有网友碰到这样的问题“记一次攻防演练:通过爱快与远程服务器建立VPN通道”。小编为您整理了以下解决方案,希望对您有帮助:
解决方案1:
记一次攻防演练:通过爱快与远程服务器建立VPN通道
在4月的最后几天,我们经历了一次意外的攻防演练。托管在电信机房的一台服务器不幸被攻破,这次攻击不同于以往的流量攻击,而是利用了Web目录权限的漏洞,通过上传ASP木马和webshell获取了全站目录结构,并最终拿到了MDB数据库文件。攻击者进一步在C:UsersPublic目录中写入各种扫描和提权工具,最终成功添加了管理员帐号。尽管我们尝试在安全日志中寻找痕迹,但未能找到管理员帐号添加的具体方式。
攻击路径与防御措施攻击路径:Web目录权限漏洞 -> 上传ASP木马和webshell -> 获取全站目录结构 -> 拿到MDB数据库文件 -> 写入扫描和提权工具 -> 添加管理员帐号。防御措施:加强Web目录权限管理,避免全站可写和执行脚本;更新和加固IIS+ASP+MDB的组合,避免使用过于简单的文件资源管理器;定期审计和监控服务器日志,及时发现异常登录和攻击行为。VPN通道搭建背景在攻击事件发生后,我们发现服务器不断受到RDP方式的暴力破解尝试,平均每秒1次,且登录IP几乎没有重复。尽管管理员帐号名称和密码都进行了更改,但持续不断的尝试仍然令人担忧。同时,由于演练前主动上报了服务器IP,使得日常运维直接以IP方式远程桌面登录变得不再安全。
VPN通道搭建过程选择VPN方式:
最初考虑使用Windows防火墙配置“只允许安全连接”,但尝试后不成功且可能不稳定。
接着考虑SSH端口转发,但考虑到长期使用,最终选择了VPN方式。
网络环境与设备:
本地网络:一台软路由安装了爱快,网段为10.1.0.0/24。
服务器端:两台物理机组成全虚拟机局域网,网关也是爱快,网段为10.0.0.0/24。
VPN配置:
两边登录爱快,在网络设置中选择VPN客户端,并选择IPSec。
IPSec配置没有服务端和客户端的区别,两边完全一模一样的配置,只需互换进和出的地址(即本地和对方子网地址)。
服务器有公网IP,直接填写IP;本地网络没有固定IP,使用DDNS绑定域名,并填写相应域名。
填写子网IP时,注意两边网段不能相同,以避免冲突。
认证方式:
默认的认证方式是密码,但推荐改为自签证书以增强安全性。
爱快可以直接生成证书,将证书内容复制到另一边的对方证书框里即可。
连接与测试:
两边保存配置后,状态显示为绿色已连接,表明VPN通道已经建立。
此时两边的网段已经可以正常互联互通,例如本地网络中的Ubuntu主机可以直接SSH连接远程Ubuntu主机。
防火墙设置:
修改服务端Windows防火墙设置,只接受来自内网网段的连接请求。
在远程IP地址中选择下列IP地址,并添加对方的子网IP。
如果运维电脑固定,可以设置静态IP并直接绑定该IP;如果电脑不固定,可以填写整个网段。
VPN通道的效果与注意事项效果:
VPN通道建立后,之前通过SSH端口转发才能连接的各种项目现在可以直接通过内网IP连接。
服务器同样可以通过Nginx反代指向本地网络的服务器,实现一劳永逸的远程连接。
注意事项:
需要保障本地网络的安全性,避免本地网络成为攻击服务器的源头。
平时没有运维需求时,建议断开VPN通道以降低安全风险。
通过这次攻防演练和VPN通道的搭建,我们深刻认识到了网络安全的重要性以及加强防御措施的必要性。未来,我们将继续加强网络安全管理,提高防御能力,确保服务器的安全稳定运行。