內容來源于@什么值得買APP,觀點僅代表作者本人 |作者:正版王小帥
第一次接觸OpenWRT確實會有一點迷茫,因為它的邏輯和我們平常使用的Web管理界面并不太相同,一方面可以配置和調整的參數更多,另一方面門檻要比其它路由器入門級的Web管理界面略高一點點。那么我們今天就來簡單的聊一下,OpenWRT的基礎設置。
以我刷的這個紅米AX6000的OpenWRT為例,其他版本的可能略有差別,但是總體上功能是類似的,學會了一個其他的就會很容易上手。
登錄到LuCI后,我們看到的界面是這樣的。LuCI就是OpenWrt上的Web管理界面,因為OpenWRT除了使用LuCI配置外,還可以使用命令行配置。可以簡單的理解為DOS和Windows的關系。相對復雜的命令,LuCI的Web圖形界面要友好的多。
這個界面左側是導航菜單,從上到下依次是“狀態”、“系統”、“服務”、“VPN”、“網絡”和“退出”。我們依次進行介紹。
上圖就是概況的全屏幕截圖,可以看到系統信息,網絡狀況和DHCP的地址分配。
藍框中的網絡狀態分為兩個,上面的是IPV4網絡,下面是IPV6網絡。
為了看的清楚,我截了一個放大版的圖。偏右側信息的最左邊,我們可以看到一個網口的圖標和藍色的"eth1"字樣。這個"eth1"就代表此連接是路由器的網口1。上面的IPV4,從上到下依次是公網的連接類型,上圖是DHCP,也就是自動獲取地址,其他還有靜態IP、PPPOE等等。地址則是路由器在公網的地址,如果你的路由器是用DHCP模式連接路由模式下的運營商光貓,可以看到的是一個類似的地址一般是192.168開頭的。
如果路由器是PPPOE模式連接橋接模式下的運營商光貓,那么撥號成功后會看到一個公網地址,比如60開頭的,如果是10開頭的,那基本就是運營商的“大內網”,你可以想象成運營商建了一個超大的局域網,然后你加入這個局域網中通過這個局域網的路由器上網,這種方法對于后期的使用會造成一些麻煩,盡量讓運營商給你一個公網IP,哪怕是動態IP,也要好過內網IP。網關就是撥號網絡連接的網關,可以簡單理解成路由的第一跳,雖然我們平常的家庭局域網,網關=路由器,但是大型網絡不一定也是如此,好了,說的有點多了,咱們接著往下看。DNS就不多說了,域名解析服務器。到期時間和連接時間也是DHCP服務器提供的,可以忽略。
下面的IPV6也是類似,只不過地址信息有所不同,如果你的連接的網絡支持IPV6 ,那么這里就會列出你的IPV6信息。同樣,后期進行一些進階設置,比如DDNS等等,會用到這些信息。
防火墻的信息相對不是那么重要,在路由器狀態不正常的時候我們也許會看下。其實日常中被防火墻規則攔截的數據包還是很多的,像DDOS攻擊、IP偽裝等等,上圖我們可以看到,被轉發規則扔掉了5萬多個數據包,當我們暢快網上沖浪的時候,路由器在為我們負重前行。
路由表同樣,基本平常也不用太關心。正常情況下我們不需要對路由表進行改動,除非要實現一些比較特殊的需求,比如建立VLAN實現內外網隔離等等,可能會需要添加一兩條路由規則,否則的話,只要路由器工作正常,路由表就不需要過多關注。
相對而言,系統日志還是挺有用的。可以通過報錯信息了解那些設置有問題,以便及時更正。如果有什么功能沒有正常工作,系統日志也是了解原因的好工具。
系統日志看的是OpenWRT系統的相關信息,內核日志看的是Linux內核的相關信息。相對而言,對于終端用戶,內核日志并沒有太多的有用信息。
有點類似于Windows的任務管理器,可以查看進程的系統占用,如果網絡卡頓,網速變慢,可以查看下是不是某個進程占用了太多的資源。
