精华内容
下载资源
问答
  • ... 在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数据都是明文的,在局域网内连接倒问题不大;要是在外网里访问数据或则复制,则安全隐患会被放大很...所以本文介绍下通过SSL加密的方式进

    本文转自:http://www.cnblogs.com/zhoujinyi/p/4191096.html


    背景:

          在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数据都是明文的,在局域网内连接倒问题不大;要是在外网里访问数据或则复制,则安全隐患会被放大很多。由于项目要求需要直接和外网的一台实例进行同步。所以本文介绍下通过SSL加密的方式进行复制的方法,来进一步提高数据的安全性。本文会一起介绍MySQL和MariaDB。

    环境搭建:

    默认情况下ssl都是关闭的,要是have_ssl显示NO,则表示数据库不支持SSL,需要重新编译安装来支持它,显示为DISABLED表示支持SSL,但没有开启。

    复制代码
    >show variables like '%ssl%';                                                                                                  +---------------+----------+
    | Variable_name | Value    |
    +---------------+----------+
    | have_openssl  | DISABLED |
    | have_ssl      | DISABLED |
    | ssl_ca        |          |
    | ssl_capath    |          |
    | ssl_cert      |          |
    | ssl_cipher    |          |
    | ssl_key       |          |
    +---------------+----------+
    复制代码

    现在来开启SSL,在配置文件的mysqld选项组里面添加:

    ssl

    重启数据库,再次查看:

    复制代码
    show variables like '%ssl%';
    +---------------+-------+
    | Variable_name | Value |
    +---------------+-------+
    | have_openssl  | YES   |
    | have_ssl      | YES   |
    | ssl_ca        |       |
    | ssl_capath    |       |
    | ssl_cert      |       |
    | ssl_cipher    |       |
    | ssl_key       |       |
    +---------------+-------+
    复制代码

    接着就是配置SSL的重点了:

    1:在主服务器上创建CA证书:

    openssl genrsa 2048 > ca-key.pem
    
    openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem

    2:在主服务器上创建服务端的证书:

    openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem > server-req.pem
    
    openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

    3:在主服务器上创建客户端的证书:

    openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem > client-req.pem
    
    openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

    上面的操作都是在主上执行的,并且都在/etc/mysql/ 目录下执行的。这里需要注意的是MySQL和MariaDB不同:

    MySQL在生成上面证书的时候需要输入大量用户信息,在CA上创建证书要注意所有的用户信息要和CA中的一致,从国家到部门都要相同,否则会造成证书无法使用,直接全部默认回车即可。要是用户信息一样则MariaDB会报错:

     ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)

    [ERROR] Slave I/O: error connecting to master ... - retry-time: 60  retries: 86400  message: SSL connection error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed, Internal MariaDB error code: 2026

    MariaDB在生成上面证书的时候也是需要输入大量用户信息,和MySQL不同的是输入的用户信息服务端和客户端不能一致。即服务端输入和客户端输入不一样。具体原因见这里,最后可以通过:

    openssl verify -CAfile /etc/mysql/ca-cert.pem /etc/mysql/server-cert.pem /etc/mysql/client-cert.pem

     验证MariaDB证书的有效性。好了,所有的证书已经生成,那么在主上需要修改配置文件,把生成的证书配置起来:

    ssl-ca=/etc/mysql/ca-cert.pem
    ssl-cert=/etc/mysql/server-cert.pem
    ssl-key=/etc/mysql/server-key.pem

    并且把生成的证书:ca-cert.pem,client-cert.pem,client-key.pem 复制给从服务器

    重启主服务器,查看SSL的情况:

    复制代码
    >show variables like '%ssl%';
    +---------------+----------------------------+
    | Variable_name | Value                      |
    +---------------+----------------------------+
    | have_openssl  | DISABLED                   |
    | have_ssl      | DISABLED                   |
    | ssl_ca        | /etc/mysql/ca-cert.pem     |
    | ssl_capath    |                            |
    | ssl_cert      | /etc/mysql/server-cert.pem |
    | ssl_cipher    |                            |
    | ssl_key       | /etc/mysql/server-key.pem  |
    +---------------+----------------------------+
    复制代码

