- 主题:IPV6时代的NFS安全隐患一则
大半年前我在版上提醒过一次了
https://www.newsmth.net/nForum/#!article/DigiHome/946124
【 在 blitz 的大作中提到: 】
: 刚发现我的nfs裸奔了一年左右
: 也不知道什么时候开始北京联通启用了ipv6,然后我的内网(我以为的内网,但是ipv6无所谓内网外网)里的nfs的配置又有一个地方被我写错了,地址和参数之间多了一个空格比如
: ```
: ...................
--
FROM 61.49.153.*
聊个别的,说说企业安全配置。以前传统企业安全配置是搞个大内网,内网里面的机器互联互通,个别重要的节点加特别防护。外出进入流量全监控,做入侵检测。
这几年越来越搞不下去了,情况复杂的超出了掌握,特别是人员对于方便的需求导致各种设备横行。比如移动设备,还有各种usb热点,行政命令根本无效,再强的it人员也没有办法解决
所以现在都在向零信任架构转向,从网络为中心转变为以身份为中心,进行访问控制。这样方便又安全。
家用其实也可以参考这种模式
【 在 Dazzy 的大作中提到: 】
: 其实你的路由没有把内外管起来而已。无论ipv4还是v6,interface wan和lan是分开的,防火墙应该不转发来自wan的input,除非用户放开。
--
FROM 61.49.153.*
用户体验上比较像,都要客户端做多次认证。
具体实现上稍有区别,之前的那种是接入控制,认证之后进入内网,内网里面全当是自己人,但有个间谍就被一锅端了。
新的是进了内网也不信任,能访问智能电视访问不了家用nas;想访问家用nas,第一次需要指纹验证(也可以每次,看自己配置);能访问家用nas访问不了笔记本;敏感数据访问来个二次验证什么的。
好处就是不管设备是不是在内网,反正身份验证通过,就可以使用对应的资源比如nas
这玩意在企业端也仅仅是这几年刚达成共识,大家认为是未来的方向。家用估计还是得过几年
【 在 Dazzy 的大作中提到: 】
: 类似高校内部的h3c,锐捷拨号?这是个好事,以前高校网络乱象,arp攻击之类的,我还印象深刻。只是在家庭网络用这个技术代价有点高。现在不听话的iot设备越来越多,早晚得管起来。
: --来自微水木3.5.2
--
FROM 61.49.153.*
主要看设计,比如家用智能电视保存ftp密码这种类型的事情,就得改成只能保存token,换个机器就用不了这个token。这个token就算泄露,也不能访问除了电视剧之外的内容。
思路从进了内网就是自己人,转变成不管在哪访问,认证通过才能访问它自己的数据,别人的数据休想访问
https://www.zhihu.com/question/324481184/answer/684128454
【 在 rocsong 的大作中提到: 】
: 另外这种信任模式的流控比以前那种更消耗处理器资源吧
:
--
FROM 61.49.153.*