记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

NSA发布IPSec VPN安全指南

美国国家安全局(National Security Agency)本周发布了有关保护IPSec虚拟专用网络安全的指南,因为在冠状病毒大流行之后,美国各地的公司仍在持续远程工作。该安全建议包括各种警告,例如不要依赖供应商提供的配置。NSA的VPN安全指南有两种文档形式:安全VPN指南和带有更详细的配置示例的版本。NSA警告说,许多VPN供应商提供了为其设备预先配置的加密套件和IPSec策略,以及用于兼容性的其他套件。互联网安全关联和密钥管理协议(ISAKMP)和IPSec策略定义了VPN如何相互认证、管理安全关联,以及如何在VPN连接的不同阶段生成密钥。《指南》警告说:如果将这两个阶段中的任何一个配置为允许过时的加密,则整个VPN都将面临风险,并且数据机密性可能会丢失。美国国家安全局(NSA)建议管理员确保这些政
发布时间:2020-07-07 16:50 | 阅读:1259 | 评论:0 | 标签:行业动态 首页动态 NSA VPN 安全指南

VPN面临四大挑战

2020年即将过去一半,新冠疫情对全球企业处理远程工作以及未来业务支撑架构产生了重大影响。但这只是序幕,如果企业把新冠疫情当作一场“临时性的”危机来应对,很可能出现战略上的重大偏差,因为新冠疫情对远程办公和企业数字化基础设施的影响可能比我们想象得更加长久。根据Gartner 最近的CFO调查,新冠病毒大流行之后,有74%的组织会将至少5%的现场工作岗位永久转变为远程办公职位。这意味着,在不久的将来,在全球范围内远程办公将成为常态,这意味着企业需要从根本上改变未来的安全架构和投资策略,而不仅仅是着眼于一些“补救和应急”措施。“新冠变革”首当其冲的,就是古老的远程办公安全通讯方式——VPN。在这场人类最大规模的数字化迁徙中,传统VPN面临以下四个挑战:1. VPN在物理上受到限制除了需要匹配专有软件/操作系统配置(
发布时间:2020-05-25 16:11 | 阅读:10888 | 评论:0 | 标签:术有专攻 首页动态 VPN 四大挑战

弱口令学习总结

0x01 引言 很多系统管理员会选择容易记住的口令或在系统测试时用的弱口令没有删除,并且在一些系统,在注册时,会提示一些规则,比如密码的长度、必须是大小写字母数字组合等,这就给爆破系统提供了机会。一旦暴力破解了账号和口令,就可以登陆管理系统和终端,将会带来很大的危害。 0x02 后台查找 想要爆破系统,我们要先找到网站后台登录入口。我们可以通过以下方法查找: 网站图片属性、网站链接robots.txt 利用谷歌、百度的搜索语法,比如:“intitle:后台管理”、site搜索范围限定在特定站点中等 利用一些目录扫描工具,比如御剑、dirscan、wwwscan等,现在这种工具很多,到网上百度一下就能找到这些工具。 各种防火墙、VPN、堡垒机的默认登陆地址,大家可以到这里查看(http://ww
发布时间:2020-05-21 20:41 | 阅读:18051 | 评论:0 | 标签:Web安全 dirscan intitle:后台管理 phpmyadmin site搜索 tomcat vpn wwws

取代VPN?谷歌零信任方案实现产品化

近日,谷歌宣布完成其内部使用的远程安全访问零信任方案BeyondCorp的产品化,并在谷歌云服务上发布销售。众所周知,Google的BeyondCorp项目是最早的零信任方案之一,早在2011年,谷歌就开始在内部部署远程访问方案BeyondCorp,向员工提供内网应用的安全访问服务。谷歌举了一个零信任应用在谷歌的用例:外包人力资源招聘人员在家中使用自己的笔记本电脑工作时,可以使用我们基于Web的文档管理系统(除其他外),但前提是他们使用的是最新版本操作系统,并且正在使用诸如安全密钥之类的防网络钓鱼身份验证。谷歌决定现在全球新冠疫情肆虐的时候“火线推出”BeyondCorp,是因为谷歌认为全球远程办公人员激增已经超出了企业VPN资源的承受范围,而且谷歌强调BeyondCorp的部署也比VPN快得多。Google的
发布时间:2020-04-23 17:02 | 阅读:14923 | 评论:0 | 标签:行业动态 首页动态 BeyondCorp VPN 谷歌 零信任

