内网学习笔记2

安全域简介

安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。 安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制盒边界控制策略的网络或系统。

简单点来说就是把不同的计算机划入不同的保护区域。

安全域划分方式

目前比较流行的安全域划分方式为:根据业务划分、根据安全级别划分。针对不同行业由于业务不同,划分的方法也不同,划分的结果也不同。所以具体的安全域的划分应根据不同的行业、不同用户、不同需求结合自身在行业的经验积累来进行。最终的目的是达到对用户业务系统的全方位防护,满足用户的实际需求。

这要我们在内网渗透中要灵活行动。

在图中我们可以看到有外网,DMZ,数据中心和内网办公区。

我们可以把它分为:

一般服务区 用于存放防护级别较低(资产级别小于等于3),需直接对外提供服务的信息资产,如办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心区; 重要服务区 重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区; 核心区 核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

DMZ

两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。

DNZ位于企业内网与外网之间,一般企业都会把web服务器,ftp服务器,代理服务器等等对外提供服务的服务器放在DNZ中。

DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

在DNZ中一般都有入侵检测,防火墙,WAF等等

我们可以将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。

如果我们想要进入内网,我们就要通过DNZ的重重防御

控制策略

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ访问内网有限制 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。 6.DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

内网分区

内网可以访问办公区和核心区。

办公区:公司员工的工作区,一般会统一安装杀毒软件等等。办公区可以访问DMZ。攻击者如果想进入内网一般会重点攻击这个办公区,常见的有鱼叉攻击,水坑攻击和社会工程学,还有新兴的近源攻击。 核心区:在这个区域中会存有企业的重要资料数据和文档等,层层保护,往往只要很少的主机能访问,一般来说运维人员和经理层人员是重点关注对象。我们在内网横行移动改击时一定要查找这类的主机!

本文分享自微信公众号 - 黑白天(li0981jing),作者:cn0sec

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 使用reGeorg+Proxifier实现内网穿透

    黑白天安全
  • 手工 - 内网信息收集

    我们通过收集本机信息可以进一步了解到整个域的操作系统,软件,补丁安装,用户命名规范等等,方便进一步渗透测试。

    黑白天安全
  • 获取域内管理员和用户信息

    如果我们拿到了一台普通用户权限的windows计算机,想要在内网中横向移动,需要知道域内用户登录的位置,是否是本地管理员,他的组,是否有权访问文件共亨等等。

    黑白天安全
  • 论文解读——Path tracking control of an articulated road roller with……

    《Path tracking control of an articulated road roller with sideslip compensation》...

    路径跟踪快讯
  • 学界 | 从深度学习研究论文中自动生成可执行源代码

    机器之心
  • mysql分布式前端代理 - Amoeba最简配置案例

    image.png 主要配置文件说明 1)amoeba.xml 定义客户端如何连接amoeba等基础信息 2)dbServers.xml Amoeba作为数据...

    dys
  • CVPR2020 | 用有噪声的学生网络进行自我训练提高ImageNet分类

    近年来,深度学习在图像识别方面取得了显著的成功。然而,最先进的视觉模型仍然是用监督学习来训练的,这就需要大量的标记图像才能很好地工作。 通过只显示标记图像的模型...

    计算机视觉研究院
  • 如何使用poedit翻译?

    简单介绍下,把po文件直接导入poedit 就可以编辑了。不过有时候根据软件的使用语言不通,编辑后的po文件不一定能直接读取。 举例:下面是我汉化的主题lan...

    陌涛
  • 概率密度估计介绍

    概率密度的总体形状被称为概率分布 (probability distribution),常见的概率分布有均匀分布、正态分布、指数分布等名称。对随机变量特定结果的...

    marsggbo
  • 网络自动化的奠基石:看“遥测”如何打败传统的网络监控

    ‍遥测是什么?从字面意思看遥远的测量某个东西?还是不误导大众了,比较权威的说法是遥测是对被测量对象的参数进行远距离测量的一种技术,起源于19世纪初,广泛应用于航...

    SDNLAB

扫码关注云+社区

领取腾讯云代金券