    发现have_ssl变成了DISABLED,查看错误日志:

    SSL error: Unable to get private key from '/etc/mysql/server-key.pem'
    141229 11:09:02 [Warning] Failed to setup SSL
    141229 11:09:02 [Warning] SSL error: Unable to get private key

    发现服务端的key不可用,在网上到了解决办法,大家可以自己看:http://askubuntu.com/questions/194074/enabling-ssl-in-mysql,概括的说就是openssl新版本的变化导致的,这里有2个解决办法来重新生成server-key.pem:

    方法1:openssl rsa

    openssl rsa -in server-key.pem -out server-key.pem 

    再次查看SSL情况:

    复制代码
    >show variables like '%ssl%';
    +---------------+----------------------------+
    | Variable_name | Value                      |
    +---------------+----------------------------+
    | have_openssl  | YES                        |
    | have_ssl      | YES                        |
    | ssl_ca        | /etc/mysql/ca-cert.pem     |
    | ssl_capath    |                            |
    | ssl_cert      | /etc/mysql/server-cert.pem |
    | ssl_cipher    |                            |
    | ssl_key       | /etc/mysql/server-key.pem  |
    +---------------+----------------------------+
    复制代码

    方法2:这里也可以直接安装openssl的0.9.8x版本进行证书生成。

    wget http://www.openssl.org/source/openssl-0.9.8x.tar.gz 
    tar xvfz openssl-0.9.8x.tar.gz 
    cd openssl-0.9.8x 
    ./config --prefix=/usr/local/openssl-0.9.8 
    make 
    make install

    本文是通过方法1来进行解决的。

    到此在主上的操作完成,再生成一个复制帐号:REQUIRE SSL

    GRANT REPLICATION SLAVE ON *.* TO 'rep'@'192.168.200.%' IDENTIFIED BY '123456' REQUIRE SSL;

    接着就去从上配置。之前已经把生成的证书给了从服务器,那么在配置之前可以用SSL连接主服务器试试:

    $mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h192.168.200.245 -urep -p
    Enter password: 
    SSL error: Unable to get private key from 'client-key.pem'
    ERROR 2026 (HY000): SSL connection error

    同理,也是SSL的问题导致的,重新生成client-key.pem,方法同重新生成server-key.pem一样:

    openssl rsa -in client-key.pem -out client-key.pem 
    

    继续用SSL测试连接:

    复制代码
    $mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h192.168.200.245 -urep -p
    Enter password: 
    Welcome to the MySQL monitor.  Commands end with ; or \g.
    Your MySQL connection id is 763
    Server version: 5.5.35-0ubuntu0.12.04.2-log (Ubuntu)
    
    Copyright (c) 2000, 2014, Oracle and/or its affiliates. All rights reserved.
    
    Oracle is a registered trademark of Oracle Corporation and/or its
    affiliates. Other names may be trademarks of their respective
    owners.
    
    Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
    
    mysql> \s
    --------------
    mysql  Ver 14.14 Distrib 5.5.37, for debian-linux-gnu (x86_64) using readline 6.2
    
    Connection id:        763
    Current database:    
    Current user:        rep@192.168.200.212
    SSL:            Cipher in use is DHE-RSA-AES256-SHA
    Current pager:        stdout
    Using outfile:        ''
    Using delimiter:    ;
    Server version:        5.5.35-0ubuntu0.12.04.2-log (Ubuntu)
    Protocol version:    10
    Connection:        192.168.200.245 via TCP/IP
    Server characterset:    utf8mb4
    Db     characterset:    utf8mb4
    Client characterset:    utf8
    Conn.  characterset:    utf8
    TCP port:        3306
    Uptime:            22 min 52 sec
    