實時信息可以看到實時負載、實時流量和實時連接。比如我為了測試流量,臨時從本地NAS上拉了個大數據包,從實時流量里就可以看到峰值134MB/s的傳輸速率,基本可以說跑滿了千兆局域網的網速。
這個嘛,是專門為了查看WireGuard狀態的,WireGuard是一個私有VPN,適合出門在外的時候安全遠程連接家庭網絡使用,需要配置后才能正常使用,因為沒啥需求,我也沒特意去配置它,如果大家感興趣,有機會也可以專門出一個教程,講解下如何使用WireGuard配置私有VPN。
多路外網使用的功能,如果是家庭單線撥號就可以無視了。通過這個可以查詢多外網負載均衡的狀態,檢查問題。說實話負載均衡經常會出現一些奇怪的問題,比如明明可以登錄的網站,做了負載均衡就登不上去了,非常令人頭大。
好了,關于狀態菜單我們就簡略的先說這么多,下面進入系統菜單的介紹。
從這里開始我們就可以做一些設置了,比如在系統中,我們把主題從Atgon改為Bootstrap_Mod,界面就會從原來的藍色主題左右結構,變成上圖這樣,黑色主題上下結構的。NTP是校時服務器,同時也可以把路由器設置為NTP服務器,這樣我們局域網內的設備就都可以通過它校正時間了。對于攝像頭等等對時間有要求的設備,這個功能還是挺好的,定時校時,保證時間顯示準確。
在這個界面可以更改管理員密碼,還可以設置SSH訪問權限,SSH連接的網絡可以選擇內網或者外網,監聽的端口以及是否允許root用戶登錄。我們還可以通過下面綠色的添加按鈕設置新的權限,比如在添加一個外網SSH連接的權限,當然這個是比較危險的。除非對自己十分有自信,否則強烈不建議大家這么干。
TTYD是一個Web終端,不再需要ssh,直接打開,輸入用戶名和密碼就可以輸入命令行,十分方便。
顧名思義,安裝軟件的地方,可以理解為一個應用商城。把OPKG命令行模式轉換為Web界面模式,同時實現數據庫式搜索和安裝,非常方便。
啟動項中可以啟動和禁止所有已安裝的應用腳本,但是千萬不要隨意禁止腳本,否則可能會導致設備故障(只是會很麻煩,不會徹底損壞,但是還是不建議隨便亂試)。
計劃任務也很類似Windows的同名功能,可以通過命令行實現定時更新、定期重啟某功能等效果。
掛載點可以調整掛載存儲空間,因為AX6000不能插U盤,這個功能沒什么太大的用處,保持默認即可。
備份升級頁可以恢復路由器的出廠設置,也可以備份Nvram、FIP、Factory等等數據,還可以安裝其它版本的固件。升級系統或者恢復設置的時候會用到。
可以上傳文件到路由器中,在沒有WinSCP的情況下,這個功能很方便,配合TTYD,能實現刷機、安裝文件等等操作。同時如果知道某個文件的位置,也可以輸入絕對地址將它下載下來。
這個功能最簡單,點擊后會重啟路由器,某系設置和功能需要重啟后才能生效,軟重啟很方便。
如果是雙分區雙系統,可以通過啟動不同分區進入不同的系統。這個功能可以無視。
服務這個菜單下面的就是我們最感興趣的部分了,各種插件,可以實現不同的功能。比如排在第一的這個PassWall。我原來工作的單位有防火墻和網關,其中的規則限制了對外部網站的訪問,使得很多網址無法打開也無法連接,美其名曰“專注工作”。后來我們就是用公司能訪問的地址的代理服務器作為跳板,代理服務器訪問我們的目標地址,我們訪問代理服務器, 代理服務器把他接收到的信息再傳給我們,這樣就完成了突破防火墻和網關的操作。本質上這類服務最終都是類似的原理,PassWall也是一樣,通過添加代理服務器來實現訪問被屏蔽的地址。
我們可以在節點訂閱中加入可以接收到地址訂閱信息的服務器,再通過節點列表進行測速,選擇適合的服務器作為我們的TCP和UDP節點使用,兩者可以是相同的,也可以是不同的。簡單理解,區別在于TCP是帶IP信息的而UDP不帶,但是只要目標地址支持這兩個協議中的任何一個,都可以正常訪問,不影響我們的使用體驗。
