08:55
最近: 2013-09-18 23:04
拥有: 2,794.70 安全币

奖励: 795 安全币
在线: 2116 点
帖子: 618
地址: 广东省深圳市
非法内接实际就是所谓的可信连接的概念。。其关键在于信任链的建立和传递,就是要解决可信依据问题,即要明确“谁可以访问,谁不可以访问”。而要解决可信依据问题就必须要建立一个信任的根。实际来说,信任链的建立和传递,除了应用在边界完整性检查外,还在访问控制和身份鉴别方面可以得到很好的体现和应用。
个人以为,这是在为沈院士的可信计算理论做铺垫。


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【请教】关于等级保护中的网络边界完整性检查的技术要求
帖子发表于 : 2012-06-02 01:00 
离线
高级用户

注册: 2009-12-15 21:00
最近: 2015-12-04 17:17
拥有: 790.00 安全币

奖励: 0 安全币
在线: 2959 点
帖子: 289
都说得不错,好好学习


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 59 篇帖子 ]  前往页数 上一页  1, 2, 3, 4

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012