发布时间:2022-08-19 12:45
经常听到别人说内网啊,外网啊,那到底什么是内网,什么是外网?
内网:又称局域网,在某一个特定的、比较局限的区域由数台计算机互联组成的网络系统。比如校园网、政府网。
外网:又称广域网、公网,是连接不同地区局域网或城域网计算机通信的远程网。
(图片来自百度百科)
说的简单一点,就是一个路由器由很多接口,每个接口都有一个IP分出去,而每个分出去的IP又可以再划分为多个然后再分配给一个局域网上所有的主机(欲详细了解请学习计算机网络)。
内网里有很多的组件,工作组、域、域控、父域、子域、域树、域森林、DMZ等等,那它们到底什么呢?我们慢慢了解。
试想在一些大公司,数百上千台计算机组成的一个大型局域网,他们各司其职,有些可能是“技术部”的,也可能有些是“财务部”的等等,但他们处于一个局域网内可以互相访问,那么网络会处于一个很混乱的程度。
而解决这个问题从Windows 9x/NT/2000开始就用到了工作组(Work Group),它能将不同的计算机按功能分别列入不同的组中,以方便管理。比如"技术部"的有一个组,"财务部"的也有一个组,若需要访问某个部门的资源直接选择即可,简单来说和分类差不多。
在我的电脑右键属性中可以查看自己计算机的工作组
我们已经知道,工作组可以分类为不同的组,只要在同一网段下任何人都可以在需要的工作组的访问资源。工作组这时候就想一个可以自由进出的空间,这一网段下所有的计算机都是对等的。也就没有客户端和服务器之分。为了实现"三省六部"制,引入了域。
域(Domain)一个有安全边界的计算机集合(这个安全边界指的是,不同的域的用户不能再像工作组一样互相访问了)。简单理解就是升级版的工作组。
域控制器(Domain Controller,简写为DC)域控制器是指在一个域内,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,对域内计算机的互相访问进行审核。
图片来自网络,觉得比较形象。
通常在一个位置固定的小公司或小学校,建立一个域就可以满足需求。在一个域内通常需要两台域服务器,一台作为域控,另一台作备份DC,如果域控瘫痪了或者其它原因不能使用了则可以启用备份域控。
如果一个公司或学校有好几个分公司或者分校,那么就需要在一个网络下划分多个域,第一个域称为父域,其它部分称为子域。如果不同地点划分在同一域内,信息交互过长,而且如果划分了域分部也能自己管理自己的资源。提一点,父域和子域是相对的,子域也能作为父域划出属于它的子域。
域树(Tree)由多个域建立信任关系组合而成的集合,每一个域管理员只能管理自己域内,无法管理和访问其它域,如果需要管理或者访问则需要建立信任关系,所以信任关系是不同域之间互相访问的桥梁。一个父域可以有很多子域,子域相对于父域来说是域名中的一个段,父域划分子域时用子域名加"."连接父域名,一个"."表示一个层级。如图,abc.com只有一个".",为父域,越往下走"."越多,层级约低。
如果一个公司把另一个公司吞并了,或者一个学校和另一个学校合并了,因为他们不是在一个局域网内的,所以如果被合并的公司或学校想要保留以前的特性该怎么解决。域森林就是一个方法,当多个域树建立信任关系后就成了域森林也就是两个域树的最高层级父域相互建立信任关系。
域名服务器 (Domain Name Server,DNS)如果买过服务器或者域名的朋友应该对这个比较清楚,DNS就是实现域名(Domain Name)和与之对应的IP地址(IP Address)转换的服务器,也就是把域名翻译成IP给电脑识别。从前面的介绍可以发现域中父域和子域的域名和DNS域名非常相像。实际上,域中的计算机就是通过DNS来定位域控、服务器以及其它计算机和网络服务的,所以域的名字其实就是DNS域的名字。在内网渗透中,大都是通过寻找DNS服务器来确定域控(域控和DNS服务器通常在一台机器上)。
活动目录(Active Directory,AD)指域环境中提供目录服务的组件。
活动目录中存储了用户、用户组、计算机、域、组织单位(OU)以及安全策略等等。其实顾名思义,活动目录可以理解为目录,一个索引,索引到的真正内容是在内网的资源中。目录的作用是为了快速定位资源。活动目录的数据存储在活动目录数据库中简称AD库,AD库存储在域控DC的服务器上,因为同一个域中每一个用户都可以访问活动目录,如果管理员用户修改密码,那么只需要在活动目录数据库中修改一次即可,否则管理员改密码需要在同一个域这种几十几百甚至上千台计算机上修改密码非常的麻烦。
活动目录不受时空限制,只要在同一个域中就能共享访问,每个域都有一个属于这个域的活动目录,因此每个域的活动目录相互独立,如果不建立信任关系的话,一个域中的用户无法访问其它域中的目录。
活动目录提供的主要功能:
账号集中管理:所有用户的信息,用户的账号密码存储在服务器,防止用户忘记密码只能爆破。
资源集中管理:管理打印机、文件共享服务等网络资源。
环境集中管理:统一客户端桌面、浏览器、TCP/IP协议等设置
增强安全性:统一部署的杀毒软件和扫描任务、集中管理用户访问的权限、统一制定用户密码策略等。可以监视网络,对资料统一管理。
安全域划分的规则是将安全等级相同的组划入一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上部署防火墙实现与其它安全域隔离的效果。可以通过防火墙设置白名单或者黑名单,只允许哪些用户或者禁止哪些用户访问此域,使得网络风险最小化,当一个域受到攻击时另一个域不会受到牵连,减小网络攻击的波及。
一般可以将网络划分三个区域:安全级别最高的内网,安全级别中等的DMZ(demilitarized zone,隔离区),安全级别最低的外网。
如下图
隔离区(DMZ)是为了解决部署了防火墙以后用户无法访问内部网络服务器而设立的一个缓冲区,DMZ上一般存放的是一些公开的服务设施和数据,比如我们的web服务器、FTP服务器就是存放在DMZ,DMZ是对外服务的,所以从外部也就是外网可以访问到该区域。
由于起初只有防火墙的保护,而后为了保护web出现了WAF,而web又在DMZ中,所以可以说DMZ的出现,使得内网有了更多一层的保护。
在配置一个拥有DMZ的网络时,通常需要定义一些访问策略,以实现屏蔽功能(这个对我们后面配红日靶场配环境时会起很大的作用),也就是内网和外网以及DMZ的访问规则。
内网可以访问外网:内网肯定需要访问外网的,网络的作用本就是资源共享。在这一策略中,防火墙需要进行源地址转换。
内网可以访问DMZ:内网可以访问DMZ是为了内网用户能管理和使用DMZ上的资源。
外网不能访问内网:很显然,内网中存在很多隐私数据是不能让外网用户访问的。
外网可以访问DMZ:DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
DMZ不能访问内网:让DMZ访问内网不是必要的操作,而且如果外网用户将DMZ攻陷时,若防火墙允许DMZ访问,那么内网也就不保了。
DMZ不能访问外网:大部分情况下DMZ不能访问外网,但如果是邮件服务器,就需要允许访问外网,否则邮件服务器无法正常工作。
小结:文章是我参考自己最近看的一本内网攻防书籍写的,添加了很多自己的话,有可能存在一些问题,小白仅供参考,欢迎大佬批评指正。
参考:内网安全攻防(徐焱 编写)书籍