论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-12 23:30 
离线
超级用户

注册: 2010-10-27 10:30
最近: 2015-07-30 20:57
拥有: 2,517.00 安全币

奖励: 0 安全币
在线: 1307 点
帖子: 391
想请教各位大牛一个问题:目前的二层VPN和三层IPSec VPN以及四层的SSL VPN都可以通过客户端或插件的形式拨号连接到总部的内网中,连接成功后,一般都会给本地分配一个虚拟IP,远程移动办公用户利用这个虚拟IP就可以访问总部内网资源,同时能够断开互联网。但是只要你留意一下主机的路由表,你就会发现,主机的路由表变了,去往0.0.0.0/0的默认路由指向了总部,而主机物理网卡上的IP地址相关的默认路由已经被删除。这时只需要手工去修改路由表就可以使得移动办公用户同时访问互联网和总部内网资源。这样的话,这个移动办公设备就可能会成为黑客的跳板。我想知道各位大牛有没有相应的手段能阻止用户连接VPN的时候不能访问互联网资源呢?


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 09:34 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,490.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
无解帮顶!

建议首先问下业务部门,确认是否可以接受。如果不接受,就不需要考虑了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 10:06 
离线
高级用户

注册: 2004-08-03 16:33
最近: 2015-06-25 09:13
拥有: 4,332.10 安全币

奖励: 491 安全币
在线: 8148 点
帖子: 214
不用这么纠结,从安全的角度使用vpn本来就是扩大了攻击面,但是对业务的促进作用毋庸置疑的,这个就不能一概因噎废食。信息安全也要从总体来看,虽然远程的终端可能成为黑客的跳板,但是即使被黑了也不至于就大门完全敞开了,其他的防御措施也有它的价值。总体来说,只要风险可控即可,禁止连入的vpn终端访问互联网无解的话,那可以考虑别的地方加强呗。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 10:23 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,637.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 11:47 
离线
新手

关注按钮

注册: 2013-04-15 16:53
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 3
中宇万通的TrustMore安全网关就能满足上述要求,我们也是商密要求的SSL VPN哦。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 11:47 
离线
新手

关注按钮

注册: 2013-09-13 11:47
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 1
使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 13:35 
离线
新手

注册: 2013-09-13 13:34
最近: 2013-09-13 13:37
拥有: 14.00 安全币

奖励: 0 安全币
在线: 22 点
帖子: 2
http://www.wooyun.org/bugs/wooyun-2010-024919
之前拜读一位女侠的漏洞 发现SSLVPN 出问题 危害极大


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 13:37 
离线
新手

注册: 2013-09-13 13:34
最近: 2013-09-13 13:37
拥有: 14.00 安全币

奖励: 0 安全币
在线: 22 点
帖子: 2
使用二层交换机划分VLAN的方式可以搞定


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 16:24 
离线
超级用户

注册: 2010-10-27 10:30
最近: 2015-07-30 20:57
拥有: 2,517.00 安全币

奖励: 0 安全币
在线: 1307 点
帖子: 391
shuimo 写道:
使用二层交换机划分VLAN的方式可以搞定

您的这个建议不敢苟同。划分VLAN和VPN干脆风马牛不相及。如果实在本地划分VLAN,在总部也划分了VLAN并进行了严格的访问控制策略的话,我相信一定程度上会提高系统的安全性。但是你说在二层交换机上划分VLAN来防止远程办公设备不能修改主机的话,我觉得有点儿不能接受。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: Re:关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 16:26 
离线
超级用户

注册: 2010-10-27 10:30
最近: 2015-07-30 20:57
拥有: 2,517.00 安全币

奖励: 0 安全币
在线: 1307 点
帖子: 391
豆眼儿熊熊 写道:
使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。

据我所知,目前大部分VPN设备(包含IPSec VPN和SSL VPN)都可以通过安装客户端程序的远程用户来访问总部资源。关键的问题是,安装客户端程序后,在远程计算机上会产生一个虚拟的网卡并代理所有的网络连接,可是如何才能防止用户手动修改主机的路由表呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 16:45 
离线
超级用户

