[实验文]利用ssh服务突破业务堡垒机的统一入口限制.docVIP

[实验文]利用SSH服务突破业务堡垒机的统一入口限制 Writer: demonalex[at]dark2s[dot]org 随着经济全球化进程的日益加剧，国内的上市公司企业数量也与日俱增，SOX（萨班斯）法案也随之成为各大企业与机构的主要内审依据之一，为了有效实现SOX法案中针对IT审计的技术支撑手段，各大安全厂家均推出了自己的4A解决方案，从一开始的旁路审计系统，到后来的业务堡垒机、综合审计平台等等，且各自具备特殊亮点。在此番如火如荼的激烈战斗中，让我们切身地了解到了业务堡垒机这种IT安全审计中坚产品的份量。 本来设计业务堡垒机的初衷是为了营造出一个唯一的安全登陆入口，实现对维护通讯进行统一的帐号管理、认证、授权与审计工作，同时为保障自然人与这个唯一入口间的通讯链路是安全的，因此大家都会用SSH作为通讯手段。但不要忘记SSH除了是个加密的telnet替代品外，还提供大量特殊功能，如SCP以及本次实验所使用到的TCP Forward功能（类似于TCP端口映射技术），通过这项功能我们可以轻易绕过大部分的业务堡垒机产品。 针对上述论点我们进行下面的实验，首先部署一个模拟企业内部通讯网络，其架构主要包含一个OA区（维护终端区域）、服务器区以及一台用于隔离用的核心路由器。具体示意图如下： 正常的情况下，处于OA区域的远程维护终端内直接访问服务器区域的所有服务器应用，但这样有违业务堡垒机部署的初衷，因此我们需要在核心路由器上加入相应的ACL安全策略，实现远程维护操作必须“以业务堡垒机作为唯一安全入口”的最终目的。以下为核心路由器（CISCO C2600 Version 12.2）主要配置： ! interface FastEthernet0/0.1 description link to server encapsulation dot1Q 1 native ip address 192.168.10.10 255.255.255.0 ip access-group passall in ip access-group passall out ! interface FastEthernet0/0.2 description link to OA encapsulation dot1Q 2 ip address 192.168.20.1 255.255.255.0 ip access-group untrust in ip access-group passall out ! ip access-list extended untrust permit tcp any host 192.168.100.4 eq 22 deny ip any 192.168.100.0 0.0.0.255 permit ip any any ! 通过上述配置可以确认：透过配置名为“untrust”的ACL实现用户不能访问192.168.100.0/24这个网段，仅仅只能访问业务堡垒机192.168.100.4的SSH服务（TCP22）的效果。原则上，通过上述配置我们可以认为这个环境已经满足‘业务堡垒机对远程维护操作进行统一帐号管理、认证、授权与审计’的目的了，且只有业务堡垒机（IP地址为192.168.100.4）是服务器区域的唯一入口。 现阶段正常情况下，处于OA区域的维护终端若要对处于服务器区的服务器进行维护操作，必须先利用SSH客户端（SecureCRT、Putty、…）登陆业务堡垒机，由业务堡垒机对客户端的自然人身份、权限进行鉴别，并对整个过程进行审计。但这里忽略上文所谈到的SSH特性—TCP Forward功能，下面我们通过实操确认一下该功能可实现的效果： 第一步，我们在维护终端机器（192.168.20.197/24）上通过PING与SSH客户端连接服务器（192.168.100.2/24），可以确认“ACL策略已隔离OA区与服务器区的直接访问”； 第二步，在维护终端机器（192.168.20.197/24）上打开SSH客户端Putty（本例用的是Putty，其实其它客户端程序也能完成该功能，只是操作过程存在差异而已），选择“Connection”-“SSH”-“Tunnels”分页： 在上图红色框框部分填入： Source port（映射后的本机监听TCP端口，注意：该端口目前不能被其它程序所占用）； Destination（被映射的TCP套接字，格式为“IP地址:TCP端口”）。 然后点击“Add”按钮，再回到“Session”分页，在“Host Name (or IP address)”输入栏输入业务堡垒机的IP地址，然后点击“Open”按钮进行连接。 SSH登陆成功后再启动Putty并连接本机的