内网也叫局域网,是指在某一区域由多台计算机互相连接而成的计算机组。内网的情况往往比较复杂。
工作组
在一个大型单位中,可能存在着成百上千台计算机,他们相互连接组成局域网,如果不对它们进行分组,那么网络关系就会杂乱不堪,工作组的出现,成功解决了这个问题。它将局域网中不同的计算机按功能分别列入不同的工作组,使网络更有序。
域
域是一台有安全边界的计算机集合(这里的安全边界指的是在两个域中,一个域中的用户无法访问另外一个域中的资源),更像是一个升级版的工作组。用户想要访问域内的资源,必须以合法的身份登录域,用户对域内的资源拥有什么样的权限,取决于用户在域内的身份。
域控制器
DC(domain controller),域控制器是域中一台类似管理服务器的主机,它拥有管理域内其他主机的计算机权限,它负责所有本域内的计算和用户的验证工作,它是整个域的通信枢纽,域内所有用来验证身份的账号和密码哈希都存在域控制器中。所以,内网渗透的最终目标常常就是为了攻下域控服务器,即拿域控。
单域
就是指只有一个域环境的网络,这里需要说明的是,一般在一个域中,至少会有两台域服务,一台作为DC,另一台作为备份DC。(没有把握的时候先日备用的,为自己争取跑路时间)
父域和子域
当存在多个域时,第一个域称为父域,各分部的域称为该域的子域。设置这样的模式的好处:
1.减小了域之间信息交互的压力(域内信息交互不会压缩,域间信息交互可压缩)
2.不同的子域可以指定特定的安全策略
父域中域名使用一个.表示一个层次,放在域名最后的子域称为最高级子域或一级子域,它面前的称为二级域
如果baidu.com是一个父域,那么abc.baidu.com就是一级子域,aa.abc.baidu.com就是二级域。
域树
域树时多个域通过建立信任关系组成的集合。当两个域内需要互相访问时,就需要建立信任关系。建立信任关系后,可以将父子域连接成树状格式,此时就可以实现互相访问。
域森林
域森林是指多个域树通过建立信任关系组成的集合。例如,当前域树aaa.net和域树aaa.com,两个本来是无法实现相互访问的,而当两个域树建立信任关系后,他们可以组成一个集合形式(域森林),实现相互访问。
域名服务器
域名服务器(Domian Name Server,简称DNS)是指用于实现域名和与之对应IP地址转换的服务器。简单的说,就是实现域名到IP地址的转换。同时,域的名字就是DNS的名字,因为域中计算机使用DNS来定位DC、服务器等计算机。
活动目录
活动目录(Active Directory,简称AD)是指与环境中提供目录服务的组件。
它用于存储有关网络对象(用户、组、计算机、共享资源等)的信息,目录服务是指帮助用户快速、准确地寻找其所需要的服务。为企业提供了网络环境的集中式管理机制。
活动目录的逻辑结构包括阻止单元(ou)、域、域树、域森林。逻辑结构的定义是不考虑被管理对象的具体位置的阻止框架。
活动目录的功能
1.账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等。
2.软件集中管理:统一推送软件,安装打印机等。利用软件发布策略分部软件,可以让用户自由选择需要安装的软件。
3.环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置。
4.增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一指定密码策略等。
5.更可靠、更短的宕机时间:例如,利用活动目录控制用户访问权限,利用集群、负载均衡等技术对文件服务器进行容灾设置
域控与活动目录的区别
活动目录数据库,即拥有层次结构的数据库,简称AD库。
要实现域环境,其实就是要安装AD库。如果内网中一台计算机上安装了AD,那它就变成了DC(用于存储活动目录数据库的计算机,即域控)
安全域的划分
在一个用路由器连接的内网中,可以将网络划分为三个区域:内网、DMZ、外网
内网
内网,拥有两个区:
1.核心区(存储企业最重要的数据、文档等信息资产,往往只有很少的主机能访问)。
2.办公区(公司员工日常的工作区,一般能够访问DMZ,部分主机可访问核心区)
DMZ
DMZ(Demilitarized Zone,称为隔离区),其是一个非安全系统与安全系统之间的缓冲区,也就是说,DMZ一般位于内网和外部网络之间。这里主要用于对外提供服务,可以在此放置一些必须公开的服务器设施,例如企业Web服务器、FTP服务器和论坛服务器等。
外网
互联网,安全级别最低。
三者的关系
在配置一个拥有DMZ的网络时,通常需要定义如下访问控制策略,以实现屏障功能。
1.内网可以访问外网:内网用户需要自由地访问外网
2.内网可以访问DMZ:此策略使内网用户可以使用或者管理DMZ中的服务器
3.外网不能访问内网:内网中存储的是公司内部数据,这些数据一般是不允许外网用户访问的(如果要访问,可以通过VPN的方式进行)
4.外网可以访问DMZ:因为DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ
5.DMZ不能访问内网:如果不执行此策略,当攻击者攻陷DMZ时,内网将无法受到保护
6.DMZ不能访问外网:此策略也有例外。如果DMZ区存在邮件服务器等就需要访问外网,否则无法正常工作
可是实际情况真的像上面所列举的这么理想化吗?
原文始发于微信公众号(零漏安全):重生之我在魔都学内网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论