注册: 2010-10-27 10:30
最近: 2015-07-30 20:57
拥有: 2,517.00 安全币

奖励: 0 安全币
在线: 1307 点
帖子: 391
sun_bone 写道:
vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。

非常感谢。
我也在考虑过使用VPN+终端安全控制或微软域,终端安全软件或微软域可以强制用户禁止使用cmd、route print、route add等命令,但是这样会无形中增加用户的经济负担和管理员的工作量。用户有没有必要为了限制一条route add命令单独采购一套终端安全管理软件。如果是出差的移动办公用户呢?离开了终端管理系统或域还怎么受控?


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: Re:关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-13 17:56 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,666.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
yaotiandong 写道:
豆眼儿熊熊 写道:
使用带客户端程序的vpn连接方式,并代理所有网络连接,防止用户手动进行调整。 os自带的vpn客户端无法进行控制。

据我所知,目前大部分VPN设备(包含IPSec VPN和SSL VPN)都可以通过安装客户端程序的远程用户来访问总部资源。关键的问题是,安装客户端程序后,在远程计算机上会产生一个虚拟的网卡并代理所有的网络连接,可是如何才能防止用户手动修改主机的路由表呢?


你能在你的开贴,加上这一句不。都看不明白。。

防手动,那就加终端管理软件喽。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-14 01:18 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,770.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
前段时间参加一个评审会,类似也有提出SXF SSL VPN手动增加路由表的问题,其实仅仅解决手动增加路由并不完整等,比如同网段访问并不需要路由。
一些IPSEC客户端可以通过集中策略强制下发给客户端进行安全控制,如主机防火墙策略和准入控制策略等。目前SSL VPN这样做的产品相对少些。
另外,既然假设可在VPN拨号端操作,还要考虑这些强制策略是否可以被在客户端上采取其他方式绕过。


--------本帖迄今已累计获得61安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-16 21:38 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,637.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
yaotiandong 写道:
sun_bone 写道:
vpn层面有安全环境检测功能,通过客户端还强制拨入用户的环境。这个适合的不一定太多,毕竟vpn接入后,基本都是终端层面的安全考虑范畴。

你可以考虑vpn+终端安全控制软件;微软AD域控制等方式。

1见过有金融客户已经实施,而且全面在推广;2估计很多外企在用。

供参考。

非常感谢。
我也在考虑过使用VPN+终端安全控制或微软域,终端安全软件或微软域可以强制用户禁止使用cmd、route print、route add等命令,但是这样会无形中增加用户的经济负担和管理员的工作量。用户有没有必要为了限制一条route add命令单独采购一套终端安全管理软件。如果是出差的移动办公用户呢?离开了终端管理系统或域还怎么受控?


呵呵,感觉是头疼医头,脚疼医脚。你们已经发现了上面的风险,其实对于ipsec vpn来说这个不是风险,终端的操作本就不是ipsec vpn的标准管理范畴内,加入的终端环境检查很多也是鸡肋。解决的根本方式就是加强终端的安全准入控制管理,说白了,主机加路由和ipsec vpn没关系,是终端安全控制层面要考虑的范畴。除了主机路由外,你的终端安全保障如何衡量?补丁?病毒?恶意代码?攻击等等的终端不合规行为都是你开通后长期持续要关注的风险点。

建议,找几家做终端安全的厂家好好了解了解,除了vpn接入的终端外,你内网的重要终端的风险点也要考虑好。会有很大积极意义的。


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于远程拨号VPN登入后的安全问题
帖子发表于 : 2013-09-29 13:16 
离线
新手

注册: 2007-03-08 09:12
最近: 2013-09-29 13:24
拥有: 38.30 安全币

奖励: 0 安全币
在线: 976 点
帖子: 6
Cisco的IPSec VPN Client是不能通过手动修改路由表访问互联网的。。。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012