上半年国家hvv演练中,暴露了几家安全厂家堡垒机的0day漏洞。同时,在近期的攻防演练中发现互联网上仍然存在大量的堡垒机历史漏洞未整改,导致攻击队利用nday直接获取设备权限,随后便可以享受丝滑服务,进入内网,横向渗透一捅到底,直至拿下目标系统权限,拿到极高的分数,一脸满足的离开。
什么是堡垒机?
堡垒机的兴起源于一些运维管理的痛点问题。在过去,管理远程服务器通常涉及直接访问服务器,这可能会导致许多问题。首先,这样的操作可能暴露了服务器于潜在的网络攻击,因为恶意用户可以直接尝试入侵。其次,难以跟踪和审计远程访问的活动,这会增加数据泄漏和不当使用的风险。最后,管理大量的远程服务器的访问权限变得复杂且容易出错。
堡垒机的出现解决了这些痛点。它为企业提供了一个中央控制点,通过该控制点,管理员可以精确控制谁可以访问服务器、何时访问以及执行哪些操作。此外,堡垒机还记录用户会话,使得审计和监控变得更容易。这不仅提高了网络安全性,还简化了服务器管理,为组织提供了更高的效率和可靠性。在这个数字化时代,堡垒机已经成为了网络安全的必备工具,以应对日益复杂的网络威胁。
企业网络大多数堡垒机部署时,为了不改变现有的网络拓扑结构,采用旁路部署的方案,通过在防火墙或者交换机上配置ACL策略限制用户区PC直接访问服务器区主机IP或者端口(SSH,RDP等等),实现强制员工只能通过堡垒机访问服务器。
堡垒机的主要功能包括如下:
1、身份验证和授权管理:堡垒机允许管理员严格控制用户对服务器的访问权限,以确保只有授权人员能够登录和执行操作。
2、会话录制和监控:堡垒机记录用户会话,以便审计和监控操作,以便查看不寻常或恶意行为。
3、隔离和安全性:通过堡垒机,管理员可以将服务器和内部网络与外部网络隔离,从而减少潜在的攻击面。
4、多因素身份验证:堡垒机通常支持多因素身份验证,提供更高的安全性,以确保用户的真实身份。
堡垒机存在的主要安全问题
尽管堡垒机是一个重要的安全工具,但它也存在一些问题,特别是在不正确使用或配置的情况下。以下是一些常见问题和案例:
1、配置不当:堡垒机的安全性高度依赖于正确的配置。配置错误可能导致漏洞,使得攻击者能够绕过堡垒机,直接访问关键服务器。
案例: 2016年,Yahoo公司曾因堡垒机配置错误导致的数据泄漏事件而备受瞩目。
2、弱密码和身份验证:如果堡垒机的管理员和用户使用弱密码,或者没有启用强制的身份验证措施,那么攻击者可能会轻松地入侵系统。
案例: 2017年,Uber曝出了一个数据泄漏事件,其中一部分责任归咎于弱密码和未加强的身份验证。
3、未及时更新和维护:堡垒机需要定期更新和维护,以修复已知漏洞和保持系统的安全性。忽视这一点可能会导致严重的安全漏洞。
案例: 2019年,美国国土安全部发现堡垒机软件SolarWinds中的漏洞,导致了一系列广泛的网络攻击事件。
2021年hvv期间暴出齐治堡垒机某版本任意用户登录
2023年hvv期间暴露出来的关于堡垒机的漏洞有如下:
中远麒麟堡垒机SQL注入
安恒明御运维审计与风险控制系统堡垒机任意用户注册
绿盟 SAS堡垒机 Exec 远程命令执行
绿盟 SAS堡垒机 local_user.php 任意用户登录漏洞
绿盟sas安全审计系统任意文件读取漏洞
如何正确使用和部署堡垒机
网络隔离:堡垒机不应该直接暴露在公共互联网中,而应该部署在内部网络中,或者通过防火墙和其他安全措施进行保护。只有经过授权的用户能够访问堡垒机,从而确保对内部服务器的远程访问受到保护。
强密码策略:堡垒机的管理员和用户必须使用强密码,包括大写字母、小写字母、数字和特殊字符。密码应该定期更改,避免使用容易猜测的密码,如"123456"或"password"。
多因素身份验证:启用多因素身份验证以提高安全性。这可以包括短信验证码、硬件令牌、生物识别等额外的身份验证因素。
安全协议和加密:确保堡垒机使用安全的通信协议(例如SSH)和强加密来传输数据,以防止中间人攻击。
定期更新和维护:定期更新堡垒机的操作系统、应用程序和安全补丁,以修复已知漏洞。同时,进行定期的系统维护,确保其稳定性和性能。
审计和监控:实施全面的审计和监控机制,以检测不寻常的活动和潜在的威胁。这些记录应该被保留,以便进行后续的调查和审计。
权限管理:精确控制用户和管理员对服务器的访问权限。只为特定的任务和需要进行授权,并避免赋予过多的权限。
应急计划:准备好应急计划,以应对可能的安全事件,包括数据泄漏、攻击和系统故障。
员工培训:培训员工,教育他们如何正确使用堡垒机,以及如何识别和报告安全威胁。
原文始发于微信公众号(数据安全合规交流部落):拿下堡垒机,让你享受丝滑的一条龙服务
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论