问题标签 [network-security]

在此链接中： http : //docstore.mik.ua/orelly/java-ent/security/ch13_07.htm 我找到了 Diffie Hellman 交换的实现，但我不明白为什么它使用 X509EncodedKeySpec 对象；Morover，如何修改程序以避免“中间人”攻击？谢谢。

我目前正在做一个小项目，目标是使用 iOS 应用程序为中小型企业的 WiFi 热点网络提供安全、集中的登录。计划是将路由器配置为开放网络，DHCP 将所有流量从路由器转发到我们的（云托管）服务器，每个查询都经过身份验证，并允许用户的查询传递到其预期目的地。

我们当前的问题是，为了配置服务器以了解哪些用户正在访问它，我们需要用户的 Mac 地址，Apple API 要求他们在第一次使用该应用程序时手动输入（这是很多工作) 所以我们正试图想出一个解决方法。

任何想法或建议将不胜感激。

谢谢，亚历克斯

:)

我只能捕获通过我的 NIC 路由的数据包，但我想嗅探来自连接到同一本地无线网络的其他 PC 的所有数据包。我正在使用 Wireshark，但它无法嗅探来自连接到同一本地网络（由无线路由器创建）的远程 IP 的数据包。

这是在云中的应用程序通过 vpn over https 连接与内部应用程序通信的上下文中。（两个应用程序属于同一组织）

那么，即使在使用上述东西时，是否需要通过加密信用卡信息来增加额外的安全层，以便其他应用程序需要使用预定义的密钥对其进行解密？

我有几台计算机在桥接连接上运行多个虚拟机。我想创建一个脚本，最终允许我通过 SSH 连接到任何计算机，更改一些文件，然后从该计算机通过 SSH 连接到另一台 VM 或计算机。

如何使用 Paramiko 从计算机 A SSH 到计算机 B，然后从计算机 B 到计算机 C（无需先退出从 A 的连接）？当使用桥接连接处理同一 LAN 上的虚拟机时，这种情况是否会发生变化？

这是我心中的一个问题，但无法想出解决方案。假设在两个对等体（peer_1，peer_2）之间有一条 IKE 隧道。现在有一个攻击者想要打破这个隧道。攻击者正在做的是，对于从 peer_1 到 peer_2 的每个保持活动信息请求，他/她（攻击者）都会回复 INVALID_IKE_SPI 通知有效负载，并且显然该消息将采用纯文本形式。这导致 peer_1 认为 IKE_SA 出现了一些问题，并且在实现特定重试后，peer_1 关闭了隧道（尽管 rfc 7296 指定接收此类回复的对等方不应更改其状态，但应该结束重试保持活动以摆脱网络洪水）。结果攻击者获胜。

IKEv2 协议本身有什么规定可以防止这种情况吗？

如果有人知道这一点，请回复我，否则一些解决方案也会有所帮助。

我正在编写一个 shell 脚本，我有一个命令“airodump-ng”，这个程序永远运行，捕获有关接入点的信息。我想在我的脚本中做的是运行程序并在 10 秒后捕获一些信息。因此，概括地说，我如何从脚本中的实时运行程序中捕获一些信息。“airodump-ng”的格式如下。

I have a small company network with the following services/servers:

• Jenkins
• Stash (Atlassian)
• Confluence (Atlassian)
• LDAP
• Owncloud
• zabbix (monitoring)
• puppet
• and some Java web apps

all running in separate kvm(libvirt)-vms in separate virtual-subnets on 2 machines (1 internal, 1 hetzner-rootserver) with shorewall inbetween. I'm thinking about switching to Docker.

But I have two questions:

• How can I achieve network security between docker containers (i.e. I want to prevent owncloud to access any host in the network except ldap-hosts-sslport)
• Just by using docker-linking? If yes: does docker really allow to access only linked containers, but no others?
• By using kubernetes?
• By adding multiple bridging-network-interfaces for each container?
• Would you switch all my infra-services/-servers to docker, or a hybrid solution with just the owncloud and the java-web-apps on docker?

我是网络安全的新手，我尝试了解一些关于 3rd 方 cookie 的知识。我现在知道，由于同源策略（增强了安全性），更新的浏览器中不允许使用 3rd 方 cookie，您无法跨域读取/cookie。

我的问题是，当我访问某个站点时，我可以看到设置了来自不同域的 cookie。我尝试在本地主机上手动执行此操作，但无法执行。您可以看到下图显示了来自其他站点的 16 个 cookie 已设置，但我不知道这是如何完成的。

请清除它，并放置一些我可以在本地主机上运行的示例代码。

非常感谢

这

我正在开发一个企业云应用程序，并且正在解决我在使用 PHP LDAP 库连接到客户网络以检索用户对象时将面临的安全问题。

首先，我的客户必须向我的网络服务器开放他们的网络，这对许多人来说是一个巨大的安全风险。大多数人甚至会拒绝创建仅允许来自我的公共 IP 的 LDAP 查询的防火墙规则。

其次，连接必须始终保持可用，以便我的应用程序可以轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我的客户的风险因素。

第三个问题是确保我只获得对我的客户 AD 服务器的读取权限 - 我如何确保我的客户不会意外地授予我们对其 AD 的写入权限？我可以使用 PHP 查询提供的域帐户的权限，如果包含写入，则拒绝接受/存储凭据？

有没有人有更好的建议？我可以在我的终端上建立一个 API 来监听和接受来自我的客户可以托管的脚本的指令，但这很麻烦——不过肯定会解决安全问题。

连接到 LDAP 服务器的方法有很多，但关于从公共网络上的服务器与专用网络中的 LDAP 服务器同步的最佳方法的文章并不多。

迫切需要建议:)

谢谢！