一个网络有多少IP和端口向外暴露,就有多少可以被攻击的点。暴露面越小,网络越安全。 零信任里面有一些可以实现“零暴露面”的隐身技术,可以让企业免疫网络攻击。 下面我就来介绍其中三种。 隐身技术1:SDP端口隐藏SDP技术是用来实现零信任理念的最好的技术框架之一。SDP技术可以把攻击面降低到最小,甚至完全不暴露端口,实现“零”攻击面。 大家都知道,一个网站需要把端口映射到互联网上,才能被外部用户访问。 SDP可以做到——让一个网站只对合法用户映射端口,不对非法用户映射端口。 就像下图这样,只有合法用户能连接到业务系统。非法用户完全“看不到”被保护的业务系统和网络。坏人去尝试进行连接的话,会发现这个IP地址上什么网站都没有。但是同时好人却可以完全正常地使用。 被保护的网络就像隐身了一样,坏人根本看不到,摸不着。包括下图中列举的各类网络攻击都无从发起。有了SDP就相当于对所有网络攻击都免疫了。
这么神奇的效果是怎么实现的呢? SDP设备通常会部署在网络的入口进行防御(下图中“火”左边的圆圈开关)。被保护的网络只有一个出入口。SDP就在这里把守。 1、SDP的组件 SDP需要两个组件配合,才能实现隐身的效果。这两个组件分别是SDP客户端和SDP网关。 (1)SDP客户端安装在用户电脑上。 (2)SDP网关部署在网络入口。
2、默认关闭所有端口 SDP网关的默认规则是——关闭所有端口,拒绝一切连接。网关防火墙规则只有一条,就是deny all。默认情况下,谁来他都不理。所有人都连不上它的端口。SDP网关就是这么“隐身”的。
3、端口敲门 这样的话,坏人是连不上了,但是好人怎么连呢?好人要进行一套特殊的流程才能连。这套流程叫做“端口敲门”。 打个比方,端口敲门的原理就像是,你要进入一个秘密基地,基地的大门平时是紧闭的。里面有个人守着,外面怎么敲门都不给开,除非你敲对了暗号,例如三长两短。敲对了暗号,就给开门了。 SDP技术要求好人在连接端口之前,也要“敲门”。 (1)SDP客户端在跟SDP网关通信之前,会先发一个“敲门”用的数据包。包中带有用户身份和申请访问的端口。 (2)SDP网关收到敲门包之后进行验证,看看身份合不合法,看看申请的端口有没有授权。 (3)如果都合格了,那么SDP网关会在防火墙中添加一条规则——允许来自这个用户的IP的流量访问某某端口。这就相当于把SDP网关这扇门给“敲”开了。 (4)敲门完成之后,用户再去访问网关的端口就可以访问通了。网关会把用户的流量转发给相应的业务系统。
注意,这个时候,坏人去访问“同一个端口”还是不能访问。因为网关只对好人的IP做了放行,坏人的IP是没有放行的。所以坏人还是扫不到端口,看不到,摸不着。 而且目标端口,对好人也只是暂时开放,一旦好人停止操作超过一分钟,端口就自动关了。如果好人一直在操作,那么SDP客户端会定期去敲门,保持端口是开放的。 你可能会发现,这里面有个问题——如果SDP网关默认所有的端口都是关闭的,那敲门包是怎么接收的呢? 其实,SDP会留一个端口,处于半开放的状态,只接收,不响应。(例如,随便一个UDP端口) (1)端口号是网关事先与客户端协商好的,例如60001 (2)客户端把敲门包发送到60001端口上 (2)60001端口接收数据包后不做任何响应 (3)坏人的扫描工具探测60001端口时,会认为这个端口啥反应都没有,肯定是关闭的。 以上就是SDP的端口隐身机制。
4、隐身的效果 如果拿Nmap去扫描SDP网关的话,结果会发现所有端口都是关闭状态,如下图。但是用SDP客户端可以正常打开网站。