可以添加節點訂閱,定期會更新可用的服務器地址,至于節點訂閱從哪可以找到,就不屬于本文的討論范圍了。
獲取到的服務器都在節點列表中,同時也可以手動添加自己的服務器地址到這里。測試可用性,選擇速度更快的服務器使用。
還有一些進階的功能,比如自動切換、負載均衡等等,可以根據自己的需要進行使用。
這個就是大名鼎鼎的廣告屏蔽大師了,啟用,一般選擇plus+模式就可以了。有什么進階需求可以自己在研究,盡量不要啟用嚴格模式,也不要更新太多的規則,因為實際上這個功能從本質上來說是靠屏蔽地址實現廣告過濾的,很可能屏蔽掉部分你需要訪問的網址,造成很多莫名其妙的問題。
和PassWall類似,也是一個代理服務器功能。使用方法也類似,可以自己選擇。
大名鼎鼎的DDNS,這個可以說是有外網連接需求的最佳解決方案了。有很多可以使用的服務商,原理也很簡單,通過DDNS服務商將自己的IP地址發送給服務商,服務商再定期把IP和你綁定的網址注冊到DNS服務器,這樣就可以通過網址訪問到你的IP地址了。雖然家庭的IP地址不是固定的,但是可以通過定期更新IP地址的方法使家里的主機和網址綁定,繞開IP地址,隨時訪問自己的家庭主機。
使用方法也很簡單,選擇自己使用的DDNS服務商,輸入綁定的網址,然后就是路由器會定期自動更新IP了。
這個功能很簡單,就是通過網絡將家庭局域網內的特定設備喚醒。舉個例子來說,很多人喜歡遠程掛機下載,平常空閑的時候,為了省電,就要讓主機關機休息。而到了使用的時候,就可以通過遠程喚醒功能將其喚醒,然后設置下載后自動關機,這樣就可以節省能源,實現隨用隨開的效果。
設置也很簡單,選擇需要喚醒的主機就可以了,綁定的是MAC地址,即使是IP地址變化也不會影響使用。
這是一個一般情況下不需要特別設置的功能,只要打開UPnP,需要建立連接的主機會自動添加適合的協議和地址,相當于一個微型的直連網絡。
這個功能不需要設置,懂得都懂,不懂得百度下就懂了。
字面的意思,就是迅雷快鳥。有快鳥賬號可以直接輸入使用。
剛才我們說到了,如果有動態公網地址,我們可以通過DDNS實現遠程訪問本地服務器。如果沒有公網地址呢?一般就要使用某些內網穿透服務了,但是一般使用這種服務都是需要付費的,而且帶寬有限,相當于使用服務器轉發,效率也比較低。這個時候,VPN就派上用場了,ZeroTier可以建立一個虛擬VPN局域網,使得我們隨時隨地可以訪問家中的網絡。
打個不恰當的比方,就是將你的路由器變成撥號服務器,你可以遠程使用撥號軟件登錄到本地網絡,這樣建立連接后,你就可以像使用互聯網一樣訪問家中的局域網了。
具體的使用其實也不算復雜,需要到ZeroTier官網注冊,然后下載相關程序,進行設置后就可以使用了。相關的教程有很多,也比較簡單,這里就不專門介紹了。
終于到了關于網絡設置的部分了,先來說一下接口。應該說路由器的系統因為是基于Unix/Linux系統,所以把所有元素都作為一個設備管理,跟Windows的邏輯不太一樣。但是適應了以后,會覺得這樣設置會更準確,也更靈活。我們可以看到接口,里面有LAN、WAN、WAN6。LAN就是指局域網,WAN是互聯網,WAN6則是IPV6的互聯網連接。
最上方接口兩個字上面還有三個連接,同樣是WAN、WAN6和LAN。我們可以直接點進去進行相關的設置。
LAN我們要選擇靜態地址,因為路由器就是DHCP服務器,所以要固定局域網的地址。設置自己希望使用的網段,一般就是192.168.n.1,這個n可以任意設置,我比較習慣于設置為192.168.1.1。其他的也不需要多修改,子網掩碼255.255.255.0標示本局域網最多有254臺設備,如果有更多的設備,或者需要劃分更小的網絡,也可以通過更改子網掩碼來設置。一般有這些需求的同學都會自己計算掩碼,這里就不贅述了。