    Threads: 3  Questions: 2325  Slow queries: 1  Opens: 7483  Flush tables: 1  Open tables: 100  Queries per second avg: 1.694
    复制代码

    SSL测试连接成功,并且登入的SSL协议是:Cipher in use is DHE-RSA-AES256-SHA

    继续在从上配置SSL:

    ssl
    ssl-ca=/etc/mysql/ca-cert.pem
    ssl-cert=/etc/mysql/client-cert.pem
    ssl-key=/etc/mysql/client-key.pem

    查看SSL是否被支持:

    复制代码
    >show variables like '%ssl%';
    +---------------+----------------------------+
    | Variable_name | Value                      |
    +---------------+----------------------------+
    | have_openssl  | YES                        |
    | have_ssl      | YES                        |
    | ssl_ca        | /etc/mysql/ca-cert.pem     |
    | ssl_capath    |                            |
    | ssl_cert      | /etc/mysql/client-cert.pem |
    | ssl_cipher    |                            |
    | ssl_key       | /etc/mysql/client-key.pem  |
    +---------------+----------------------------+
    复制代码

    从上SSL也被正确支持,那么最后开始配置主从replicate。在从上CHANGE:

    CHANGE MASTER TO MASTER_HOST='192.168.200.245', MASTER_USER='rep', MASTER_PASSWORD='123456', MASTER_LOG_FILE='mysql-bin.000042', MASTER_LOG_POS=521, MASTER_SSL=1, MASTER_SSL_CA = '/etc/mysql/ca-cert.pem', MASTER_SSL_CERT = '/etc/mysql/client-cert.pem', MASTER_SSL_KEY = '/etc/mysql/client-key.pem'

    测试:

    M:

    复制代码
    >create table tmp_1229(id int,name varchar(100))default charset utf8;
    
    >insert into tmp_1229 values(1,'a'),(2,'b'),(3,'c');
    
    >select * from tmp_1229;
    +------+------+
    | id   | name |
    +------+------+
    |    1 | a    |
    |    2 | b    |
    |    3 | c    |
    +------+------+
    复制代码

    S:

    复制代码
    >select * from tmp_1229;
    +------+------+
    | id   | name |
    +------+------+
    |    1 | a    |
    |    2 | b    |
    |    3 | c    |
    +------+------+
    
    
    复制代码

    以上同步成功。

    总结:

          SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。复制默认是明文进行传输的,通过SSL加密可以大大提高数据的安全性。在上面的过程中,遇到一些问题:

    1:openssl版本问题引起的证书不可用,文中已经说明解决办法。

    2:MariaDB 证书的不可用,原因是生成服务端客户端证书的时候输入一致导致的,文中也说明了解决办法。

    3:要是配置有问题,在用SSL登陆的时候,可以发现错误信息,可以直接定位到哪里出问题。

    ssl登陆:
    mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h192.168.200.245 -urep -p

    4:在配置MariaDB的时候,在生成证书的时候可以直接先验证,查看是否有问题。

    验证:
    openssl verify -CAfile /etc/mysql/ca-cert.pem /etc/mysql/server-cert.pem /etc/mysql/client-cert.pem 

    /etc/mysql/server-cert.pem: OK
    /etc/mysql/client-cert.pem: OK

    5:要是openssl版本没有问题,不需要再次通过openssl rsa 再次生成,具体的安装配置方法参照本文章即可。

    更新(2016.3.19):

    今天做了MySQL5.7的SSL复制,5.7安装的时候就已经在数据目录下面生成了上面的这些pem文件,所以直接把client的pem复制到从上去就可以了(注意复制过去之后修改权限,属主改成mysql即可)。否则报错:

    Failed to set up SSL because of the following SSL library error: Unable to get certificate ... server-cert.pem
    Failed to set up SSL because of the following SSL library error: Unable to get private key ... server-cert.pem

     

