浅谈企业网络安全边界

却写杂布计

前言
企业网络安全关键在找准安全边界（攻击点）：边界的左边是攻击者（脚本小子、骇客、APT攻击），边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防，尽可能做到安全边界不被攻破。
然而随着业务增多、技术演变、模式调整等因素，安全边界越来越多，也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界，并全部加以防护，毕竟网络安全遵循短板效应，挂一漏万。
本文结合自身多年乙方安全和甲方安全的经验，尽量梳理出全的、实用的企业网络安全边界，与大家交流。
1、简单的企业网络架构

如下用于发现安全边界的企业网络架构demo图

最新图：https://www.processon.com/view/link/5ba1a731e4b0534c9be1e716
2、发现网络安全边界

从“大安全”的角度，企业网络安全分被攻击和“被”发起攻击，所以企业既要保证自身网络安全，还要保证不被利用起来攻击其他企业网络
本文概括了以下网络安全边界（攻击点）
2.1、DNS服务

①没有托管DNS解析服务，自搭的DNS服务解析内外网域名，注意内外网区分
②DNS服务软件漏洞
②DNS被用来放大攻击他人网络
dns服务最佳实践：https://www.infosecurityeurope.com/__novadocuments/462044?v=636579389924330000
2.2、CDN服务

①CDN的DNS服务失效，导致自己业务无法访问
②CDN回原流量(cdn请求业务服务器)未加密，被嗅探
③CDN边缘服务器存在漏洞，泄露内存数据https://en.wikipedia.org/wiki/Cloudbleed
④同一CDN服务器的其他公司业务存在漏洞（边缘节点不隔离）
cdn工作方式有需要ssl key进行解密和边缘服务器路由（返回最优源服务器地址）两种方式，显然后者更安全
cdn安全：https://www.teridion.com/blog/cdns-safe-cdn-security/

 
2.3、业务服务器

①采用多网关负载均衡 防止DDOS攻击、CC攻击
②网关/防火墙采用最少端口原则，仅允许入方向的80、443端口，不允许出方向的流量，防止外带泄露数据
③对提供web服务进行安全评估，全站https
（大部分企业对外业务为web形式）
2.4、云托管服务器

云服务器提供了类似防火墙的功能，但云服务器内部网络隔离安全仍需验证。
2.5、邮件服务

①伪造发件人攻击
以前的邮局递信都是在各邮局分部放置一个邮筒，只要贴上邮票任何人都能以任何身份向任何人寄信。
互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述
1、用户A使用密码登录163邮箱后，撰写邮件发送到好友B的qq邮箱；
2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器，此过程不需要提供密码
3、用户B登录qq邮箱后，通过qq邮箱收信服务，收到来自A的邮件
其实互联网邮件与邮局递信流程上并未改变，只是163邮箱，qq邮箱等代替了邮局分部，都存在身份认证的问题。
比如恶意用户C，伪造邮件递送到qq邮箱服务器发送给用户B，且声称自己是用户A，此过程是可行的，只需要找到QQ邮箱的SMTP服务器地址即可
有两类伪造情况：伪造发件人ceo@qq.com，发邮件到hr@qq.com；另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景
配置DNS的SPF(宣称本域发件服务器的ip地址)，DKIM(宣称本域公钥)策略，接收域进行验证
检测spf脚本

1. #coding:utf8import loggingimport subprocessimport sysdef execShell(cmd, t=120):    &#39;&#39;&#39;    功能：前台运行shell命令，阻塞    参数：shell命令    返回：成功返回{&#39;d&#39;: DATA}，失败返回{&#39;e&#39;: DATA}    #不同手机执行成功/失败返回值不一致，可使用&#39;ssss&#39; in str(ret)方式判断    &#39;&#39;&#39;    ret = {}    try:        if sys.version_info.major == 3 and sys.version_info.minor < 6:            p = subprocess.run(cmd, stderr=subprocess.PIPE, stdout=subprocess.PIPE, shell=True, timeout=t)            if p.returncode == 0:                ret[&#39;d&#39;] = p.stdout.decode(&#39;utf-8&#39;)            else:                ret[&#39;e&#39;] = p.stderr.decode(&#39;utf-8&#39;)        else:            p = subprocess.run(cmd, stderr=subprocess.PIPE, stdout=subprocess.PIPE, shell=True, encoding=&#39;utf-8&#39;, timeout=t)            if p.returncode == 0:                ret[&#39;d&#39;] = p.stdout            else:                ret[&#39;e&#39;] = p.stderr                    except subprocess.TimeoutExpired:        ret[&#39;e&#39;] = &#39;timeout&#39;    except Exception as e:        logging.error(&#39;subprocess &#39;+str(e))    return retdef getMiDomain():    return &#39;&#39;&#39;    xiaomi.hkxiaomi.twmifile.cnmipay.comxiaomiyoupin.com&#39;&#39;&#39;.split(&#39;\n&#39;)    if __name__ == &#39;__main__&#39;:        for d in getMiDomain():        d = d.strip()        if not d:            continue        out = execShell(&#39;nslookup -type=txt &#39;+d +&#39; 119.29.29.29&#39;)        if out.get(&#39;d&#39;) and &#39;v=spf&#39; not in out.get(&#39;d&#39;):            print(&#39;===&#39;+d)        elif not out.get(&#39;d&#39;):            print(d+&#39; &#39;+out.get(&#39;e&#39;))

