一、技战法描述
VPN是利用Internet等公共网络基础设施,通过隧道加密通信技 术,为用户提供安全的数据通信的专用网络,可以实现不同网络之间 以及用户与网络之间的相互连接。当攻击者通过钓鱼邮件、VPN漏洞、弱口令等途径获取VPN接入权限,再仿冒其身份接入目标内网进行进一步渗透。解决这个问题,就要了解现有的网络安全架构,定义一套与业务相关的访问控制策略,解决VPN被控制后,有效保障内网内部资料、办公OA、ERP系统、项目管理系统等安全。
二、安全风险
1、直接针对具有VPN接入权限的VPN网络管理员、内部个人用户、分 支机构、合作伙伴或客户开展网络攻击,通过渗透窃取他们的VPN接入 账户口令或接入凭据,再仿冒其身份接入目标内网进行进一步渗透。
2、针对暴露在互联网侧的VPN网关设备开展攻击,通过设备漏洞 利用控制VPN网关设备,再利用边界网关设备控制权限和内外网连通的优势渗透内网。
三、安全防护体系
1、所有员工安装好VPN客户端,绑定手机号码开启强口令、空闲退出登录等强因素认证功能,业务都必须使用VPN完成认证才能访问。
2、VPN访问控制:明确好访问VPN的区域,如明确中国或只有某个省市才能登录VPN设备,减少暴露面的安全风险。
3、资源的访问控制:在VPN添加资源时,保证不同的用户只能访问到自己需要的访问资源;互联网防火墙需要对VPN的访问范围进行限制,禁止访问除服务器外的所有地址。
4、服务器的访问控制:服务器的网关都在核心上,每个服务器都单独在一个30位的掩码中,保证服务器之间不能做数据交互;服务器的边界防火墙对外开放服务器的对外端口、管理端口,其他端口都不开放;对于单向访问的服务器,使用防火墙限制,禁止访问互联网和公司的内网,防止反弹shell的链接。