    更多信息:

    https://blog.marceloaltmann.com/en-mysql-replication-with-ssl-pt-replicacao-em-mysql-com-ssl/

    http://www.zhengdazhi.com/?p=856

    http://dev.mysql.com/doc/refman/5.5/en/replication-solutions-ssl.html

    https://dev.mysql.com/doc/refman/5.7/en/replication-solutions-secure-connections.html


    展开全文
  • 但这里有个问题是,如果你碰到的是用SSL/TLS等加密手段加密过的网络数据的时候,往往我们只能束手无策。在过去的话,如果我们拥有的该传输会话的私钥的话我们还是可以将它提供给WireShark来让其对这些加密数据包进行...


    1. 简介

    相信能访问到这篇文章的同行基本上都会用过流行的网络抓包工具WireShark,用它来抓取相应的网络数据包来进行问题分析或者其他你懂的之类的事情。


    一般来说,我们用WireShark来抓取包进行分析是没有多大问题的。但这里有个问题是,如果你碰到的是用SSL/TLS等加密手段加密过的网络数据的时候,往往我们只能束手无策。在过去的话,如果我们拥有的该传输会话的私钥的话我们还是可以将它提供给WireShark来让其对这些加密数据包进行解密的,但这已经是想当年还用RSA进行网络数据加密的年代的事情了。当今大家都已经逐渐拥抱前向加密技术PFS 的时代了,所以该方法就不再适用了。因为前向加密技术的目的就是让每个数据交互都使用的是不同的私钥,所以你像以前RSA时代一样想只用一个私钥就能把整个session会话的网络数据包都破解出来的话是不可能的了。所以这将是一个挺恼火的事情。

    2. Session Key日记记录来救火!

    大家先别火起,这里我来告诉你另外一个简单的方法来解决这个问题!其实Firefox和Chrome浏览器都支持用日记文件的方式记录下用来加密TLS数据包对称会话秘钥的。这样你就可以在WireShark中指定该文件来快速完成你的破解目的了。请继续往下看具体的步骤。

    3. Browsers配置

    首先你需要配置一个环境变量。

    3.1 在Windows下的配置:

    怎么去到环境变量配置页面相信不需要我多说了,毕竟国内还是Windows的天下。


    在上图的位置增加一个新的叫做“SSLKEYLOGFILE”的环境变量并指定其路径到你想要保存你的会话私钥的地方。


    3.2 在Linux或者MAC OS X上的配置:

    1
    $ export SSLKEYLOGFILE=~/path/to/sslkeylog.log

    当然,如果你想在你的系统每次启动的时候都指定该日记路径的话,你可以在你的Linux下执行下面的动作:

    1
    ~/.bashrc

    或者在你的MAC OS X上执行以下命令:

    1
    ~/.MacOSX/environment

    这样我们下次启动Firefox或者Chrome的开发者模式的时候,TLS秘钥就会自动写入到该指定文件下面了。

    4. Wireshark配置

    为了支持这个功能,你当前的WireShark版本必须是1.6或者更新。我们仅仅要做的就是先进入偏好设置页面:



    展开协议选项:


    找到SSL选项然后如下图所示打开上面设置好的会话秘钥保存文件:


    5. 结果

    下图就是我们通常见到的WireShark抓到TLS数据包后的显示结果:


    This is what it looks like when you switch to the “Decrypted SSL Data” tab.  Note that we can now see the request information in plain-text!  Success!大家可以看到WireShark下面会有一个“已解密的SSL Data”的标签,点击之后你就可以如下图所示的看到已经解密的TLS数据包的相信信息了:


    6. 小结

    通过本文我真心希望你能从中学到一些东西,该方法让我们能够如此直截了当的去把TLS数据包给破解出来。这种方式的另外一个值得一提的好处是,给会话过程中的两台机器根本不需要安装任何Wireshark工具,因为你会担心安装上去会搞得问题是做多错多都不知道哪里出问题了。你只需要做的是把他们上面的该会话秘钥文件指定到一个网络共享文件夹然后用另外一个已经机器上安装WireShark并如前所示指定该秘钥文件进行抓包就了事了。

    最后多谢大家查看本文。如想每天都能看到最新的技术等资讯文章,敬请关注本人下面提供的微信公众号:techgogogo。谢谢!

