这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司有很多应用在出口防火墙上面做了端口转发暴露在公网(来的时候就这样了),没有 WAF 、反代、DMZ 、NGFW ,只有 EDR 和 SEP 装在服务器上,这是前提。
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
然后去年中过一次勒索病毒,今年被抽中做渗透测试的蓝方,两次都暴露了很多网络安全问题;上面的 EDR 就是去年中勒索后批的,防火墙很老的 juniper ,这次护网后报上去一个深信服 NGFW 没批。- -|||那我特么也没办法了,只能问问老哥们还有啥招了?
PS:坛里看到有人提一嘴 DMZ 、NGINX 。但我这半吊子没搞过,有没有人指点一下具体怎么做的? THX
第 1 条附言 2024-10-28 09:09:35 +08:00
目前采取了以下措施:
1.公网映射白名单
2.部分映射改为 VPN
3.部署雷池
1.公网映射白名单
2.部分映射改为 VPN
3.部署雷池
 | 1 teasick 2024-10-22 16:57:46 +08:00 中过一次勒索病毒怎么解决的 |
 | 2 timeisweapon 2024-10-22 17:01:22 +08:00 你是小兵只管上报风险和建议处理方案,尽职免责。没人没钱搞毛,谁脑袋大谁背锅 |
 | 3 gvdlmjwje OP @timeisweapon 理想很丰富现实很骨感 出了问题上面找部门负责人,部门负责人找我,这他妈最终还是要我来处理烂摊子的啊 - - |
| 5 timeisweapon 2024-10-22 17:12:09 +08:00 @gvdlmjwje #3 看你的描述公司没有专门 IT 部门或者是网络工程师,考虑迁移到云上吧 |
 | 6 hingle 2024-10-22 17:13:15 +08:00 企业 DMZ 跟路由器上的 DMZ 不一样,不允许主动访问内网也不能上外网。 做好网络隔离、使用低权限、容器或者虚拟机部署,避免入侵影响到其他应用。 |
 | 7 Melting 2024-10-22 17:20:00 +08:00 不是专业的,只暴露业务端口不知道行不行,减少被渗透的风险 |
| 8 gvdlmjwje OP @hingle 那 DMZ 没用,这些应用内外网都要用。如果用 NGINX 反代可以吗,然后只暴露 NGINX 到公网? |
 | 9 lzy250 2024-10-22 17:44:10 +08:00  1 公网只暴露 80/443 ,nginx 反代转发到内网的服务。加上 ip 白名单和 basic 认证。 |
 | 10 Tumblr 2024-10-22 18:04:17 +08:00 1 你这是整体从根基上就难处理啊,想做好就要重新设计了,我觉得不是你能决定得了的。 建议保持现状,在业务可用的前提下尽可能在防火墙上收缩访问控制,包括但不限于端口、源地址、协议等。 |
 | 11 wheat0r 2024-10-22 18:25:28 +08:00 1 服务器放在内部安全域,在 DMZ 域放置反向代理。 出口 NAT 只放 443 、80 ,防火墙做安全域策略,确保外部到内部不通,外部到 DMZ 的策略细到端口,DMZ 到内部的策略也要细到端口,有条件的还要前置 WAF 和 IPS 或者有相应功能的 NGFW 。 |
| 12 wheat0r 2024-10-22 18:27:35 +08:00 @wheat0r #11 补充一下,如果存在可能的等保要求,OP 这个网络根本过不了等保,趁早找人写一个等保整改的方案去要预算 |
 | 13 Kinnice 2024-10-22 18:28:36 +08:00 1 社区版本的雷池,够防大部分 web 类型的攻击了。 |
 | 15 loading 2024-10-22 18:39:26 +08:00 补充一下: 请认真核查你安装的应用,措施再严密,如果你装上有漏洞的应用,例如 PHP 某 CMS ,shell 都被拿了。 |
 | 16 guo4224 2024-10-22 18:43:48 +08:00 那就别开放公网,谁要用接入内网来用 |
 | 17 pljhonglu 2024-10-22 19:36:46 +08:00 最近搞家庭路由 ipv6 的方案: 内网服务全部反代到 80, 443 端口,对外通过 LDAP 接入,其他端口全关。 反代使用的 Traefik ,配置还挺方便的。 |
 | 18 JensenQian 2024-10-22 20:04:33 +08:00 mjj 建站都套个 cf ,搞下证书 |
 | 19 xcodeghost 2024-10-22 20:25:49 +08:00 安全是一套系统,包括各个环节都要做好,不能有薄弱的环节。不是说安装个杀毒软件、装个防火墙就万事大吉的。 |
