远程办公安全指南:强化网络边界防护的关键技术

本文详细探讨了在远程办公环境下如何通过多因素认证、VPN安全配置、无线网络防护等技术手段强化企业网络边界安全,包含具体漏洞示例和实操建议,帮助组织降低网络攻击风险。

检查您的网络边界

David Fletcher //

随着众多组织为遏制COVID-19传播而转向远程办公,我们需要关注一些关键配置要素,以确保网络边界得到适当保护。员工远程访问往往是攻击者试图初始侵入企业网络的目标。通过经过认证的远程访问,攻击者可能在极短时间内肆意破坏您的环境。

多因素认证

在员工转为居家办公时,确保组织在所有面向互联网的企业信息门户上使用多因素认证(MFA)至关重要。根据《2019年Verizon数据泄露调查报告》,使用被盗凭证是观察到的头号黑客技术。

攻击者常使用工具收集员工姓名,将其转换为用户名,并对暴露的门户实施密码喷洒等攻击。若未启用MFA,攻击者只需猜中正确密码即可获取访问权限。由于COVID-19导致远程工作者数量增加,攻击面也随之扩大,这会显著增加未使用MFA的整体风险。

此外,不应只关注明显的门户。应深入分析漏洞扫描结果,调查所有需要外部认证的服务——尤其是那些通过HTTP认证请求NTLM的主机和应用程序。我们经常能通过非Webmail和VPN的应用程序成功获取访问权限。

MFA并非万能解药(存在CredSniper和Evilginx等透明代理工具),但会增加攻击者的入侵成本。通过要求连接设备使用客户端证书可提升安全性,但若未提前部署,快速安全实施可能较为困难。

安全卫生

外部安全卫生已受广泛关注,但VPN和其他远程访问技术中近期暴露出的一系列漏洞仍需检查。

许多新发现的漏洞利用门槛低且无需凭证。更糟糕的是,暴露设备通常缺少部署在工作站的安全控制措施(如防病毒和端点威胁检测)。此外,使用量增加会使基于设备日志的检测变得极为困难。

扫描这些设备时,应启用适当检查以检测已知缺陷。也可使用公开的漏洞扫描或利用脚本进行针对性检测,但需确保脚本来源可靠且理解其行为(通常只是向设备暴露的资源发送HTTP请求)。

VPN配置

IKE激进模式

VPN集中器的配置是安全的重要环节。在外网渗透测试中,我们常发现古老的“使用预共享密钥(PSK)的IKE激进模式”漏洞。激进模式IKE握手会暴露足够信息以尝试恢复保护VPN隧道的PSK。为避免此问题,可将VPN设备配置为仅接受主模式握手——该模式不会披露可用于恢复PSK的详细信息。

实际利用此条件可能较困难,因为攻击者通常需要知道连接组名。即使破解PSK,攻击者可能还需处理内部认证,这为密码攻击提供了额外机会。无论如何,修复此配置是明智之举。

拆分隧道

另一个可能引发问题的VPN配置是允许拆分隧道。当员工在VPN连接时可直接浏览互联网(绕过VPN),仅企业资源请求通过VPN时,便形成拆分隧道。

这虽有利于节省带宽,但完全绕过了用于执行企业IT策略的基础设施(如Web代理、执行沙箱、SSL/TLS检查设备、全包捕获设备等)。允许拆分隧道会使入侵调查变得困难甚至不可能——响应人员必须考虑不经过企业网络的流量,且对员工网络的可见性降低。

组织在允许拆分隧道前,应认真评估安全态势、固有成本及配置影响。好消息是,若订阅了云防护服务(如Cisco Umbrella和Zscaler),可部分缓解此风险——这些技术提供内部基础设施的部分能力,无关设备联网路径。

企业无线配置

企业无线配置与远程安全何干?如前所述,使用被盗凭证是黑客活动的头号手段。企业无线配置可能是获取员工凭证的另一途径。

办公室内的无线网络基础设施至少提供某些保护,部分设备还可能具备主动防护机制。攻击者通常需发射比合法接入点更强的信号以实施邪恶双胞胎攻击。

在邪恶双胞胎攻击中,攻击者广播相同的SSID以诱使设备连接。当设备使用Active Directory域认证时,攻击者AP会请求凭证,计算机会自动发送凭证。由于攻击者模拟已知网络,连接通常无需用户交互——受影响设备检测到SSID即自动连接。

当企业设备(及其他使用域认证的设备)离开企业基础设施时,问题便显现:攻击者无需与合法信号竞争或主动阻止客户端连接。

因此,组织应确保无线网络配置为在客户端与基础设施间执行双向认证——即客户端应验证AP证书,反之亦然。

此外,需密切关注移动设备。在我们测试的多个组织中,企业虽设有移动网络段,但为减少用户记忆凭证数量而使用Active Directory认证。若未向这些设备部署客户端证书,攻击者同样可截获凭证。

一旦攻击者获取凭证,可尝试在面向互联网的门户使用,或物理窃取可合法认证的设备。

家庭网络防护

最后需考虑的是员工家庭与工作生活的分离。现代家庭网络常充斥IoT设备、智能手机和游戏机。组织通常无法确保这些设备或网络本身的安全性。

最佳方案可能是最难实施的:组织应确保企业设备在员工网络中与个人设备隔离(我们将在后续博文中详细讨论)。

更易接受的替代方案是向企业设备部署始终开启的VPN配置:允许员工使用缓存凭证认证,加入无线网络后,VPN客户端会在访问网络时自动连接。

这限制了设备在员工家庭网络中的暴露,并通过隧道连接防止本地交互。

结论

组织在采取应对COVID-19的措施时,需确保不增加业务暴露风险。在允许大规模远程操作前,确保远程访问安全配置是重要考量。希望本文能帮助您在业务分布化过程中识别需检查的领域。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次