    -------------完------------------

    英文原文引用:https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

    /译者

    微信知识共享公众号

    CSDN

    天地会珠海分舵

    TechGoGoGo

    http://blog.csdn.net/zhubaitian

    优秀资源推荐

    地址

    点评

    DoctorQ博客

    http://testerhome.com/doctorq/topics

    安卓自动化领域才俊           

    金阳光测试

    官网:www.goldensunshine.cc

    更多请百度搜:“金阳光”


    展开全文
  • 主主mysql搭建我就不多叙述了由于公司需求要基于公网的mysql主主复制,对数据隐私保护的要求极为严格,通过局域网或广域网复制数据都需要加密,一般都是基于公网才做,需用到ssl隧道。废话不多说环境:Centos6.5...

    主主mysql搭建我就不多叙述了


    由于公司需求要基于公网的mysql主主复制,对数据隐私保护的要求极为严格,通过局域网或广域网复制数据都需要加密,一般都是基于公网才做,需用到ssl隧道。废话不多说


    环境:Centos6.5

    master1:192.168.1.10

    master2: 192.168.1.30


    查看是否开启ssl

    show variables like '%ssl%';


    开启ssl

    vim /etc/my.cnf

    [mysqld]

    ssl


    配置CA服务器

    vim /etc/pki/tls/openssl.cnf

    dir=/etc/pki/CA


    mkdir certs newcerts crl 

    touch index.txt

    echo 01 > serial


    1、生成密钥:CA私钥的存储位置为/etc/pki/CA/private下一般存储名字为cakey.pem的名字权限只有属主有权限(因为和配置文件中的文件保持一直)


    (umask 077;openssl genrsa -out private/cakey.pem 1024)


    命令解释:

    umask 077:设置生成的文件的权限

    genrsa:生成私钥

    -out:私钥存放路径

    2048:2048字节计算(默认为1024)


    openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 365


    命令解释:

    req:生成证书签署请求

    -new:新请求

    -key /path/to/keyfile:指定私钥文件位置

    -out /path/to/somefile:指定证书文件存放在位置

    -x509:生成自签证书

    -days n:指定过期天数


    国家--省份--地区--公司名称--公司部门名称--CA服务器主机名--管理员邮箱

    cn--beijing--haidian--datong--it--woqu--yy520it@163.com


    ------------------------------------------------

    2、为主服务器RS1准备私钥并颁发证书


    mkdir /var/lib/mysql/ssl

    cd /var/lib/mysql/ssl/

    生成密钥

    (umask 077;openssl genrsa 1024 > master1.key)

    生成证书签署请求

    openssl req -new -key master1.key -out master1.csr


    A challenge password []:-----------证书请求密钥,CA读取证书的时候需要输入密码

    An optional company name[]:-----------公司名称,CA读取证书的时候需要输入名称


    openssl ca -in master1.csr -out master1.crt -days 365


    cp /etc/pki/CA/cacert.pem /var/lib/mysql/ssl/

    chown -R mysql:mysql /var/lib/mysql/ssl


    -----------------------------------------------

    3、为slave上的mysql准备私钥及申请证书


    创建存放证书的位置

    mkdir /var/lib/mysql/ssl

    cd /var/lib/mysql/ssl


    创建所需要的证书

    (umask 077;openssl genrsa 1024 > master2.key)

    openssl req -new -key master2.key -out master2.csr

    scp ./master2.csr 192.168.1.10:/root/

    在master1上为master2签发证书

    openssl ca -in master2.csr -out master2.crt

    scp master2.crt /etc/pki/CA/cacert.pem 192.168.1.30:/var/lib/mysql/ssl

    chown -R mysql.mysql ssl


    -------------------------------------------

    4、修改配置文件

    vim /etc/my.cnf

    加入

    ssl-ca=/var/lib/mysql/ssl/cacert.pem

    ssl-cert=/var/lib/mysql/ssl/master1.crt

    ssl-key=/var/lib/mysql/ssl/master1.key



    show variables like '%ssl%';