DHCP服務器的設置也比較簡單,啟動指的是分配的起始地址。比如我設置成110,這樣接入路由器的設備的IP地址就會從192.168.1.110開始分配。客戶數100,標示最多分配100個地址,也就是說分配地址的范圍是192.168.1.110—192.168.1.209。租期不用太在意,到期會自動續約。
WAN的設置和其它路由器也類似。我們一般都是通過運營商來上網,如果是光貓撥號采用路由模式,直接選擇DHCP客戶端即可,光貓會自動給你的路由器分配地址。如果光貓直連采用橋接模式,就需要像我圖中一樣選擇PPPOE撥號模式,輸入運營商提供的用戶名和密碼,其他都不用更改,保存后接口自動撥號上網。
無線設置在這個頁面,2.4G和5G是分開進行設置的。上面是2.4G的信息,下面則是5G的信息。我圖中藍圈的配置可以設置使用的信道,發射功率等信息。紅圈的配置可以設置無線網絡的名稱、密碼等信息。
比如信道我們一般可以選擇自動,但是如果周邊的路由器比較多,而且使用的信道比較集中,就可以手動指定一個沒有人用或者使用人較少的信道,較少信號干擾,要注意的是,無線電的使用是有法律規范的,不要使用非國標信道,避免造成不必要的麻煩。發射功率可以簡單地理解為信號強度,這個根據個人需求進行調整就可以,一般房間面積小,沒有過多的障礙物的情況下可以適當減小發射功率。
WIFI名稱和密碼的設置也比較簡單,點進去我標紅圈的配置按鍵。最上面的SSID就是WIFI的名稱,認證模式和加密方式直接使用我上圖的即可,其他設置基本不需要修改。可以看一下基本設置旁邊還有一個訪問控制,其中可以設置黑白名單模式防蹭網。白名單比較簡單,自己家里所有無線上網設備的物理地址添加進去,就可以了。只要不是列表中的設備,就都無法連接你的無線網絡。這個方法簡單直接,唯一的缺點就是如果你家中來了客人,還需要專門幫他把手機的MAC地址添加進去,否則即使知道了無線的名稱和密碼也是無法訪問的。黑名單模式則正相反,列表中的設備都無法連接路由器上網,對付那些你已經知道是在蹭你的網絡的人很方便,直接把他們的MAC地址添加進去就好了。
可以通過本頁面劃分VLAN,簡而言之就是把家里的局域網(更正確的說是把路由器的價格LAN口)分割為幾個互不連接的小型網絡。對于某些有特殊需求的人還是有用的,比如劃分出一個LAN口連接攝像頭和硬盤錄像機。
默認設置即可,這個頁面可以看到通過DHCP分配到地址的所有設備。如果有蹭網的到時可以從其中發現,正好順手把MSC地址填到我們剛才說的黑名單中。
這個頁面的下方有一個靜態地址分配的設置倒是挺有用的,某些設備本身不能設置固定IP地址,而我們又需要它的IP地址固定,比如我的攝像頭,是服務器軟件通過IP地址而不是MAC地址綁定的,所以我就需要給他們設置固定的IP地址。
最下方的自定義挾持域名也是個有用的功能,你可以通過設置域名和跳轉IP來實現某些功能,比如屏蔽某軟件的服務器,又或者屏蔽某一類廣告。
通過IP地址進行內網的主機名映射,對于主機多的用戶比較有用,便于管理和訪問,對于其它大部分人,意義不是很大。
靜態路由也屬于如果需要就很有用但是絕大多數人用不到的功能。如果有特別需要單獨設置的路由,可以在這里添加,普通家庭用戶可以無視。
網絡診斷集成了三個比較常用的功能:Ping、Traceroute和Nslookup,用于網絡出現問題時的簡單自測。
防火墻可以定義出入站數據包的規則,比較有意義的在第二頁,也就是端口轉發。