远程办公席卷全球,VPN用量翻番

随着全球新冠疫情的蔓延,社交疏离(隔离)成为常态,全球用户对VPN的兴趣激增,自今年年初以来,一些商业VPN提供商的用户和流量翻了一番。自今年年初以来,与VPN相关的Google关键词查询的搜索量增长了六至十倍。VPN服务的一家提供商NordVPN表示,其平均日用户数量增长了165。与其他VPN提供商(例如Atlas VPN)相比,流经其网络的数据量也有了大幅度增长,意大利用户对该提供商网络的使用增加了一倍以上。Atlas VPN首席运营官Rachel Welch说:到目前为止,这种激增并未给网络增加负担。对于许多工作人员,尤其是演出工作人员和自由职业者来说,VPN服务是最安全的在线工作方式。在许多国家,VPN的使用与冠状病毒病例的增加保持同步增长趋势。Atlas VPN表示,过去一周来,在中国以外受新冠病毒打
发布时间:2020-03-23 14:51 | 阅读:31322 | 评论:0 | 标签:牛闻牛评 首页动态 VPN 远程办公

新冠终结VPN?打造零信任网络的五个步骤

两个多月前,安全牛曾发表一篇题为《“零信任”时代,VPN必将被SDP取代》的文章,引发了较大争议,有人认为SDP(零信任的一种实现框架)无法取代VPN,也有人认为零信任才是最终答案。但是,新冠疫情已经将VPN与SDP/零信任的对决大大提前,因为VPN在全球性的大规模远程办公巨变中,资源消耗和“卡顿”问题被成倍放大。如果新冠疫情发展成持久战,VPN与零信任架构的“决胜局”势必将提前上演。在国内疫情较为严重的时期,不少科技公司远程办公的工程师就曾吐槽VPN服务器因负载过高频频崩溃。如今,随着国外疫情后浪推前浪,谷歌、Twitter等科技巨头也纷纷开启远程办公模式,远程办公的工作负载呈几何级数飙升。下面是Zoom最近的全球用户数增长统计表,可以直观感受下:除了对Zoom和Slack高峰期卡顿(类似企业微信和钉钉在国内
发布时间:2020-03-17 17:25 | 阅读:18290 | 评论:0 | 标签:术有专攻 首页动态 VPN 零信任网络

冒牌VPN被用来传播恶意软件

VPN是保障远程分支和远程办公网络安全的关键技术,但是近年来网络犯罪分子开始热衷于假冒致命VPN品牌投放恶意软件。近日,据卡巴斯基报道,ProtonVPN成了被网络不法分子滥用的网络安全软件提供商中的一员,,不法分子假冒ProtonVPN产品传播传播恶意软件。从“官方”域名下手卡巴斯基研究员Dmitry Bestuzhev周二(2月18日)透露,2016年在俄罗斯地下论坛上首次发现的数据窃取木马软件AZORult Trojan 近日成为一场攻击活动的主角,该攻击活动滥用了虚拟专用网服务提供商ProtonVPN的品牌。Bestuzhev表示,对ProtonVPN品牌的攻击浪潮始于2019年11月,网络罪犯注册了域名protonvpn.store。(安全牛点评:这次攻击暴露了另外一个风险,近年来ICANN批准的新域
发布时间:2020-02-21 12:10 | 阅读:22932 | 评论:0 | 标签:牛闻牛评 首页动态 VPN 恶意软件传播

以X-VPN为例,说说为什么要少用VPN进行上网?

很多注重隐私的用户都会在上网时使用VPN,他们自以为这样就会减少信息泄漏,其实这样做有时会造成更大的安全风险。今天我们就来说一说,那些绕过安全检测的VPN客户端是如何给你带来灾难性风险的?palo alto networks (派拓网络)威胁情报团队unit 42的研究人员近日专门调查了X-VPN的安全性,该软件会使用各种绕过安全检测的技术。X-VPN是一种虚拟专用网(VPN),可以用来绕过互联网审查和流量测试,这对网络运营商以及VPN用户构成了巨大的风险。X-VPN是目前市场上重视隐私,信息安全和在线自由的VPN客户端之一,借助X-VPN,您可以隐藏IP,在世界任何地方设置虚拟位置,以及在办公室,学校和国外取消阻止流
发布时间:2019-11-14 13:10 | 阅读:31384 | 评论:0 | 标签:Web安全 VPN

全球10大在某些国家被禁止的科技

技术的飞速发展,总是伴随着质疑和恐惧。Facebook这样的流行网站,常常遭遇审查,而政府对WhatsApp之类App重度加密的担忧,往往导致全国范围内的封禁。世界各国封禁的技术有哪些?看看下面几个就知道了。1. VPN——俄罗斯俄罗斯总统普京签署了一道法令,任何提供俄罗斯被禁网站访问途径的技术,都在封禁之列。该禁令将在今年11月生效,将禁止虚拟专用网(VPN)和其他工具用于访问被审查内容。2. 午夜后禁玩视频游戏——韩国该“关机令”于2011年5月通过,18岁以下青少年午夜过后不得玩在线视频游戏。为防止18岁以下青少年沉迷游戏而设,每天在线游戏禁玩时段是午夜0点到清晨6点。但单机和手机游戏不受影响。3. WhatsApp、Facebook和Viber——孟加拉2015年11月,孟加拉宣布出于安全原因封禁Wha
发布时间:2017-08-07 22:15 | 阅读:133478 | 评论:0 | 标签:牛闻牛评 facebook VPN 禁止 科技

这家公司用云来建立VPN

这种新型的接入服务,以一种与众不同的方式实现安全的远程连接。 在互联网时代,虚拟专网(VPN)成为企业远程接入技术的基础,如今安全服务提供商zscaler试图通过现代化的云计算作为新手段搅动已经稳定的VPN市场。 Zscaler的核心技术是基于云的网站安全平台,能帮助企业减少对外连接的风险。反之,通过其新的私有访问技术手段,Zscaler目标是减少企业对内连接的风险。 Zscaler的首席信息官 Patrick Foxhoven 表示,Zscaler致力于私有访问技术近3年,这项技术与传统IP安全协议或SSL-VPN从功能上有很大不同。 “VPN领域在过去10年从未出现如此重大意义的变化。” Zscaler并不仅仅提供简单的VPN网络连接,Foxhoven认为VPN由于增加了攻击面,反而对网络安全不利。而Zs
发布时间:2017-03-11 20:55 | 阅读:182384 | 评论:152 | 标签:技术产品 VPN Zscaler

最值得推荐的5个VPN服务

市场上目前有上百种VPN服务提供,由于世界范围内一些国家的政府对个人数字化信息隐私的法规要求,最近几年对于此类服务的需求日益增长。问题是面对这么多VPN如何选到一个适合自己的呢?下面是5中最值得使用的VPN服务。 1. IPVanish 选用IPVanish最重要的一点是它不会保留客户日志。在实践中,任何服务都会为了提高服务效果获取一部分用户记录,然而,有些服务会保留大量用户活动的细节。这伴随而来的问题是执法机关可以强迫客户交出他们的隐私记录。 IPVanish的好处在于不保留客户记录,于是执法机关无法获得使用这项服务的个人线上活动记录。 2. VyprVPN 首先,这项VPN服务有网络基础设施的所有权,而其他很多VPN服务提供商并非如此。在此基础上,提供客户相对高的连接速度。因此,如果有大量线上内容需求
发布时间:2017-03-08 09:00 | 阅读:1576812 | 评论:0 | 标签:技术产品 VPN 加密协议 安全性 隐私信息

安卓系统里最好用的VPN工具汇总

本文将告诉各位同学如何通过VPN来保护Android手机的隐私安全,你也许不需要花任何的钱,但免费的VPN应用也有其不足之处。 在Android手机上使用VPN不仅可以帮助你访问那些被墙掉的内容,而且还可以让你在上网过程中保持匿名性。目前市场上有很多App可以给用户提供免费或收费的VPN服务,但是哪一款才是最适合你的呢? 为此,我们专门对目前市场上最热门的六款AndroidVPN应用进行了测试,并对这些VPN服务的性能进行了全面的分析。当然了,你也可以选择使用其他厂商的VPN服务,或直接使用Android平台内置的VPN工具,经过一些自定义设置之后,Android内置的VPN工具同样会非常的好用。 为什么要使用VPN? 简单来说,VPN(虚拟专用网络)可以将你所有的网络通信数据汇集到一台远程服务器中,然后再由
发布时间:2017-02-14 22:50 | 阅读:379768 | 评论:0 | 标签:工具 网络安全 Android vpn