    +---------------+--------------------------------+

    | Variable_name | Value                          |

    +---------------+--------------------------------+

    | have_openssl  | YES                            |

    | have_ssl      | YES                            |

    | ssl_ca        | /var/lib/mysql/ssl/cacert.pem  |

    | ssl_capath    |                                |

    | ssl_cert      | /var/lib/mysql/ssl/master1.crt |

    | ssl_cipher    |                                |

    | ssl_key       | /var/lib/mysql/ssl/master1.key |

    +---------------+--------------------------------+


    grant replication slave,replication client on *.* to repluser@'192.168.1.%' identified by '123456' require ssl;


    flush privileges;


    show master status;


    change master to master_host='192.168.1.10',

    master_user='repluser',

    master_password='123456',

    master_log_file='mysql-bin.000008',

    master_log_pos=308,

    master_ssl=1,

    master_ssl_ca='/var/lib/mysql/ssl/cacert.pem',

    master_ssl_cert='/var/lib/mysql/ssl/master2.crt',

    master_ssl_key='/var/lib/mysql/ssl/master2.key';

    (自己的)



    start slave;

    show slave status\G


    转载于:https://blog.51cto.com/53cto/1695488

    展开全文
  • Protocol)这个互联网上用的最广泛的网络协议,其技术架构,协议功能,协议原理百度或者google都有详细解释。...Text Transfer Protocol over Secure ...Layer)多就多在这个S上,SSL加密,通常理解,https就是http...

    说到https,不得不提http(HyperText Transfer Protocol)这个互联网上用的最广泛的网络协议,其技术架构,协议功能,协议原理百度或者google都有详细解释。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在这个S上,SSL加密,通常理解,https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢,SSL是一个目前应用非常广泛的一种非对称加密方式,也是公认破解不了的。安全,又好用,所以才能广泛应用,除了http,邮件的pop3,smtp,IM通讯等等,都能用上,是个很好的加密方式。起初用https通常都是金融类网站用到财务交易,时光如水,岁月如歌,IT技术一日百里的飞速发展,现在很多门户网站,企业网站也都逐渐使用https协议,这个也是事实的趋势。概念就是这个概念了,那么https如何监控管理呢?以下说明是献给非专业IT技术人员,非专业码农的。为了大家都能明白,可能有些叙述比较幼稚和粗浅,请多多理解。

    1.https是如何监控管理的呢,又要从http的传输说起。(叙述的比较粗浅,非专业水平,就是让大家有个概念性理解就行,太专业的词汇扯起来也不明白就不装腔了)为了更好的理解,先说http传输,将A比作客户端,C比作网站端。A说我要苹果,C就给A传一个苹果,这个时候可以想象成,互联网上无数的苹果在裸奔。

    白话https管控1.jpg

    所以市面上专业带审计功能上网行为管理软件,硬件都能记录到HTTP的网页浏览链接,域名,标题。如果连这点都做不到,或者就是记录一个简单的域名,那么这款产品和专业上网审计就不搭边了,很多路由号称也有上网审计功能,扯呼。路由是路由芯片来的,几乎没法对上网做审计。

    2.下面就要解释https的传输了,如果说http传输是裸奔的苹果,那么https的传输则是被锁起来的苹果在奔跑,解锁的只要网站端和用户端了。这个时候互联网上飘着很多锁,但是锁里面的是苹果还是橘子不知道,也没法解出来,这个锁就是SSL不对称加密,直接解是解不了的。

