DHCP Snooping of OmniSwitch
簡介
DHCP在網路的世界裡面一直以來都是非常重要的功能之一,他可以免除使用者操作一堆看不懂的設定,甚至是要去記住一大堆數字符號(ex. IP Address、NetMask、Gateway…)。
功能固然便利,但無法避免有心人在瞭解網路機制運作後,自己設定IP來進入網路環境,又或是自行架設DHCP Server來擾亂網路上的裝置,配發不正確的IP,執行非法側錄之類的行為。
DHCP在網路的世界裡面一直以來都是非常重要的功能之一,他可以免除使用者操作一堆看不懂的設定,甚至是要去記住一大堆數字符號(ex. IP Address、NetMask、Gateway…)。
功能固然便利,但無法避免有心人在瞭解網路機制運作後,自己設定IP來進入網路環境,又或是自行架設DHCP Server來擾亂網路上的裝置,配發不正確的IP,執行非法側錄之類的行為。
以前我們講求的縱深防禦
,是由上而下築起防禦工事,顯然對於現今的資訊安全已經不足,因為在相同Layer 2 Domain下的裝置是不需要經過routing就可以互相連通,更何況現在Data Center都是講求大二層
的架構,如果有一些攻擊行為採取橫向探測移動,除非要在本機上啟動防火牆功能,否則是難以使用ACL、外部Firewall來進行管控。
ARP Spoofing(ARP Poisoning)是一個還蠻古老的中間人攻擊手法Man-in-the-middle attack (MITM)
,利用ARP的特性來欺騙受害者將所有流量轉向攻擊者指定的裝置,進行側錄封包來竊取可用的資訊,並轉送真正的目的端,受害者完全不知道自己的流量被攔截。
Alcatel-Lucent Enterprise所設計的Data Center Solution由2011年的MC-LAG
轉變為Virtual Chassis
架構,更在2015年加入了名為Intelligent Fabric (iFab)
的自動化技術,也因為Alcatel-Lucent Operating System(AOS)版本由R7開始變更為Linux Base,提供OpenFlow、RESTful API等相關可程式化技術,正式的踏入Software-defined networking(SDN)的世界。
目前AOS主力版本為R6(VxWorks)、R8(Linux)。
自從Sourcefire被Cisco併購後,軟硬體都有一些變化,以Firepower 2100 Series來說,主要的Kernel已改為名叫LINA
的Data Plane OS,而Snort
變成LINA的Advanced Inspection Modules
。
當環境裡面有多個Active Directory/LDAP Server,並且存在不同Domain,身份驗證需要輪詢所有的Server時,會有以下條件需要達成:
順序
向每個Active Directory/LDAP Server進行驗證驗證失敗
時需要向下一台
Active Directory/LDAP Server驗證驗證成功
後要離開驗證程序
當環境是使用Active Directory
,且domain不只有一個的時候,就蠻常遇到以下狀況:
1 | Bind successful |
一般在企業內部,當有一定規模的時候,會建立帳號集中管理機制,較常見的會使用Microsoft Active Directory, LDAP(OpenLDAP, Sun Directory Server…)。
Freeradius將此類定義為Datastore
module,並且建議搭配使用CHAP
, MS-CHAP
, EAP
之類的加密認證機制,以提高安全性。
此篇則採用較容易實作的PAP
方式,也就是綁定使用者,並且使用User-Password
這個Attribute來傳輸認證。
上篇約略介紹了Ingest Management的架構以及安裝注意事項,本篇要來談一下Elastic Agent。