baalchina » 安全

有感于某些人的某些言论

baalchina — Tue, 28 Sep 2010 09:47:39 +0000

今天找autoproxy，发现了这篇文章：http://autoproxy.org/zh-CN/node/66，大意是指，CNNIC获得了根证书，呼吁大家把CNNIC从根中去掉。

对于文章观点，我是持保留态度，但是对于文章的某些评论，却是不吐不快。

其中某评论说道：“网易邮箱开始使用CNNIC证书，各位同学如果想保护自己的隐私，请不要使用网易邮箱”。http://autoproxy.org/zh-CN/node/66#comment-4692

不知道这位匿名用户是不懂装懂，跟着起哄；还是故作不知，别有用心？

姑且不谈证书的含义，网易邮箱貌似还没有全程https的概念，即使有，也没几个人会使用。毕竟大多数国人的电脑水平没高到明白http加一个s代表什么。网易只是在登录的时候将帐号密码通过https传输。就因为用了CNNIC证书，会造成隐私泄露？

如果网易想知道你的隐私，他哪怕用VeriSign的证书，照样可以知道。你的数据都存在网易呢。

如果zf想知道你的隐私，他还用得着去破解https？只要网易还在国内，公安局一个协查令就可以了。这个和fbi要求美国网络公司公开信息一个道理。

想知道你隐私的人，会有n种方法获取，而通过植入cnnic的根证书来获取，恐怕是最笨的一种方式了。

况且，目前所有的根貌似都是国外的公司，你那么点隐私，按照这个逻辑，人家要想看，恐怕早就被fbi/nsa翻个遍了。只不过你对他们没威胁而已。人家还希望多一点你这样的人呢！

现在中国的某些人，也就跟着瞎起哄而已。却不知道这些瞎起哄，会误导多少人。

360和微软也是有一腿的嘛…

baalchina — Mon, 14 Dec 2009 01:41:08 +0000

下载成功，文件保存至：D:\360lan\patch\WindowsServer2003-KB974318-x86-CHS.exe
[2009-12-14 09:36:40] 开始下载文件：http://qh.dlservice.microsoft.com/download/2/C/D/2CDCD3F2-A412-4E80-86E6-79DBAC6956D8/WindowsXP-KB973904-x86-CHS.exe
文件大小：861048字节

qh.dlservice...qh=qihoo?

使用IAS+Radius管理交换机的telnet密码

baalchina — Wed, 12 Nov 2008 12:10:00 +0000

以下在s2150G交换机上测试通过。软件版本1.69，以下可能不支持，困扰了我很久。

首先需要有用户管理程序。我使用的是Windows 2003自带的IAS-Internet访问控制。在添加删除程序中可以找到。它支持标准的Radius协议。

另外需要在Windows下新建一个用户，属于特定的组，比如Raidus组，用户nic。

安装好IAS之后，右键点击Radius客户端，新建一个客户端--注意一个交换机对应一个客户端。密钥我指定为switch。不要勾选“请求必须包括消息验证程序属性”，客户端-供应商选择RADIUS Standard。如下图所示

接下来右键点击“远程访问策略”，“新建访问策略”－－“设置自定义策略”－－“添加策略状况”。

选择Windows-Groups，然后在新窗口中选中前面新建的Radius组。

下面选择“授予远程访问权限”。

下一个窗口选择“编辑拨入配置文件”。

身份验证部分取消所有框，只保留“未加密的身份验证（PAP,SPAP）”。

高级-ServiceType-设置为Login。

确定，至此IAS部分的设置即完成。

下面是交换机部分的设置，把配置贴在下面：

Switch#show run

System software version : 1.69 Build Aug 2 2007 Release

Building configuration...
Current configuration : 288 bytes

!
version 1.0
!
hostname Switch
vlan 1
!
radius-server host 10.1.1.3
enable secret level 15 5 #wNq&#Z1^IOrJ%(8YMp]K*.tSxB^"[/7
!
interface vlan 1
no shutdown
ip address 10.1.1.1 255.255.255.0
!
radius-server key switch
line vty
login authentication radius
!
end

Switch#

需要注意几个关键点：

一、这里的Radius是level 0的用户，也就是默认telnet上去的用户。你仍然需要设置level15的密码。通过enable secret level 15 0 password。

二、看Radius是否成功，可以通过Windows的系统日志。

三、存在一个问题，就是当Raidus服务器失效，你就再也无法telnet了。Cisco设备支持先Radius再local，当Raidus失效默认local。但是锐捷设备貌似不支持。

四、配置login authentication的地方，一般设置line vty即可。line console是串口线。最好别设置。

锐捷/凯创设备上的交换机安全设置(20090312)

baalchina — Mon, 06 Oct 2008 13:24:39 +0000

注意仅仅是对于安全管理的设置。

对于锐捷设备

ip ssh version 2
enable services ssh-server
no enable services telnet-server
services telnet host 172.17.13.0 255.255.255.0
no snmp-server community public

作用：
打开SSH，关闭telnet。如果打开telnet那么只允许在特定的网段进行telnet。

对于凯创设备

set router telnet disable

禁止通过SVI接口telnet。

同时还有命令

set router ssh enable

这个命令大开了设备的ssh。切记要打开这个，否则你再也连接不上设备了...

密码保护：L2,L3设备的安全配置

baalchina — Mon, 22 Sep 2008 12:37:16 +0000