华安信达(CISPS.org)信息安全论坛
http://chinacissp.com/

关于远程拨号VPN登入后的安全问题
http://chinacissp.com/viewtopic.php?f=35&t=35320
分页: 1 / 2

作者:  yaotiandong [ 2013-09-12 23:30 ]
文章标题 :  关于远程拨号VPN登入后的安全问题

想请教各位大牛一个问题:目前的二层VPN和三层IPSec VPN以及四层的SSL VPN都可以通过客户端或插件的形式拨号连接到总部的内网中,连接成功后,一般都会给本地分配一个虚拟IP,远程移动办公用户利用这个虚拟IP就可以访问总部内网资源,同时能够断开互联网。但是只要你留意一下主机的路由表,你就会发现,主机的路由表变了,去往0.0.0.0/0的默认路由指向了总部,而主机物理网卡上的IP地址相关的默认路由已经被删除。这时只需要手工去修改路由表就可以使得移动办公用户同时访问互联网和总部内网资源。这样的话,这个移动办公设备就可能会成为黑客的跳板。我想知道各位大牛有没有相应的手段能阻止用户连接VPN的时候不能访问互联网资源呢?

作者:  phoenix-- [ 2013-09-13 09:34 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

无解帮顶!

建议首先问下业务部门,确认是否可以接受。如果不接受,就不需要考虑了。

作者:  klompe [ 2013-09-13 10:06 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

不用这么纠结,从安全的角度使用vpn本来就是扩大了攻击面,但是对业务的促进作用毋庸置疑的,这个就不能一概因噎废食。信息安全也要从总体来看,虽然远程的终端可能成为黑客的跳板,但是即使被黑了也不至于就大门完全敞开了,其他的防御措施也有它的价值。总体来说,只要风险可控即可,禁止连入的vpn终端访问互联网无解的话,那可以考虑别的地方加强呗。

作者:  sun_bone [ 2013-09-13 10:23 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。

作者:  宁宇鹏 [ 2013-09-13 11:47 ]
文章标题 :  Re:关于远程拨号VPN登入后的安全问题

中宇万通的TrustMore安全网关就能满足上述要求,我们也是商密要求的SSL VPN哦。

作者:  豆眼儿熊熊 [ 2013-09-13 11:47 ]
文章标题 :  Re:关于远程拨号VPN登入后的安全问题

使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。

作者:  shuimo [ 2013-09-13 13:35 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

http://www.wooyun.org/bugs/wooyun-2010-024919
之前拜读一位女侠的漏洞 发现SSLVPN 出问题 危害极大

作者:  shuimo [ 2013-09-13 13:37 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

使用二层交换机划分VLAN的方式可以搞定

作者:  yaotiandong [ 2013-09-13 16:24 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

shuimo 写道:
使用二层交换机划分VLAN的方式可以搞定

您的这个建议不敢苟同。划分VLAN和VPN干脆风马牛不相及。如果实在本地划分VLAN,在总部也划分了VLAN并进行了严格的访问控制策略的话,我相信一定程度上会提高系统的安全性。但是你说在二层交换机上划分VLAN来防止远程办公设备不能修改主机的话,我觉得有点儿不能接受。

作者:  yaotiandong [ 2013-09-13 16:26 ]
文章标题 :  Re: Re:关于远程拨号VPN登入后的安全问题

豆眼儿熊熊 写道:
使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。

据我所知,目前大部分VPN设备(包含IPSec VPN和SSL VPN)都可以通过安装客户端程序的远程用户来访问总部资源。关键的问题是,安装客户端程序后,在远程计算机上会产生一个虚拟的网卡并代理所有的网络连接,可是如何才能防止用户手动修改主机的路由表呢?

作者:  yaotiandong [ 2013-09-13 16:45 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

sun_bone 写道:
vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。

非常感谢。
我也在考虑过使用VPN+终端安全控制或微软域,终端安全软件或微软域可以强制用户禁止使用cmd、route print、route add等命令,但是这样会无形中增加用户的经济负担和管理员的工作量。用户有没有必要为了限制一条route add命令单独采购一套终端安全管理软件。如果是出差的移动办公用户呢?离开了终端管理系统或域还怎么受控?

作者:  jerry6 [ 2013-09-13 17:56 ]
文章标题 :  Re: Re:关于远程拨号VPN登入后的安全问题

yaotiandong 写道:
豆眼儿熊熊 写道:
使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。

据我所知,目前大部分VPN设备(包含IPSec VPN和SSL VPN)都可以通过安装客户端程序的远程用户来访问总部资源。关键的问题是,安装客户端程序后,在远程计算机上会产生一个虚拟的网卡并代理所有的网络连接,可是如何才能防止用户手动修改主机的路由表呢?


你能在你的开贴,加上这一句不。都看不明白。。

防手动,那就加终端管理软件喽。。

作者:  walk0r [ 2013-09-14 01:18 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

前段时间参加一个评审会,类似也有提出SXF SSL VPN手动增加路由表的问题,其实仅仅解决手动增加路由并不完整等,比如同网段访问并不需要路由。
一些IPSEC客户端可以通过集中策略强制下发给客户端进行安全控制,如主机防火墙策略和准入控制策略等。目前SSL VPN这样做的产品相对少些。
另外,既然假设可在VPN拨号端操作,还要考虑这些强制策略是否可以被在客户端上采取其他方式绕过。

作者:  sun_bone [ 2013-09-16 21:38 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

yaotiandong 写道:
sun_bone 写道:
vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。

非常感谢。
我也在考虑过使用VPN+终端安全控制或微软域,终端安全软件或微软域可以强制用户禁止使用cmd、route print、route add等命令,但是这样会无形中增加用户的经济负担和管理员的工作量。用户有没有必要为了限制一条route add命令单独采购一套终端安全管理软件。如果是出差的移动办公用户呢?离开了终端管理系统或域还怎么受控?


呵呵,感觉是头疼医头,脚疼医脚。你们已经发现了上面的风险,其实对于ipsec vpn来说这个不是风险,终端的操作本就不是ipsec vpn的标准管理范畴内,加入的终端环境检查很多也是鸡肋。解决的根本方式就是加强终端的安全准入控制管理,说白了,主机加路由和ipsec vpn没关系,是终端安全控制层面要考虑的范畴。除了主机路由外,你的终端安全保障如何衡量?补丁?病毒?恶意代码?攻击等等的终端不合规行为都是你开通后长期持续要关注的风险点。

建议,找几家做终端安全的厂家好好了解了解,除了vpn接入的终端外,你内网的重要终端的风险点也要考虑好。会有很大积极意义的。

作者:  edwardlee [ 2013-09-29 13:16 ]
文章标题 :  Re: 关于远程拨号VPN登入后的安全问题

Cisco的IPSec VPN Client是不能通过手动修改路由表访问互联网的。。。

分页: 1 / 2 当前时区为 UTC + 8 小时
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/