5、SDP和VPN的对比 Gartner预言SDP会替代VPN技术,主要就是因为SDP的隐身能力。VPN至少还是要暴露一个端口的(例如ssl vpn的443端口)。为什么总是听到vpn爆出漏洞的新闻呢,就是因为vpn始终暴露端口,坏人可以随时去尝试攻击,去研究你有没有漏洞。 所以从这点来说,SDP的安全性确实更高。 隐身技术2:基于云的IP隐身SDP可以做到端口隐藏,但IP还是需要对外映射的。不然好人也访问不到了。 有没有不用映射IP就能实现远程访问的技术呢?有!很多基于云的零信任产品会带有这种技术。
1、云隐身的原理 这种技术的架构如图,包括三个部分:客户端、云端、连接器。 (1)连接器先主动跟云端建立隧道 (2)客户端的流量先发到云端,再沿隧道的回路,转发到连接器 (3)最后连接器再把流量转发给内网服务器 云端相当于SDP的网关。连接器起到连接内网和云端的作用。 这种架构下,企业不用给连接器映射IP和端口。连接器能上网就行。企业内网只有向外的连接,没有向内的连接。这样,坏人就彻底进不来了。 为什么连接器不需要对外映射IP和端口呢? 因为连接器是主动向外建立隧道,连接器本身不对外提供服务。云端跟连接器通信,是沿着隧道的回路来进行通信的。 如果想不明白的话,可以想想我们平时在家上网的场景。家里电脑是不对外映射IP和端口的,网站怎么把信息发给电脑呢?电脑主动向网站发起连接,网站是顺着连接的回路把网页发下来的。
2、云隐身的好处 企业不用暴露IP和端口有很多好处。 (1)首先就是不用备案了。 (2)而且,各种DDoS攻击和漏洞扫描都不可能了。扫描工具里要填写目标IP。企业什么IP都不暴露的话,坏人别说扫端口了,IP都不知道怎么填。 这样,企业网络就相当于彻底隐身了,耶!
3、云隐身的缺陷 这种模式又省心又安全,看似完美。但其实是有个风险点的。风险点就是云端自身的安全。云端还是要对外映射IP的。 这种模式本质上是把风险转嫁了,转嫁给云端了。
4、云+SDP的结合 如果要保护云端的话,可以考虑把SDP融入进来。云端装一个SDP的网关。云还是暴露IP,但是不暴露端口。 这样,总共两层防护,第一层是SDP隐藏端口,第二层是连接器不暴露IP。整体的安全性就比较完美了。 隐身技术3:无端模式SDP+连接器的方式在安全性上是很好的,但是在便捷性上有一个缺点——需要用户安装一个客户端。因为敲门是一个特殊的流程,有客户端才能执行。电脑上默认浏览器没法执行。 有端的话就难推广。一般终端的产品是比较难运维的,用户很排斥往自己的电脑上装各种乱七八糟的东西。 能不能没有端?能。 我看到过一个国外网友给自己公司DIY了一套无端的隐身方案。
1、无端模式的架构 (1)用户先登录SSO(单点登录)系统 (2)SSO通知防火墙添加一条规则——允许来自用户IP的流量(规则标签里加上创建时间) (3)后台有一个回收程序,定期去检查所有防火墙规则,对比创建时间,发现已经过了10分钟,就立即清除该规则。
2、无端模式的优缺点
这种方案也能实现隐身的效果。用户登录SSO之前,防火墙是关闭的。业务系统在互联网完全扫不到。 这种方案相当于把敲门的逻辑放到SSO系统里去执行了。好处是用户不用安装客户端,但是代价是企业的SSO系统是暴露在外的。 所以,从这个角度看,体验上来了,但是安全性下去了。
总结上面介绍了三种隐身技术,各有利弊,各有适合的场景。三种技术还可以两两组合,产生更佳效果。 隐身技术企业带来的价值也非常大。有隐身之后可以避免掉绝大多数的网络攻击、渗透测试。尤其是比较大的公司,内部几百个系统,一个一个搞安全建设太累了,不如在统一入口上直接隐身,简单有效。
|