艾倫的Memo與足跡

摘自:  http://www.netadmin.com.tw/article_content.aspx?sn=1411130002&jump=1 http://www.netadmin.com.tw/article_content.aspx?sn=1411130002&jump=3 http://www.h3c.com/cn/Service/Document_Center/Routers/Catalog/AR_28-09/AR_28-09/Configure/Typical_Configuration_Example/AR_28-09_IPSEC/ NAT穿透技術   NAT穿透技術，英文稱為NAT Traversal，也可以簡稱為NAT-T。如同一開始所提到的，現在有許多不同的NAT穿透技術，但很難說有任何一種NAT穿透技術可以用於所有的NAT網路環境，主要原因是NAT並沒有被標準化。  大部分的NAT穿透技術需要有一個伺服器，而這個伺服器擁有公開並且可以到達的IP位址。至於這個伺服器需要做什麼，各種NAT穿透技術並不太相同，有些NAT技術非常仰賴這樣的伺服器，可能會讓它協助所有的資料通訊，有些則只是需要讓這些伺服器協助建立一開始的連線即可。  這可以考量到底自己所要解決的是怎樣的NAT網路環境，以及是為了什麼需求，不同的方式會有不同的好壞特點，可能是伺服器端或是用戶端的網路速度，又或者是網路頻寬的差異等等。  NAT穿透技術與網路安全環境   大部分可能是中大型的企業環境比較會採用NAT，這也代表有極大的可能性還會有其他安全性的網路環境需要一起考慮。但大部分的NAT穿透技術並沒有將這些環節考慮進來，主要也是因為很難針對這些安全性的設計做特殊處理，所以大多會在防火牆上做設定，好讓NAT穿透技術成為例外情況來處理。  另外就是IPSec（IP Security）的環境，如果想在這樣的網路環境中使用NAT穿透技術，需要在防火牆上實作IKE（Internet Key Exchange）或ESP（Encapsulating Security Payload），或者使用IPSec NAT-T技術。IKE技術使用UDP編號為500的埠，ESP則使用IP...

10 Linux security tools for system administrators 摘自:  http://www.computerweekly.com/tip/10-Linux-security-tools-for-system-administrators 臺灣電力公司資安經驗談，改進網路實體隔離環境的單向資料傳輸 http://www.ithome.com.tw/newstream/112785 在昨日（3月15日）臺灣資安大會現場，臺灣電力公司資訊系統處組長李建隆，針對實體隔離單向資料傳輸這樣的議題，分享了臺電的作法與經驗。 李建隆表示，為了確保關鍵基礎控制系統安全，臺灣電力公司將其程控系統運作在與資訊網路實體隔離的環境，他們甚至也不仰賴電信業者的線路，而是在全省部署自有的電力通信光纖。 在關鍵基礎設施的資安防護上，則包含了限制相關外接設備（如USB、光碟機）的使用，以及門禁管制、單向傳輸機制與資安稽核的搭配。 其中單向傳輸機制，主要對應臺電本身的資料處理及交換需求，像是讓程控系統的各項資訊，能在兼顧資通安全的狀況下分享至資訊網路，提供臺電人員在作業檢修、告警及相關決策作業的資訊。 現場李建隆也實際舉出一些例子來說明，像是在配電系統等的匯流排上讀取電壓、電流、頻率這些資訊，需要經統計與資料分析，以檢視供電穩定度；又或是在發電、輸電、配電系統與電力調度上，常常會有一些告警的資訊，要讓長官在資訊網路上就能掌握電力狀況，如果是實體隔離就無法分享出來，因此要透過單向傳輸將資訊傳至資訊網路來處理。 在臺電公司的單向資料傳輸發展上，李建隆表示可分成3大階段，最早他們是應用RS232埠的Simplex單工傳輸方式，只是當時的資料需求量相對較少，但對於現代來說並不適用，因此他們也嘗試尋求解決之道。後續資訊系統處同仁做出了一個網路控制器的方案，但去年開始他們發現還是有改善的空間，進而發展成現在稱之為OneWayBox的解決方案。 根據李建隆的說明，這個OneWayBox資料擷取機制有些獨到之處，像是他們將此架構實現於一臺硬體設備之內，並提供自動切換的進行方式，應用較簡便。 進一步來看，該硬體設備內包含2個FTP伺服器，相互之間網路並不介接，而是透過一個可自動切換的小型儲存裝...

摘自:  http://lartc.org/howto/lartc.rpdb.html https://linux-ip.net/html/tools-ip-rule.html http://www.microhowto.info/howto/ensure_symmetric_routing_on_a_server_with_multiple_default_gateways.html     If you have a large router, you may well cater for the needs of different people, who should be served differently. The routing policy database allows you to do this by having multiple sets of routing tables.     If you want to use this feature, make sure that your kernel is compiled with the "IP: advanced router" and "IP: policy routing" features. When the kernel needs to make a routing decision, it finds out which table needs to be consulted. By default, there are three tables. The old 'route' tool modifies the main and local tables, as does the ip tool (by default). The default rules: [ahu@home ahu]$ ip rule list 0: from all lookup local 32766: from all lookup main 32767: from all lookup default     This lists the priority of all rul...