 | 20 letmedie 2024-10-22 20:27:57 +08:00 临时措施是套个社区版的雷池,至少能防住很多攻击。但是既然把业务对外暴露了,那么安全工作必须做到位,现在是信息安全大过天,直接一票否决的,出了问题网信办和网安下通知整改要领导背书的。 |
 | 21 PHPer233 2024-10-22 20:59:24 +08:00 先分类,不同的服务对应的防护措施不一样:Web 网站、SSH 服务、MySQL 数据库 ? Web 网站这种 HTTP 协议的服务,可以使用云 WAF 。 SSH 服务、MySQL 数据库不使用默认端口、默认的用户名、密码,并且将软件版本更新到无漏洞版本。 |
 | 22 donaldturinglee 2024-10-22 21:00:03 +08:00 用 OpenVPN ? |
 | 23 mooyo 2024-10-22 21:05:20 +08:00 你先明确需求,是内部暴露到公网给你们的用户使用,还是给你们员工使用? 如果是给用户使用,为啥不独立部署。 如果给员工使用,上个安全网关鉴权吧 |
 | 24 jeesk 2024-10-22 22:05:40 +08:00 via Android 要求企业 vpn ,或者 cloudflare 的零信任 |
 | 25 ferock PRO 吃饭的事情,还是打铁要需自身硬。 没有金刚钻,就应该花钱 雇人也好,上云也好,都是解决方案,否则,这里的只字片语也不可能成为你的能力 |
 | 26 mejss 2024-10-22 22:37:40 +08:00 重要服务 做好数据存储备份 互联网出口我目前用的华为的 av 、ips 防御 内网服务映射到外网,按类别对待,http/s 协议禁止映射,并在防火墙上做安全策略禁止 http 通过,采用 wireguard 或者 ikev2 方式连入内网再访问,常用于 oa 、erp 之类 其他协议的映射,通过审批流卡一卡,实在需要映射的,需要做好横向隔离,安全防护杀软系统补丁等安装更新 |
 | 27 byiceb 2024-10-22 22:43:29 +08:00 上方案已经被否决了,那就做好备份吧 |
 | 28 proxytoworld 2024-10-22 23:15:29 +08:00 1 半个业内人士做个回答吧 用一台虚拟机?或者是什么其他的机器跑雷池 waf ,流量先过 waf ,内部部署 EDR ,没钱最起码跑一个 360 ? 很多方案,但都要钱,先跑跑开源的吧,然后等着被勒索就行了,只有被打了才知道痛,才会投入 |
 | 29 ETiV 2024-10-23 00:41:32 +08:00 via iPhone 那就不要暴露出去,反推你领导协同其他部门把所有之前暴露的端口回收掉。 我认为你这个事情首先是一个政治(非技术)问题,其次才是技术问题。 |
 | 30 dfdd1811 2024-10-23 08:04:42 +08:00 被干了都不能推动整改落实,那就不是技术问题了,不是你职责范围就别管了,是职责范围想办法免责吧…如果您真是个小兵,推动不了就算了,反而折腾出问题还得担责 |
 | 31 AliceFizzy 2024-10-23 09:01:14 +08:00 我司小规模,内网暴露公网主要就是为了 OA 之类的内部服务,我目前用的最简单效果也最好的方法就是访问 IP 白名单,只允许省内 IP 访问(因为 99%的情况都只有市内访问),以前看服务器 RDP 爆破的日志,绝大部分攻击都是国外 IP 。 自此用了白名单,日志都干净了不少 hhh |
 | 32 ala2008 2024-10-23 09:33:29 +08:00 暴露了什么,正常的业务应该不会有漏洞啊 |
| 33 gvdlmjwje OP @AliceFizzy 问下,只允许省内 IP 访问是怎么做到的?这个 IP 地址库从哪获取呢 |
 | 35 991547436 2024-10-23 09:50:03 +08:00 买宝塔 waf |
| 37 AliceFizzy 2024-10-23 09:56:49 +08:00 1 |
 | 38 SchwarzeR 2024-10-23 10:16:36 +08:00 乍一看感觉涉及的系统太多了,光是第一步梳理各个系统对应的前后端端口关系就会很麻烦 前置一个 nginx 之类的 gateway 做一级代理的思路正确的,但是感觉用手动挡的方式会有很大的心智负担,既然是给公司干活,觉得可以考虑去看看相关的 waf 产品借鉴一下思路,比如雷池 waf 这种虽然鸡肋但是可以提供思路的开源,当然直接买产品那肯定是你好我好大家好还好甩锅 这种防护措施制定是个系统性工程,严格意义上来讲不光是运维的工作,涉及的起 vpn/划分 vlan 权限什么都需要全公司的配合 |
