细谈企业网络安全中堡垒机绕过问题

admin 2022年5月27日10:04:28企业安全评论13 views2482字阅读8分16秒阅读模式

概况:

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

企业网络大多数堡垒机部署时,为了不改变现有的网络拓扑结构,采用旁路部署的方案,通过在防火墙或者交换机上配置ACL策略限制用户区PC直接访问服务器区主机IP或者端口(SSH,RDP等等),实现强制员工只能通过堡垒机访问服务器

谈到堡垒机就避不开堡垒机被绕过问题,我这边列举如下几种堡垒机被绕过的场景

例如:如下拓扑图,4台服务器已经托管到堡垒机,可以直接通过堡垒机调用本地工具进行运维

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

场景1、绕过ACL策略

服务器区防火墙或者交换机上没有做ACL,以及当ACL策略做的细粒度不够,导致用户区PC可以直接绕过堡垒机,直接远程服务器

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

如图如示,黑色虚线为本来的访问路径,需要通过堡垒机才能访问Server_A 

红色虚线代表现在绕过堡垒机直接访问Server_A

场景2、通过堡垒机跳转绕过

另外一种场景就是,先通过堡垒机访问A服务器,然后再在A服务器上去访问B服务器,这样就绕过了堡垒机间接访问了B服务器

如下拓扑图所示

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

先通过堡垒机访问Server_A 192.168.31.18,由于root密码都是堡垒机进行托管,不知道Server_B 192.168.31.232的root密码,员工可以通过创建免密登录,

ssh-keygen -b 2048

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

再通过堡垒机访问一次Server_B 192.168.31.232 将上一步生成公钥内容导入到192.168.31.232的 /root/.ssh/authorized_keys细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

这样以后就访问ServerB就只用通过堡垒机访问Server_A,再在Server_A上直接SSH到Server_B

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

虽然Server_A的上的操作都可以被堡垒机审计(堡垒机录像回放), 但是假设刚好Server_A没有被堡垒机托管,只把Server_B用堡垒机托管了,那这种绕过堡垒机的方式就会导致Server_B上的所有运维操作没有被审计到 

Server_A是开发环境,Server_B是生产环境,万一对生产环境Server_B造成了破坏时,日志也被删除,这时就很难回溯了

再往深想一下:如果Server_A------->Server_B-------->Server_E-------->Server_F-------->.......这样多跳几次呢?如何防范?

当然Windows服务器RDP也会出现这种场景 先通过堡垒机访问Server_C 192.168.31.82 再mstsc远程到Server_D 192.168.31.116

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

解决方案细述

针对第1种和第2种场景如何进行彻底避免呢?

我这边的一种解决办法就是在针对Linux服务器上做SSH访问控制,只允许堡垒机访问服务器的SSH,其他IP访问SSH全部阻断

cat >> /etc/hosts.deny << EOF
sshd:   ALL     :spawn echo `date` login attempt from %c to %s ,the host is %h .PID is %p >> /var/log/tcpwrapper.log
EOF
echo "#只允许堡垒机登录主机SSH" >> /etc/hosts.allow
echo "sshd:   192.168.31.5" >> /etc/hosts.allow

细谈企业网络安全中堡垒机绕过问题(图片可点击放大查看)

细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

针对所有堡垒机托管的Linux服务器均做主机层面SSH访问控制 通过堡垒机访问Server_A 192.168.31.18,再在Server_A 192.168.31.18上SSH到Server_B 192.168.31.232就会被阻断细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

可以tail -f /var/log/tcpwrapper.log 查看阻断日志

tail -f /var/log/tcpwrapper.log 
Sat Nov 20 22:07:09 CST 2021 login attempt from 192.168.31.18 to [email protected] ,the host is 192.168.31.18 .PID is 39888

当然如果堡垒机万一发生故障时,就会出现单点故障,如何预防:

1、如果有备用堡垒机,需要将备用堡垒机的IP加到SSH访问白名单中

2、将应急运维PC的IP加到SSH访问白名单中,可以堡垒机出现故障时,应急运维PC登录到服务器上进行SSH访问控制配置修改

那RDP如何进行控制呢?可以在Windows防火墙的作用域中指定远程IP地址及IP地址段,不过前提是开启了Windows防火墙细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

可以看到当设置了只能堡垒机RDP远程到Server_D 192.168.31.116 在Server_C 192.168.31.82上就无法mstsc远程到Server_D 192.168.31.116

telnet  192.168.31.116 3389端口不通细谈企业网络安全中堡垒机绕过问题

(图片可点击放大查看)

场景3、其它绕过场景

1、目标服务器远程端口受到ACL限制,但其他端口没有限制,那么最简单的解决方式就可以通过端口转发来绕过 

2、甚至如果服务器可以访问外网,可以直接通过向日葵,todesk,Teamviewer进行远程,这样就完全绕开了堡垒机审计

需要对服务器网段封禁向日葵 Teamviewer等远程工具, 这种方式就不详细展开描述了

细谈企业网络安全中堡垒机绕过问题

(独家讲授Excel多项绝密应用,披露Excel专家多年研究成果!)

更多推荐


漏洞挖掘工具——afrog


【脚本】利用OPS让交换机自动定时备份配置到服务器


53 张图详解防火墙的 55 个知识点


一款高级网络钓鱼安全测试工具Mip22,可克隆69个主流网站!


CVE-2022-1388 exp F5 BIG-IP未授权RCE漏洞


细谈企业网络安全中堡垒机绕过问题

细谈企业网络安全中堡垒机绕过问题

细谈企业网络安全中堡垒机绕过问题

原文始发于微信公众号(释然IT杂谈):细谈企业网络安全中堡垒机绕过问题

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月27日10:04:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  细谈企业网络安全中堡垒机绕过问题 http://cn-sec.com/archives/1055736.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: