简介:企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。然而随着业务增 ...
企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。 1.简单的企业网络架构 如下用于发现安全边界的企业网络架构demo图: 2.发现网络安全边界 从“大安全”的角度,企业网络安全分被攻击和“被”发起攻击,所以企业既要保证自身网络安全,还要保证不被利用起来攻击其他企业网络 2.1DNS服务 ①没有托管DNS解析服务,自搭的DNS服务解析内外网域名,注意内外网区分 ②DNS服务软件漏洞 ②DNS被用来放大攻击他人网络 2.2CDN服务 ①CDN的DNS服务失效,导致自己业务无法访问 ②CDN回原流量(cdn请求业务服务器)未加密,被嗅探 ③CDN边缘服务器存在漏洞,泄露内存数据 ④同一CDN服务器的其他公司业务存在漏洞(边缘节点不隔离) 2.3业务服务器 ①采用多网关负载均衡 防止DDOS攻击、CC攻击 ②网关/防火墙采用最少端口原则,仅允许入方向的80、443端口,不允许出方向的流量,防止外带泄露数据 ③对提供web服务进行安全评估,全站https (大部分企业对外业务为web形式) 2.4云托管服务器 云服务器提供了类似防火墙的功能,但云服务器内部网络隔离安全仍需验证。 2.5邮件服务 ①伪造发件人攻击 以前的邮局递信都是在各邮局分部放置一个邮筒,只要贴上邮票任何人都能以任何身份向任何人寄信。 互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述 1、用户A使用密码登录163邮箱后,撰写邮件发送到好友B的qq邮箱; 2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器,此过程不需要提供密码; 3、用户B登录qq邮箱后,通过qq邮箱收信服务,收到来自A的邮件; 其实互联网邮件与邮局递信流程上并未改变,只是163邮箱,qq邮箱等代替了邮局分部,都存在身份认证的问题。 比如恶意用户C,伪造邮件递送到qq邮箱服务器发送给用户B,且声称自己是用户A,此过程是可行的,只需要找到QQ邮箱的SMTP服务器地址即可 有两类伪造情况:伪造发件人ceo@qq.com,发邮件到hr@qq.com;另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景 配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证 ②携带恶意附件,客户端防毒,邮件网关杀毒 配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证 ②携带恶意附件,客户端防毒,邮件网关杀毒 ③密码爆破,邮件中包含服务器信息、架构信息、商务信息 ④邮件客户端漏洞:foxmail,outlook,web方式,企业邮箱 2.6访客wifi ①设置WAP2密码,禁止访问内部网络 ②保护WiFi物理安全,保证不被重置密码,更新固件等 ③限制WiFi强度,不需要扩散很远 ④检测伪造的相同SSID的WiFi,防范钓鱼 ⑤禁止私搭WiFi接入点 2.7VPN ①账号及权限设置,不同权限访问不同的内部网络 ②证书方式登陆,防止爆破 ③VPN软件安全 天下数据提供美国高防服务器、香港高防服务器、韩国高防服务器、佛山高防服务器等;高防机房很好的解决各种CC、流量等DDOS攻击,另外还是DDOS高防IP为您的业务保驾护航。详询在线客服! 本文仅代表作者个人观点,不代表巅云官方发声,对观点有疑义请先联系作者本人进行修改,若内容非法请联系平台管理员,邮箱qq2522407257。更多相关资讯,请到巅云www.yinxi.net学习互联网营销技术请到巅云学院www.yx10011.com。 |