网络安全边界你该知道的!

企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。

然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。

1.简单的企业网络架构

如下用于发现安全边界的企业网络架构demo图:

网络安全边界你该知道的!

2.发现网络安全边界

从“大安全”的角度,企业网络安全分被攻击和“被”发起攻击,所以企业既要保证自身网络安全,还要保证不被利用起来攻击其他企业网络

2.1DNS服务

①没有托管DNS解析服务,自搭的DNS服务解析内外网域名,注意内外网区分

②DNS服务软件漏洞

②DNS被用来放大攻击他人网络

2.2CDN服务

CDN的DNS服务失效,导致自己业务无法访问

②CDN回原流量(cdn请求业务服务器)未加密,被嗅探

③CDN边缘服务器存在漏洞,泄露内存数据

④同一CDN服务器的其他公司业务存在漏洞(边缘节点不隔离)

2.3业务服务器

①采用多网关负载均衡 防止DDOS攻击、CC攻击

②网关/防火墙采用最少端口原则,仅允许入方向的80、443端口,不允许出方向的流量,防止外带泄露数据

③对提供web服务进行安全评估,全站https

(大部分企业对外业务为web形式)

2.4云托管服务器

云服务器提供了类似防火墙的功能,但云服务器内部网络隔离安全仍需验证。

2.5邮件服务

①伪造发件人攻击

以前的邮局递信都是在各邮局分部放置一个邮筒,只要贴上邮票任何人都能以任何身份向任何人寄信。

互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述

1、用户A使用密码登录163邮箱后,撰写邮件发送到好友B的qq邮箱;

2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器,此过程不需要提供密码;

3、用户B登录qq邮箱后,通过qq邮箱收信服务,收到来自A的邮件;

其实互联网邮件与邮局递信流程上并未改变,只是163邮箱,qq邮箱等代替了邮局分部,都存在身份认证的问题。

比如恶意用户C,伪造邮件递送到qq邮箱服务器发送给用户B,且声称自己是用户A,此过程是可行的,只需要找到QQ邮箱的SMTP服务器地址即可

有两类伪造情况:伪造发件人ceo@qq.com,发邮件到hr@qq.com;另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景

配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证

②携带恶意附件,客户端防毒,邮件网关杀毒

配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证

②携带恶意附件,客户端防毒,邮件网关杀毒

③密码爆破,邮件中包含服务器信息、架构信息、商务信息

④邮件客户端漏洞:foxmail,outlook,web方式,企业邮箱

2.6访客wifi

①设置WAP2密码,禁止访问内部网络

②保护WiFi物理安全,保证不被重置密码,更新固件等

③限制WiFi强度,不需要扩散很远

④检测伪造的相同SSID的WiFi,防范钓鱼

⑤禁止私搭WiFi接入点

2.7VPN

①账号及权限设置,不同权限访问不同的内部网络

②证书方式登陆,防止爆破

③VPN软件安全

本文链接:https://www.idcbest.com/cloundnews/11003132.html



天下数据手机站 关于天下数据 联系我们 诚聘英才 付款方式 帮助中心 网站备案 解决方案 域名注册 网站地图

天下数据18年专注海外香港服务器、美国服务器、海外云主机、海外vps主机租用托管以及服务器解决方案-做天下最好的IDC服务商

《中华人民共和国增值电信业务经营许可证》 ISP证:粤ICP备07026347号

朗信天下发展有限公司(控股)深圳市朗玥科技有限公司(运营)联合版权

深圳总部:中国.深圳市南山区深圳国际创新谷6栋B座10层 香港总部:香港上環蘇杭街49-51號建安商業大廈7樓

7×24小时服务热线:4006388808香港服务电话:+852 67031102

本网站的域名注册业务代理北京新网数码信息技术有限公司的产品

工商网监图标