我把群暉用到的5000、5001等端口映射到群暉的內網IP地址,這樣就可以在外網通過這些端口訪問到我的NAS服務器,像遠程下載、文件服務、遠程錄像等功能就可以直接使用了。
這個版本的OpenWRT實際上已經按默認開啟了硬件流量分載,可以很大程度提升路由器的效率,在某些版本是可以手動開啟的。另一個比較重要的則是全錐形NAT,NAT簡而言之就是通過路由器把內網地址轉換為外網地址,比如我們連接家里的WIFI獲得一個內網地址,然后又可以使用手機通過路由器上網。NAT有四種,我們可以簡單理解為,全錐形NAT(NAT1)的體驗是最接近于直連外網的。
多線多撥適合有多條線路的用戶,可以指定WAN口外的任意LAN口為WAN2口,這樣就可以在WAN2口插上第二個光貓的網線。實現用一個路由器同時撥號兩個光貓或者更多的光貓,提升網絡速度。某些地區是可以單線多撥的,也就是用一個光貓多次撥號實現速度疊加,鑒于現在天津已經無法使用這個偉大的功能,我也就沒有開啟。
負載均衡可以和多線多撥配合使用,最大效率的使用撥號網絡。
以上就是對于OpenWRT的基礎設置講解了,其中部分進階功能限于篇幅并沒有展開。如果大家有興趣可以再開一篇,歡迎留言交流。謝謝觀看。
用VPN漏洞發動攻擊,似乎越發成為疫情當下黑客入侵企業,布局全球網絡態勢的新手段。前段時間,國外某研究機構發布一份報告,重磅爆出伊朗“Fox Kitten”的網絡間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業植入后門,引發安全界廣泛熱議。而今天,在新冠疫情全球范圍爆發,“全球戒嚴”勢在必行的當下,高度密切關注利用VPN漏洞發動全球性網絡攻擊顯得尤為重要。
VPN(Virtual Private Network):在公用網絡上建立專用網絡,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問,在企業政府機構遠程辦公中起著舉足輕重的地位。而這也意味著,一旦VPN漏洞被黑客利用攻擊,企業將面臨巨大威脅。
2019年,大量企業的 VPN 服務器中被指存在重大漏洞,加劇了VPN網絡安全的嚴防態勢。然而,利用VPN漏洞發動攻擊來的比預想要快,而這一次便直指全球。
伊朗借VPN啟動“Fox Kitten”間諜計劃全球范圍內重新布局網絡攻擊戰略
今年2月,國外某安全機構爆出一個名為“Fox Kitten”的網絡間諜計劃。報告稱:該計劃可追溯至2017年,由伊朗國家級黑客組織運作,利用未修補的虛擬專用網漏洞作為切入點,悄悄助力伊朗在世界各地政府和企業組織中獲得持久立足點。而相關“潛伏與立足”,直到報道前似乎大部分都還沒有被發現。
而關于該“間諜計劃”,研究員評論道:“我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。” 而后還指出,伊朗APT組織的影響力與能力可能被低估了。
智庫梳理相關信息,歸納了其四大特色,發現“Fox Kitten”計劃確有其震撼之處。
特色一:布局全球并以關鍵基礎設施為目標,滲透各國核心新基建
“Fox Kitten”網絡間諜計劃主要針對以色列組織,但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在信息技術公司、公用事業提供商、國防承包商、石油公司和航空業公司中取得了立足點。可以說,涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。
雖然,這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取信息。然而,攻擊者也將攻擊基礎設施留在原地,以便快速有效地分發破壞性惡意軟件。
