如何收回软件安装权限及公有云waf域名解析杂谈 | 总第234周

‍‍

0x1本周话题

话题一：我们准备收回虚拟机安装软件的权限，但是某些开发应用必须要管理员权限才能运行，怎么样能在满足特定软件运行需求的情况下收回软件安装权限？

A1：如果不借助外部的话，可以看看windows组策略里边有没有这样的东西。

A2：虚拟机，应该Linux系统。

Q：没有收回这个权限会有多大风险？有时候实现这个成本很大。

A3：风险主要还是非正版软件的问题，律师函发的越来越频繁，要管管。开发用的终端虚机，都是Windows的，通过组策略收回权限某些软件运行不了，比较头疼。部分开发终端虚拟机还是联网的。

A4：这个没办法，很多软件本身就是绿色版。

Q：联网收权限，有权限不联网， 这能做到吗？

A5：先把联网的情况整理看看能不能清理一波。联网的，防病毒防盗版防泄密一起搞了。不联网的，不怕律师函。

A6：终端侧可以考虑几个方向：1、上网白名单（过滤一些软件的在线更新，防止信息泄露）。2、应用白名单或者黑名单（白名单可以事先，黑名单需要定期扫描，事后了）。3、使用瘦终端+数据上下行的控制。4、其实开发权限回收是可以的。

Q：第三条没太理解，请再指教下这个数据上下行控制的方法，是传入传出和上网都做了控制吗？

A7：数据传入传出和上网都做了控制，我们堡垒机用的瘦终端，没办法拷入数据，开发VDI的话可以用标准模板，不需要更新。

Q：各位有碰到乱发律师函的吗，其实也不知道他们有没有证据，一些小众软件听都没听过的就乱发过来。

A8：这个问题群里讨论过蛮多次了，可以找找周报。只要没提供证据，律师函99%都不用理。

A9：有，不理就是。有的会在网上筛你的新闻，看到你用了啥技术发了再说。当然还是得自查下，还得看，他是发给谁的。现在就是头疼发给管理层了。

A10：一般不会一下子就给管理层，会先发IT或对口业务部门。这时在网关上拦截处理下，后续就不会给管理层了。

A11：我们针对性分析过一些软件的环境采集+反盗版机制，国外的软件都涉及把主机系统信息传输到境外服务器的问题。另外，也有的专利流氓代理已经到了是给所有可能用软件，且不在客户名单的企业都发一遍。能虎住一个是一个。

话题二：一般系统如果部署在公有云，会将互联网域名cname到公有云的waf域名，根据大家的经验，这个waf域名解析的公网ip地址会变吗？

A1：一般会，看公有云商他的waf节点在哪里。一般公有云商会有多个地方部署WAF，不同的IP，如果是单个IP，那就是有问题了。

A2：不对，从公网ip根本访问不到，是cname访问。

Q：那有朋友接触过CDN waf吗？cdn waf如果要做源站防护的话，某产商回源IP就一个地址。这个地址要是变化，站点不就挂了，不就访问不了了吗？

A3：回源IP最好要多个，或者是一个VIP后面两个以上节点。还没碰到过一个的，cdn那不得一大堆。

A4：遇到过，一个地区就一个的，但是应该不会只有一个。

Q：如果waf域名对应的公网ip会变，同时又有系统多个域名共享同一个waf公网ip，这种情况下扫描这个waf公网ip的漏洞是不是意义不大了？感觉没法根据端口定位到系统。

A8：是没有意义。因为这个IP对应的是云商的WAF服务器，不是你的web服务器，扫waf公网IP不带域名头的话都扫不到对应的业务。要扫源站才有意义。

Q：如果政策上又要求需要做waf回源保护，理论上扫源站是不是也扫不通呢？

A9：如果是想自己定期扫，那自己扫描的IP加白就好了，就能同时发现waf前后的漏洞情况。只加白节点的IP和自己的IP，其他IP就扫不了你源站了。但是要做好节点IP监测，换了IP要及时加白，要不就容易坑。

之前我们为了检测节点IP，还自己写了个脚本去实时监控，供应商同步信息经常不及时。

Q：这里的节点ip是指waf回源的节点？

A10：对。

Q：这里我其实不太理解，比如路径是waf-»alb/云防火墙，在alb/云防火墙上配置waf节点ip回源保护，这种情况下waf节点ip地址和waf对外提供cname的ip地址是同一个吗？

A11：一半云waf，云厂商会提供汇源IP地址段啊，不可能只给你一个吧。cname 是域名，将你的域名指向cname就解析完成了，具体什么IP不需要去管他可能是个动态的不同地区访问IP地址可能会变化，回源IP，你的web业务加白回源地址然后不让其他IP直接访问就可以

A12：防火墙上把提供的IP地址段放开就可以了，可以参考下面两篇帮助文档：

https://www.alibabacloud.com/help/zh/web-application-firewall/latest/allow-access-from-waf-ip-addresses  https://help.aliyun.com/document_detail/99399.html

文档里的图比较清晰，waf对源目都做了nat。

A13：WAF的IP跟回源IP是两个概念。前面那个对用户侧几乎不可见，后面那个需要网络组加入到安全组，通信。大厂一般都是集群的形式。