 | 39 waringid 2024-10-23 10:31:16 +08:00 1 、整理完整的安全方案,方案的内容需要给 2~3 个配置选项(按费用和安全重要程度)并给出建议的方案选项,方案要重点描述解决的问题以及该问题对业务的影响(包括对公司名声的影响例如上级通报、国内报道等,如果是国企相关) 2 、如果上面 2 个方案都没批准的处理机制,重点要突出你所做的改善行动(描述采取了措施,但可能效果有限,突出强调在想办法解决这类安全风险) 3 、还可以建议增加专业人员或引入专业的安全服务团队,通过服务团队想办法改变公司决策人员的想法,推动项目进展 |
 | 41 zhangeric 2024-10-23 10:37:57 +08:00 感觉你们公司业务啥的都是公司自己人在用,不对公众开放,这个应该上 vpn 而不是把服务暴露在公网上. |
| 43 SchwarzeR 2024-10-23 11:10:15 +08:00 @gvdlmjwje 我自己的小服务器放了一个开源版布着玩的,跑团队的周报管理/git 仓库,感觉真要靠它来挡攻击也就图一乐,企业级防护光靠这个恐怕也就比没有好那么一点。 不过拉一个放上去配好了能证明你干活了,以后再出问题就是:我干了啊,你们不批钱买服务我也很难办 |
 | 45 guanzhangzhang 2024-10-23 13:15:29 +08:00 先梳理下哪些核心数据是最终的,有无备份恢复方案,走一遍备份的恢复看看可以用不,然后自动备份的机器是否足够安全。 然后再考虑怎么把业务安全整起来 |
 | 46 NGGTI PRO 别买设备了,不是设备不够的问题了,从管理上下手,没必要的收拢到内网。招个搞渗透测试的,做做渗透。现在开源的产品已经很好用了。 |
 | 47 netblue 2024-10-23 14:13:04 +08:00 在公网开一个端口,frp 内网穿透到内网,客户端采用 STCP 访问,相当于客户端必需运行 frpc 程序且有密码才能访问。 |
 | 48 Chrisone 2024-10-23 14:20:54 +08:00 等保来一下基本就知道差距了 |
 | 50 defunct9 2024-10-23 15:28:06 +08:00 开 ssh ,让我上去看看先 |
 | 51 magicfield 2024-10-23 16:25:55 +08:00 如果只是自己人用,别开公网了,用 VPN 比较安全 |
 | 52 jenson47 2024-10-23 16:36:19 +08:00 为什么要用公网? 1. 如果只是内部人员使用,不开就不开 2. 必须开的话,可以加一些低成本防护措施,比如上面所说的免费的 waf ,或者在 nginx 中加入 base auth [密码复杂度设高点] 限制,固定入口 [难免有人被钓鱼] ,安全培训,也可以限制 ip 区域 如果程序可以调整的话, 调整用户密码复杂度,多因子认证等等 |
 | 55 KIMI360 2024-10-24 09:26:52 +08:00 有些钱该交得交,交了保平安。万一被攻破,该买的防护我都买了。问题就是服务提供商的了,这都防不住难道怪我 |
| 56 waringid 2024-10-24 09:33:34 +08:00 @gvdlmjwje 对比几个开源的 WAF 项目,这个应该是同时兼顾体验、性能和检测效果的。他的内核还是使用 Nginx 代理转发,安装和 UI 界面设计的不错。如果业务场景不复杂并且流量一般的情况开源免费版本就够用了(它也提供商业版和企业版) |
 | 57 wolffcat 2024-10-24 11:52:30 +08:00 via Android 零信任(高级版的反代) easyconnect 想自己搞也行 vpn 服务嘛 |
 | 58 sampeng 2024-10-24 12:02:48 +08:00 一直没看到你是解释给客户还是公司内部用呢。内部最简单,一个 vpn 解忧愁。 如果是给客户。你好歹有个中介服务器反代只暴露 443 和 80 吧。。可以解决一大堆安全漏洞。攻击方向就只剩 nginx/f5 和你公司自身程序两个路子了,最少半桶水的脚本战士可以拦一大堆了。 另外这是老板提的还是你自己琢磨的?老板提的该买设备买设备。自己琢磨的。那就琢磨呗。大概率不会给你资源干。没啥好纠结的。。又不是你自己的东西,嘟囔抱怨两句完事 |
| 61 waringid 2024-10-24 15:32:04 +08:00 @gvdlmjwje 你可以参考这个部署 https://wiki.waringid.me/pages/viewpage.action?pageId=3211289 出现异常拦截的情况增加白名单也方便 |
| 63 sampeng 2024-10-24 17:52:00 +08:00 但凡不用 vpn 管理公司出口服务的。WAF 最多只能做到事后发现和预警,很难做到完美的防御。VPN 是一劳永逸的甩锅锅方式。北京还强一点,各个区的网警会定期扫描你的出口,有漏洞就请你去喝茶。 |
Select Language