特色二:伊朗三大“APT組織”組合出擊、協調作戰
雖然是被用作偵察基礎設施,但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer,并將其捆綁組合出擊。
Elfin是一個更加隱蔽的網絡間諜組織,主要針對美國、韓國和沙特阿拉伯的航空和石化目標;
OilRig的活動在很大程度上與APT33重疊,但該組織更專注于中東,并因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟件;
Chafer是一個專注于竊取個人信息的組織,它建立了一個以電信和旅游業為重點的廣泛的全球網絡。
而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰、互不干擾,但此次,三大APT組織參與共同發起了這項針對全球的VPN服務器攻擊活動。
特色三:多個VPN服務器漏洞重磅出擊,令美國FBI發布警報
而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。
今年1月10日,美國網絡安全和基礎設施安全局(CISA)警告企業,修補其Pulse Secure VPN服務器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯邦調查局(FBI)也發布安全警報,指責國家級(伊朗)黑客利用Pulse Secure VPN服務器的嚴重漏洞,破壞了美國市政府和美國金融公司的網絡。
特色四:最新VPN漏洞24小時內,即可被伊朗“攻下”利用
“天下武功,唯快不破”,或許伊朗黑客組織深諳此道。所以,當新的漏洞披露之后,他們總能在幾小時內迅速地加以部署,搶在補丁發布之前,利用該漏洞對目標系統發起致命一擊。
據資料顯示,他們不僅能夠成功獲取對目標核心系統的訪問權限,丟棄其他惡意軟件,并在網絡上橫向傳播,與此同時,還特別擅長掩蓋他們的蹤跡,并在他們泄露信息時對其存在保密。
從以上四大特色來看,這項針對全球VPN服務器的Fox Kitten計劃,無疑是伊朗布局全球網絡攻擊態勢的絕佳切入點。
全球新冠疫情浪潮之下未來VPN或將淪為網絡空間致命武器
盡管當前來看,“Fox Kitten”網絡間諜計劃被認為在執行偵察與監控,但在‘得天獨厚“的入侵優勢下,可以大膽猜測,未來“Fox Kitten”或許會將VPN漏洞武器化,進一步部署更強殺傷力的網絡攻擊。
第一,部署數據擦除惡意軟件
通常,數據擦除軟件會通過擦除用戶設備,使其無法訪問所需要的應用程序和數據,并進一步攻擊共享網絡中的文件,云服務上存儲的數據。而目前,伊朗黑客組織可能早已在相關目標上,部署了破壞公司網絡和業務運營的數據擦除惡意軟件,而此舉足以導致企業和政府的運營的停擺。
2012年,伊朗對陣沙特阿美時,曾利用Shamoon惡意軟件攻陷了石油巨頭約75%的電腦;而2019年9月,兩種新型數據擦除惡意軟件ZeroCleare和Dustman也被指與伊朗黑客有關。
第二,對企業客戶進行供應鏈攻擊
與此同時,伊朗黑客還可能利用對受感染公司的訪問權,進而對其客戶進行供應鏈攻擊。
這一推斷在FBI向美國私營部門發出的安全通告中得到了論證。通告顯示:“軟件供應鏈公司正在遭受持續攻擊,包括支持全球能源產出、傳輸和分發的工控系統的實體“。
FBI的同一警報還指出,這些攻擊中部署的惡意軟件與伊朗APT33組織先前使用的代碼之間存在關聯,強烈暗示伊朗黑客可能是這些攻擊的幕后黑手。
第三,“攻陷VPN->橫向移動”策略,發動更大范圍的攻擊