    白话https管控2.jpg

    白话https管控2.jpg















    3.https解不了,不代表没有办法哦,有个专业技术“中间人技术”原理,源码都有公开,但是做的好坏,也看各家技术上专研的态度以及愿意用多少时间和成本放在技术上了。看图解释,(这个中间人是两面派,在客户端面前扮演网络端,在网络端面前扮演客户端,把网络端和客户端加密的传输的苹果自己也加密传输给对方获取对方的密钥从而解析到解密的数据)中间人技术用在HTTPS监控上的不如用在SSL加密上的普遍,到底记录了员工的网页浏览也只是追踪了员工上网痕迹分析他们工作动态,信息安全上,一般用在邮件监控方面,所以拥有HTTPS监控的方案的产品,客户端邮件基本都能监控到。中间人技术不是什么高深技术,但是一定是一个专业技术。

    201712281514455254819523.jpg

    4.实际应用:那么在实际应用中,什么样的产品才有有这样的专业技术用来全方位网络管理?首先,所有的路由都不可以,中间人技术比较耗资源,路由架构以及路由芯片承载不了,在高端,在大牌,在怎么说是上网行为管理的路由,都没有哦。有的都是硬件防火墙,网关,x86架构专业工控机,PC,或者服务器系列才可。

    中间人技术一般用在两个方面比较多,局域网网络监控以及专业的硬件防火墙,专业硬件防火墙用中间人技术,一般都是用来杀毒的。局域网网络监控用来监控HTTPS浏览,以及SSL加密邮件的记录。有两种非常典型的实际应用,两个恰恰侧重点偏的不一样。Unangel 第二代防火墙,侧重防火墙和过滤,中间人技术应用在杀毒和过滤上。WSG上网行为管理网关,侧重上网行为管理和内容审计,中间人技术应用在内容审计以及过滤上。

    a,untangel:第二代防火墙,专业防火墙加网络管理 侧重防火墙以及应用网站过滤。价格牛产品牛,系统开放,有条件可以试试,网站介绍,他们号称开源,不过估计瞎扯淡了。

    201801191516360233118757.png

    b.WSG上网行为管理网关,基本防火墙加网络管理 侧重上网行为记录,以及应用过滤网站过滤,中间技术用在用在SSL邮件监控以及HTTPS网站监控上,内容过滤。亲民产品,系统开放有技术条件用户都可以测试使用。

    201801191516360755750515.png

    201801191516360773120150.png


    转载于:https://blog.51cto.com/12800391/2064284

    展开全文
  • 在内部局域网内搭建HTTPs 配置环境 Windows版本:Windows Server 2008 R2 Standard Service Pack 1 系统类型:64位操作系统 内存...
  • 目录 第一章 为什么网络是不安全的? 第二章 信息安全的基本概念   第一节 安全的定义   第二节 认证与授权  ...第三章 加密与算法  ... 第三节 非对称加密(ASYMMETRIC CRYPTOGRAPHY)
  • 局域网内的攻击—Arp欺骗

    千次阅读 多人点赞 2020-10-29 09:41:28
    局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。MAC地址就是ARP协议获得的。其实就是主机在发送帧前将目标...
  • 局域网内实现https安全访问

    万次阅读 2018-07-06 09:42:00
    局域网内实现https安全访问 准备原料 服务器 resin (当然也可以是tomcat,这里以resin为例) 安装jdk 域名 (随便写一个就行,因为是内网使用,不会被校验) 生成证书 第一步:为服务器生成证书 keytool...
  • 局域网内收发邮件 - 3 DNS域名解析
  • 如何在局域网内部署服务器监控 ?