摘自:  http://linux-ip.net/html/ch-nat.html , NAT and Networks: http://nuovolabs.fauser.edu/~valeria/materiale-didattico/SeR-quarta/NAT/node4.html http://bbs.chinaunix.net/thread-2141555-1-1.html 網路位址轉換 (NAT) ，從本質上來講，是通過修改 IP 資料首部中的位址，以實現將一個位址轉換成另一個位址的技術。當然，在某些情況下，修改的不僅僅是 IP 首部的來源或目的地址，還包括其他要素。         隨著接入 Internet 的電腦數量的不斷猛增， IP 位址資源也就愈加顯得捉襟見肘。目前 NAT 技術更多地被使用在將一個私網 IP 位址網段，轉換為一個或幾個公網 IP 位址，以實現私網與 Internet 的互相通訊。         Netfilter 在連接跟蹤的基礎上，實現了兩種類型的位址轉換：源位址轉換和目的地址轉換。顧名思義，源位址轉換就是修改 IP 包中的源位址（或許還有源埠），而目的地址轉換，就是修改 IP 包中的目的地址（同樣，或許還有目的埠）。前者通常用於將內網主機私網位址轉換為公網位址，訪問 Internet ，後者通常用於將公網 IP 位址轉換為一個或幾個私網位址，實現向互聯網提供服務。 模組初始化         NAT 模組對應的原始檔案是 ip_nat_standard.c,   init_or_cleanup 是它的初始化函數：     函数主要完成四个工作： 1. NAT 规则表的初始化； 2. NAT 所需的重要的数据结构的初始化； 3. 注册 Hook ； 4. 清除工作； Conntrack http://bbs.chinaunix.net/thread-2164678-1-1.html ...

摘自:  http://blog.itcentralstation.com/top-8-firewall-reviews-q1-2017/ http://www.networkcomputing.com/network-security/firewall-reviews-frontlines/2145422570 See what IT pros say about popular firewalls from Palo Alto Networks, Cisco, and more. The process of choosing a firewall that meets the unique needs of a business or network can be challenging. Enterprise tech professionals are increasingly reliant on peer reviews to help make better buying decisions for network security systems such as firewalls. With more than  160 firewall user reviews  on IT Central Station, IT pros can learn about the benefits and drawbacks of different solutions. Some of the most popular firewall products on the site include  Fortinet FortiGate ,  Cisco ASA ,  Sophos UTM ,  Palo Alto Networks WildFire ,  Meraki MX Firewalls , and  SonicWALL . "The trick is to find the vendor that best meets your requirements and provides you with flexibility for the...

摘自: https://technet.microsoft.com/en-us/library/cc739294(v=ws.10).aspx https://technet.microsoft.com/en-us/library/bb742458.aspx Synology NAS VPN設定:  https://walker-a.com/archives/2501/2 DrayTek FAQ: https://www.draytek.com/zh/faq/faq-vpn/vpn.lan-to-lan/%E5%A6%82%E4%BD%95%E5%BB%BA%E7%AB%8B-vigor-lan-to-lan-ipsec-%E9%80%9A%E9%81%93/ What is VPN ? VPN Scenarios Virtual private networks are point-to-point connections across a private or public network such as the Internet. A VPN client uses special TCP/IP-based protocols, called tunneling protocols, to make a virtual call to a virtual port on a VPN server. In a typical VPN deployment, a client initiates a virtual point-to-point connection to a remote access server over the Internet. The remote access server answers the call, authenticates the caller, and transfers data between the VPN client and the organization’s private network. To emulate a point-to-point link, data is encapsulated, or wrapped, with a header. The ...

摘自:  ISA99 - Industrial Automation and Control System Security https://www.youtube.com/watch?v=I2WWDGmWSr8 IEC-62443,  Industrial Cyber System Security https://www.youtube.com/watch?v=apD651mYp6A CIA - Confidentiality, Integrity, Availability Network security objectives usually involve three basic concepts: ü    Confidentiality : There are two types of data: data in motion as it moves across the network; and data at rest, when data is sitting on storage media (server, local workstation, in the cloud, and so forth). Confidentiality means that only the authorized individuals/systems can view sensitive or classified information. This also implies that unauthorized individuals should not have any type of access to the data. Regarding data in motion, the primary way to protect that data is to encrypt it before sending it over the network. Another option you can use with encryption is to use separate networks for the transmission of confidential data. Severa...

摘自:  Netfilter Packet Flow     https://commons.wikimedia.org/wiki/File:Netfilter-packet-flow.svg How to list and delete iptables Firewall rules https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules http://www.iptables.info/en/connection-state.html 防火牆的本機安全 Firewall 通常是企業網路的安全中心，會佈建在企業網路的關鍵位置上，所以如果 Firewall 本身被 Cracker 入侵了，那麼 Cracker 就可以從防火牆主機上直接攻擊 DMZ 或是企業內部的主機     (1)  網路攻擊 : 如果攻擊者的目的只是要癱瘓某企業，那麼極有可能採用 DoS 或 DDoS 攻擊 (ping-to-death)     (2)  系統入侵 : 有一個很重要的觀念一定要牢記 ” 千萬不要為了節省經費而將對外的服務裝在 Firewall 上 ” ，必須要了解 ” 如果一部主機 ( 不管其安裝甚麼 OS) 直接放在 Internet 上，其在不開放任何網路服務的情況下，這部主機無論如何是不可能遭到入侵的 ” 而主機之所以會遭到入侵一定是具備兩項條件 : (1) 這部主機一定有提供某些服務 (2) 其二是這些服務本身就有安全性的瑕疵     (3)  Inbound/Outbound 的考量 : 對於防火牆本機的進出入連線必須嚴格的管控 遠端管理的安全考量 : 防火牆的管理如果能完全在 Firewall 主機上執行，那當然是最安全的管理方式 . 而有限度的開放遠端管理，以作者的管理方式來說，通常只開放 (1) 從企業內部的主機，以 SSH 連線至防火牆主機上進行管理 (2) 還會以鎖 MAC Address 的方式來確保只有特定電腦，才能進入防火牆主機 Defense in D...