Tag: 安全

  1. IOS CA(2)

    申请证书 使用SCEP申请证书 1. 配置hostname和domain-name 2. 生成公私钥 3. 定义trustpoint,主要是申请证书用到的一些信息 4. 下载CA证书 5. 产生随机数口令用于客户端申请证书使用 6. 请求身份证书   手动申请证书 1. 配置hostname和domain-name 2. 生成公私钥 3. 定义trustpoint,使用复制、黏贴的方式申请证书 4. 在CA上导出根证书 5. 在客户端上导入根证书 6. 产生请求身份证书的信息(PKCS#10信息) 7. 在CA上手动输入一个证书请求 8. 在CA上批准挂起的申请请求 9. 在客户端上导入身份证书   自动申请证书 1. 配置hostname和domain-name 2. 生成公私钥 3. 定义trustpoint crypto pki trustpoint…

    on 思科 安全

  2. IOS CA(1)

    创建CA服务器 1. 生成公私钥 Show crypto key mypubkey rsa 查看生成的公私钥 2. 导出公私钥 3. 导入公私钥 4. 删除可导出的公私钥 5. 定义PKI server Ip http server crypto pki server ciscoca  database level complete  issuer-name cn=ciscoca.cisco.com l=shanghai c=china  lifetime crl 0 1  lifetime certificate 100  lifetime ca-certificate 365  lifetime enrollment-request 1…

    on 思科 安全

  3. DMVPN(2)

    实验:   hub端配置: crypto isakmp policy 10   hash md5   authentication pre-share   group 2   crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set trans esp-des esp-md5-hmac   mode transport(加密点等于通信点,可以节省20个字节) ! crypto ipsec profile DMVPN   set transform-set trans  …

    on 安全 VPN 思科

  4. DMVPN(1)

    DMVPN两种技术的结合: Next Hop Resolution Protocol (NHRP): Creates a distributed mapping database of VPN(tunnel interface) to real (public interface) addresses   Multipoint GRE Tunnel Interface: Single GRE interface to support multipleGRE/IPsec tunnels and endpoints Simplifies size and complexity of configuration Supports dynamic tunnel creation   NHRP消息类型: Registration: spoke向hub注册用的信息 Resolution:…

    on 安全 VPN 思科

  5. ASA Remote VPN

    ASA remote vpn   crypto isakmp policy 10   authentication pre-share   encryption des   hash md5   group 2   lifetime 86400 username vpntest password vpntest tunnel-group ezvpn type remote-access   ip local pool ippool 20.1.1.1-20.1.1.10 tunnel-group ezvpn…

    on 安全 VPN 思科

  6. IPS基础2

    安全术语: 脆弱点 攻击 命中 TVR 目标资源价值 只有针对脆弱点实施的攻击才会有命中   攻击源分类: 内部攻击 外部攻击 拨入攻击(外部用户通过ipsec、pptp等拨入进来,实施攻击)   IDS 混杂模式 IPS 支持in line模式   Cisco的入侵防御使用混合的检查方法:将sig和policy混合,可以更好的检查攻击。 基于sig的审查:4.0以前都是用这个,告警准确,缺点无法防范未知攻击。 基于policy的审查:5.0多了policy,可以防范未知攻击,告警不准确。   IDS逃避技术: 泛洪 发送大量正常流量过IPS,中间掺杂攻击流量 分片 一直发送分片,让IDS等待 不让它重组包,掺杂攻击流量 加密 发送加密流量,IDS不能读懂加密信息 乱码 IPS以后可以防范逃避  …

    on 思科 安全

  7. IPS基础

    IDS与IPS区别: IDS入侵检测 intrusion detection system IPS入侵防御 intrusion prevention system   Cisco把IPS分成:HIPS(主机) 和 NIPS(网络)   IDS和IPS作用:主要用于内部网络安全扫描,防范内部攻击   网络安全要尽量透明,AD(活动目录)和CA(证书)可以帮助实现透明化的网络安全 网络安全取决于出现网络安全隐患最低的那个层次,比如安全隐患出现在3层,那上层协议将不安全   安全轮图(网络安全不是一个完美的解决方案,而是一个循环往复的过程) Network Security   攻击分类: 侦查攻击 作用:了解系统脆弱点 类型:抓包 (认证:802.1x,未授权状态只能eap包通过接口、交换机构架:port-security,防止攻击者通过冲刷mac地址表的方式来制造未知单播泛洪、…

    on 安全 思科