2019年12月下旬,巴林國家石油公司Bapco遭遇的一次數據擦除惡意軟件攻擊中,黑客通過VPN服務器攻擊取得了Bapco網絡的訪問權,從而將數據擦除器加載到了中央防病毒軟件中,并進一步分發到了所有計算機,而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍。
伊朗國家級APT,這個有著“世界頂級網絡殺器”稱號,并曾成功將沙特、阿聯酋、卡塔爾等各國油氣和石油公司系統斬于馬下的黑客組織,在面對全球網絡戰態勢的嚴峻的當下,為爭奪未來國際網絡戰場的主動權,都在擅用自身VPN攻擊優勢,謀求全球網絡安全攻防戰略的長線布局。
在全球新冠疫情肆虐、“全球戒嚴”的當下,不止于謹防“Fox Kitten”網絡間諜計劃,VPN作為其中遠程辦公生命體的核心血液,或許早已成為更多國家級黑客組織預利用的對象。故而,此時此刻,基于VPN建立的安全服務顯得格外重要。
轉自丨國際安全智庫
研究所簡介
國際技術經濟研究所(IITE)成立于1985年11月,是隸屬于國務院發展研究中心的非營利性研究機構,主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展態勢,為中央和有關部委提供決策咨詢服務。“全球技術地圖”為國際技術經濟研究所官方微信賬號,致力于向公眾傳遞前沿技術資訊和科技創新洞見。
地址:北京市海淀區小南莊20號樓A座
電話:010-82635522
微信:iite_er
虹CSP(點擊了解更多詳情)建立起云廠商和渠道的銷售通路,通過Iaas業務發展更多的Saas產品,為渠道伙伴提供豐富的云產品整合方案,實現云生態伙伴的合作共贏,云業務的本質是“在線化”,長虹CSP平臺可以為渠道提供在線的云業務支持,實現從廠商到渠道的云業務在線。目前長虹CSP已與多家世界500強廠商進行深度合作,如:阿里云、騰訊云、華為云等。
01 遠程辦公新挑戰 New Challenges Of Telecommuting
“長江后浪推前浪,前浪死在沙灘上” 俗語驗證著一個道理:時代在不斷革新,社會在不斷迭代,人類在不停進步。處在時代弄潮兒的數字科技技術也難逃被后來者居上的宿命。我國信息化產業崢嶸歲月激蕩30年,慢慢摒棄了以IBM小型機、Oracle數據庫、EMC存儲設備為主的“IOE”鐵三角組合,擺脫了笨重的臺式計算機,同樣,被“遺棄”的還有傳統辦公方式。隨著全球新冠疫情的席卷,遠程辦公、居家辦公、移動辦公已逐漸替代原有的企業辦公模式,成為當下的混合工作新常態。過去數十年里,VPN為所有遠程工作者們提供了隨時隨地遠程訪問企業網絡的安全通道。
而今,VPN也將被互聯網所熟知傳誦的新型網絡安全架構——零信任接入所取代。VPN全稱虛擬專用網絡,是用戶的設備與另一臺計算機之間通過互聯網的安全連接。VPN服務可用于在任何遠程辦公環境下安全地訪問工作計算機系統。簡單來說,即使遠在海外,也可以通過VPN連接并訪問到公司總部內部系統,
為適配更多業務場景,企業在業務云化后不得不面臨跨不同云服務部署應用,且需要支持移動辦公。企業本地數據中心不再是網絡架構的中心,多云環境下,對用戶訪問開展認證、權限管理的工作量大,于是以專注云架構下具有嚴格訪問控制的零信任接入(ZTA, Zero-Trust Access)技術被廣為推崇。
02 混合辦公新常態 Mixed Office New Normal
面對日益復雜的網絡環境與辦公形態,企業對于遠程接入訪問的需求也在不斷增加,而傳統VPN技術實現遠程安全接入的方案帶來了較大的挑戰。主要體現在以下幾點:
一、端口暴露風險不受控在傳統VPN的架構,必須要對外暴露端口已實現遠程連接的功能,這就讓所有互聯網上的黑客或掃描器都能夠輕而易舉的攻擊VPN站點。這將是企業一個嚴重的安全隱患,尤其是VPN爆出高危漏洞的時候。二、未被發現的漏洞,時常暴雷
已知的VPN漏洞已經超過500個,每當爆出VPN漏洞時,就是每個數字企業安全運營同學徹夜難眠的日子,一旦黑客利用VPN漏洞入侵企業內網,內網中的應用都將成為黑客的攻擊目標。
三、終端風險無感知
傳統VPN只針對用戶進入身份做認證,缺少業務訪問全周期的終端安全檢測能力,使得訪問過程存在巨大網絡安全風險,病毒或攻擊者很有可能通過VPN感染企業內部業務系統。
四、多云復雜環境難應用
企業上云趨勢的廣泛應用,在多云、混合云環境下,傳統VPN難以適應統一安全接入、統一建立安全邊界的需求。
五、權限粗放風險大
傳統VPN 認證通過后業務訪問權限不會進行調整,默認接入內網等于進入“安全地帶”,不會持續監測身份、終端、行為和進程信息,引發權限固化造成的安全事件。
六、訪問體驗遭詬病
在當前云計算時代,各種部署環境、應用環境變得異常復雜,于是VPN的訪問模式在易用性、靈活性、穩定性等各個層面,都顯得不盡人意。
正是由于傳統VPN諸多的局限性,越來越多的安全廠商和企業都開始邁進了零信任時代,根據 Research Dive 最新發布的報告顯示,全球零信任網絡安全市場規模從 2019 年的 185.0 億美元增長到 2027 年的667.413 億美元。
03 數字企業,用億格云樞 Digital Enterprise,With Eagleyun Yunshu
“零信任”,最早是在2010年的時候由Forrester Research的分析師John Kindervag提出來的基于“永不信任,始終驗證”原則。零信任既不是一種技術,也不是一個產品,而是一種安全理念和安全方法。
專注于企業級零信任SASE的安全服務廠商億格云科技,針對混合辦公場景下推出了零信任遠程訪問接入服務——億格云樞,那么億格云樞相較于“VPN”對于企業到底有什么樣的價值?
1、端口隱藏更安全基于 TLS 反向隧道,實現端口 0 暴露,業務全隱身,只有驗證用戶和設備身份的合法性后,才針對合法用戶合規終端開放網絡端口和業務訪問權限。有效緩解 DDoS 攻擊、流量攻擊、端口掃描、遠程注入等威脅。
2、終端安全全覆蓋終端安全全覆蓋終端能力 ALL IN ONE,結合千萬級威脅情報庫,有效解決終端漏洞、木馬攻擊等威脅,對敏感數據進行定義并管控,實現數據安全全流程覆蓋。
3、多云訪問極致體驗億格云零信任遠程訪問方案,將能力云化適配更多業務架構的同時,在介于用戶和企業資源之間,為企業提供更敏捷、可適應、可擴展的服務。
4、動態調整訪問權限遵循最小權限原則,基于場景化應用授權而非網絡全開放,用戶只能訪問完成其日常工作所必須的應用資源。訪問權限可以基于角色、訪問上下文、訪問者的信任等級等多維屬性制定,并可在風險發生時動態實時撤銷。
5、訪問體驗全面提升云樞基于云原生架構,在全球部署數十個網絡接入點,搭建高速專屬通道,保障用戶通過最短路徑即可訪問公司應用,訪問速度更快,穩定性更好,給用戶提供最優質的的訪問體驗。
綜上所述,云樞相對于傳統的VPN,首先是全面身份化,每一次訪問交互都與身份綁定,杜絕外部威脅;其次是多源信任評估,防止不安全訪問;第三是持續而精益的訪問控制,實現權限最小化,防止不合法身份的不安全訪問;最后是可成長的統一安全架構,針對全網資源自動化、可視化的精益控制。
寫在最后零信任從雛形到概念再到落地實踐,經歷著十余年發展,“零信任”時代早已到來,網絡安全作為企業重要生命基石,推動零信任的安全體系也將被提上日程。如果想進一步了解零信任安全體系。