2017数据安全:你需要做这8件事

新年伊始,是回顾最佳实践,改善在线安全健康的极好时机。 身体健康,是很多人都会列入新年愿望中的一项。鉴于我们大多数人花在网上的时间远超耗在健身房的时间,新年伊始,也是改善我们安全“健康”的好时机。 就像身体健康问题一样,数字安全最大的问题,也总是拖延症。也就是说,如果你不行动,不改变,衰退如影随形。在身体健康上,萎缩退化就是肌肉功能没有得到锻炼的结果。数字健康上,安全风险会在你不修改口令、不更新网络系统、不采纳高级安全技术时上升。不久之后,你的IT系统就是黑客眼中的不设防的肥羊了。 2016年发生的数据泄露事件数不胜数,几乎每个人的账户或多或少都以某种方式被泄了,比如涉及10亿账户的雅虎泄露门。窝在某个角落的黑客,或许就握有你曾用于登录某网站或服务的一串口令。如果你还在其他地方使用该口令,以能联系到你那个账户
发布时间:2017-02-03 13:20 | 阅读:221534 | 评论:0 | 标签:术有专攻 VPN 口令 备份 多因子认证 数据安全

真正的中间人:通过人体传输登陆信息

显然,人体的传输性能相当于上世纪五十年代的调制解调器。 华盛顿大学的计算机科学研究人员在正在开发一种技术,它可以安全地通过人体,而不是以有线或无线方式发送数据。 在不安全网络上传输的密码很容易遭到嗅探。这一问题很好理解,也很容易通过使用VPN技术解决。不过,现在学术界对于该问题的解决方案相对新奇。他们的方法也能够保护可穿戴和植入式设备常见使用的无线电信号。 该技术将会与新一代智能手机上的指纹传感器共同工作。 其中一个功能是打开安装了电子智能锁的门。用户同时触摸门把手和智能手机上的指纹传感器,并将个人信息通过人体,而不是无线方式传输。 该技术不受体型和姿势的限制。研究人员发布的一片论文的摘要中解释称: 我们第一次展示了消费级设备可以产生被限制在人体内的无线传输信号。具体地讲,我们说明了,消费级输入设备,诸如指纹
发布时间:2016-10-09 04:15 | 阅读:98745 | 评论:0 | 标签:术有专攻 VPN 中间人 华盛顿大学

启明星辰如何看VPN

随着人们对VPN产品的安全能力需求的提升,从最基础的安全数据传输通道,到二层链路加密,再到三层的协议控制和应用权限控制,越来越多的新技术/协议被集成,VPN产品本身也在随着IT的大环境而不断演变、进化。 启明星辰2013年正式推出天清汉马VPN后,在IDC发布的对2014和2015全年的中国VPN市场规模各厂商占比排名中,启明星辰分别以15.7%和14.0%的市场占有率的表现位居第二。那么,在启明星辰看来,VPN产品当今面临的挑战都有哪些?启明星辰VPN产品以及VPN技术在之后又有可能会往哪个方向发展? 传统VPN对云环境的适应 近几年,云计算技术快速发展,企业和政府都开始将自己的业务数据大量往云上迁移,VPN技术本身如何更好地适应云环境,如何解决虚拟化环境种类众多、部署困难,云租户数量庞大且性能要求高的问题
发布时间:2016-09-13 21:15 | 阅读:185514 | 评论:0 | 标签:行业动态 FIDO VPN 启明星辰

90%使用 SSL 的 VPN “无可救药地不安全”

计算机说:“嗷”。一项最新的研究表明,十分之九的 SSL VPN 使用不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。这次扫描揭示了如下几个问题:四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是 SSLv2 。业界认为,这两种协议均不安全,它们长期以来存在多种可被利用的漏洞;四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书
发布时间:2016-03-11 14:20 | 阅读:129887 | 评论:0 | 标签:威胁情报 SSL VPN 加密协议

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云