    千次阅读 2015-12-29 16:57:38
    # 跳过 ssl 加密 license_key: 自己的 license_key 这样重启探针即可生效,通过配置的 ci_url ,探针将数据发送到 http://192.168.43.145:8082/infrastructure/metrics.do ,而这个地址经由 Nginx 代理...
  • 本地局域网内linux为nginx搭建https

    千次阅读 2018-04-09 13:26:19
    创建 SSL Certificate openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout nginx.key -out nginx.crt 参数说明:req: 配置参数-x509指定使用 X.509证书签名请求管理(certificate signin...
  • 这里所说的局域网内的所有设备通过代理上网,并不是在每台设备上安装某个代理软件然后再通过代理服务端来上网。 而是所有这些设备的网关IP设置到某个主机上,这样所有设备的网络数据都会转发到这个主机上。 而这个...
  • 【python】TCP socket 实现局域网一对一聊天、另附TLS加密加密版 一、初始版1.1 代码效果演示 1.2服务器端源码 1.3客户端源码 二、将初始版的服务器端和客户端整合成一个文件2.1 代码效果演示2.2 源代码 三、TLS加密...
  • FTP+SSL(加密的ftp)

    千次阅读 2012-03-21 07:51:40
     【是比较流行的一种局域网工具!】  缺陷 --- 明文传输不安全!!!!   以下的实验使用的工具是 wireshark--->抓包软件 操作系统是: ftp是linux redhat 5.4企业版   一、配置ftp服务器平台...
  • 1667) 特殊情况: 本人连了两台机器的SQL SERVER, 一台本机:无问题 一台局域网内其他机器:报上述异常信息,明显是SSL连接问题,将 tomcat 日志输出的中文乱码问题解决后,更直接的显示是加密问题 因老版本JDK...
  • SSLProxy

    千次阅读 2012-06-15 13:04:59
    它可以使原来没有SSL加密的通信数据通过SSL进行传输,甚至可以配合代理王、e-border等软件组成“加密VPN”。 编辑本段特点  1:客户端对外提供标准的socks5代理和http代理接口,满足大部分软件的需求。
  • 使用SSL证书为Windows(非Server)远程桌面RDP连接加密 本文用于解决远程桌面连接中“无法验证此远程计算机的身份。”这一问题,强迫症福音! 本文主要介绍非Server系统中无法使用专用工具,转而修改注册表的方法
  • 最近用一个SSH的项目去...com.microsoft.sqlserver.jdbc.SQLServerException: 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“Unsupported curveId: 29”。 at com.microsoft.sqls...
  • 所以重要信息不适合使用TCP直接传输,需要进行加密传输,具体的实现有很多种,其中一种是安全套接字SSL(传输层安全协议TLS)。本文中我们先使用标准的TCP协议进行通信,然后改用TLS协议进行通信,并对通信过程进行...
  • SSL

    2009-03-11 16:53:00
    网络越来越广泛,随之而来的网络安全也是越来越受到人们的关注,刚才看到一个很不错的关于SSL的技术贴,偷下来喽 【IIS的SSL配置】IIS服务器如何配置SSL2008-12-31 12:05随着Windows Server 2003操作系统的推出,...
  • 局域网监控软件

    2013-07-25 16:19:34
    邮件监控记录功能,记录所有通过Outlook Express和FoxMail发出的邮件到服务器,可以随时查看邮件的内容(包括附件的内容),WorkWin是目前全球唯一支持SSL加密邮件监控的软件,同时也支持非标准SMTP协议外发的邮件...
  • 本文以总结的形式,先大体介绍TCP/IP协议整体组成,再择其应用层上的HTTP协议进行详细总结,继而拓展知识点讲解加密学,过渡到HTTPS协议的学习,除去网络知识必备掌握的三次握手、四次挥手,另需了解基于SSL/TLS的...
  • 近期的工作中遇到了数据传输加密的需求,就是在数据传输安全层面都要求使用https协议,因此为Web站点安装SSL证书就成了必须,以下就过程记录。 1.需求及选型 需求有两条: ** 1.支持内网IP地址 ** 我们很多项目都是...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 10,922
精华内容 4,368
关键字:

局域网内ssl加密