复制代码

②携带恶意附件，客户端防毒，邮件网关杀毒
③密码爆破，邮件中包含服务器信息、架构信息、商务信息
④邮件客户端漏洞：foxmail，outlook，web方式，企业邮箱
2.6、访客WiFi

①设置WAP2密码，禁止访问内部网络
②保护WiFi物理安全，保证不被重置密码，更新固件等
③限制WiFi强度，不需要扩散很远
④检测伪造的相同SSID的WiFi，防范钓鱼
⑤禁止私搭WiFi接入点
2.7、VPN

①账号及权限设置，不同权限访问不同的内部网络
②证书方式登陆，防止爆破
③VPN软件安全
2.8、办公网络访问业务服务器

办公网络不是所有人都可以操作业务服务器，所以使用堡垒机进行账号认证，且对账号设置不同权限。
业务服务器一般不需要访问办公网络，否则需要做相应访问控制
2.9、办公网络VLAN分区

办公网的交换机应部署VLAN，各部门在各自vlan中，打印机归于各自vlan。（财务、HR等部门涉及的数据更为敏感）。
分区也能有效应对攻击者的后渗透阶段
2.10、办公网络IDS/IPS

攻击者渗透办公网络被后会发动内网攻击，比如端口扫描、arp欺骗、dns欺骗、密码嗅探等。应在内外部署入侵检测及防护系统（IDS/IPS），及时发现内网攻击。（内部员工也可能是攻击者）
2.11、办公网络服务器

办公网会有OA系统，内部共享，测试站、预发布站，项目管理系统，文档系统，内部论坛等供办公使用的系统，这些系统存储了员工资料、项目资料等受保护信息。而且相比员工PC机会稳定许多，且会长久开机，对于攻击者来说是很好的落脚点
攻击者通过员工终端，WiFi等进入到企业办公内网后，一般会继续攻击办公服务器当作落脚点方便后续渗透
2.12、办公网络IoT

办公区的联网饮水机，监控摄像头、打卡机都是小的pc系统，也会被攻击者当作落脚点
2.13、办公网络手机、笔记本访问BYOD

员工手机、自带笔记本可能携带恶意软件，会对内部网络进行攻击。需要对BYOD设备进行强制安装杀毒软件、终端管理软件(MDM)或网络隔离
2.14、办公网络PC软件安装、U盘

域控发布域策略限制员工随意安装软件，禁止插入U盘，禁止进BIOS设置。避免由员工引入恶意攻击软件
域控定期检测员工PC机上是否有恶意攻击软件（挖矿软件等）
2.15、办公网络上网行为管理

禁用部分协议，阻止员工上传代码到GitHub，x云盘等
（GitHub泄露密码后应删除项目，而不是删除密码，因为为残留在history中）
禁止办公网络访问论坛，小说网等
对员工访问行为有所记录，在内部网络对外发起攻击，方便查来源
2.16、web服务

企业暴露在外的最大的受攻击面还是对外提供的业务，即web、app等服务。
攻击者更多的通过这些服务攻击下业务服务器 》 窃取敏感信息 & 利用服务器资源对外攻击（跳板、挖矿、DDOS）》 作为跳板攻击办公内网 》窃取更多的敏感信息 &获得更多的计算资源
企业需要进行SDL安全评估、代码审计（特别框架及模块代码）
当然除了敏感数据、计算资源，各种web漏洞（注入，xss，csrf，越权，上传下载）中的业务逻辑漏洞，也会对企业利益及用户利益造成损害（盗号、盗刷），也需要进行保护。
2.17、社工

员工安装他人软件，使用他人U盘，泄露账号密码等
 
3、总结

不同于Google的零边界安全，所有机器、资源采取零信任模式，均需要通过认证及授权。本文中划分的边界，采取了部分信任的模式，比如业务服务器中有web服务器、数据库服务器、缓存服务器等，它们均属于统一边界内，存在信任关系；而办公网与业务网存是不信任关系。信任关系越少，设计就越复杂
企业保护对象应包含敏感信息、计算资源、业务逻辑
网络安全是一个动态发展的过程，各种新业务出现，各种新系统出现，各种新漏洞出现。企业都需要有个安全运营中心，实时掌握安全边界的安全现状。
本文讨论的是一个非常之宏大的东西，只能“简而言之”，希望能给读者以启发。
本文会不断更新，希望读者能留言交流
欢迎关注


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！