基礎資安常見破口:決戰境外-外網防禦

第 12 屆 iThome 鐵人賽

DAY 10

Security

推動資安從0起步邁向70分，不用花大錢也能有聲有色保平安。系列第 10 篇

12th鐵人賽

隔壁的老王

團隊全端開發人員天梯

2020-09-25 22:56:00

3012 瀏覽

分享至

資安風險來源聯想到的首推網路駭客攻擊，相信這一點毫無懸念。不論你是傳產，還是科技業，插上網路的那瞬間就是面對一系列來自網路的攻擊事件，因此網管的網路把關相當重要，秉持多層次防禦、零信任等的概念逐一收斂眼前的亂象。

我們用一張圖來示意一下內外網防禦的範圍，外網防禦著重於邊界過濾、攔阻、偵測、回應，讓作戰體系決戰境外，或是隱藏好自己

1.防火牆:

對外防禦的第一道城牆，夭壽重要，來自對外網路的攻擊仰賴防火牆進行阻擋，如果貴司的防火牆仍是傳統的防火牆或是簡易家用型防火牆，建議更換成UTM(集中式威脅管理Unified Threat Management，UTM)防火牆吧，UTM包含了防火牆、VPN、防駭、網頁內容過濾、防垃圾郵件、防(網路型)病毒、防間諜軟體、流量塑形、IM/P2P控制與雲端沙箱等功能，一機多用途，以防止混合式攻擊或未授權存取，並避免造成業務中斷。

若已有了防火牆，請檢查一下常見的遺漏事項，

①Policy是否合宜:請逐條檢查，我們常犯的錯誤有【老舊系統已撤除但Policy還在】、【測試期間求方便把特定IP的存取全開Any，測試結束也沒停用】、【Policy所開放的服務與系統主機的目的一致，例如web server就不應開3389對外】，是時候該大掃除了。
②特徵碼有更新到位:現代NGFW都會有防毒、Botnet、威脅情資的更新，請留意授權的效期和有效性，以及系統是否真的順利更新完成。
③設備的可靠性檢查:通常FW都會具備HA架構，為確保可靠性，仍建議於DRS或歲修時驗證一下是否會如預期切換備援。
④管理者帳號密碼過於簡單(弱密碼、預設密碼、萬年密碼都母湯阿)
⑤管理介面應限定可存取的IP或管理網段，防止來自內網的攻擊。
⑥NAT控管:若說應用的範圍有極大的不同，早期FW只有單一領域，現在可於FW內切割(ex: vdom)，讓特殊網段對外分級控管更為嚴苛落實。
防火牆是一項必要的設備，務必妥善的選用、維護、設置、監控運用，並配置高可用性HA，一般高CP值得大概會考量FortiGate，介面好理解、成本親民，若有餘裕或是需求更上提可往paloalto、checkpoint、cisco等設備評估考量。

2. DNS:常常被忽略的古老協定

DNS近年成為攻擊顯學，快先用IntoDNS查查你的DNS有沒有設定上的問題，透過檢視整個網域的現況，上面可以很清楚看到黃底的警告項和紅底的異常項，幫助你修正。

防禦技術上除了啟用DNSSEC預防快取中毒外，良好的解決方式可採用專業託管DNS服務，筆者個人推薦CloudFlare或Hinet DNS Pro、Quad9，藉由他們的託管可以過濾諸多攻擊行為。另外，這些託管的CDN反應時間也相當迅速，一般DNS變更record後的收斂時間為24~48小時方可完成，CloudFlare幾乎在1小時內都可以完成全球收斂，真的神。

DNS Proxy
(圖片援引自Cloudflare官網)

3. 對外線路備援計劃

公司有多少個對外IP配置使用中?對外IP的應用分配與現況符合嗎?對外ISP/專線只有一條嗎?當斷線的時候有沒有備援線路?
①對外固定IP是有限的資源，妥善盤點、登載使用，也有助於釐清NAT的對應主機。
②單條對外線路不太夠，即便預算有限，也請配置第二備援線路(例如:主線路為種花電信ISP的雙向100MFTTB，備援線路則可配置20M/5M作為應急使用(現在甚至有固定IP的4G可供選擇)，使單一線路異常時不至於全斷，兼顧成本與風險。
③如設備支援，可考慮做WAN Loadbalance 讓負載最佳化。

4. 域名侵害:

【網域蟑螂】這一詞已經過時了，現在搖身成為【域名投資客】，沒錯，越來越多人投入註冊，如果不想要以後花大錢把相近網域買回，又或者相近網域被利用去當商業詐騙、冒名關係企業使用侵害公司正常商業運作，那就自己先註冊吧。

5. 監控機制:

承第一項和第四項，試問，當有異常事件發生時你有收到告警訊息嗎?或是多久沒看看他的log了呢?請檢視:
①Email/SMS通報對象還正確嗎?或是可以增用Line Notice來加強提醒。
②惡意流量、異常流量的觸發監控是否正常?例如C&C、Botnet、網段掃描是否有在紀錄中?
③保留紀錄的時間可否超過1個月以上，或是有正常吐給log server紀錄中。
fortianalyzer