防范于未然vpn设备实现安全远程接入.pdf

防范于未然 VPN 设备实现安全远程接入 都说 2007 年是 “企业安全年 ”，现在越来越来的企业开始重视于网络安全。 都说 2007 年是 “企业安全年 ”，现在越来越来的企业开始重视于网络安全。由于时常爆 “灰鸽子 ”、 “熊猫烧香 ”等黑客攻击事件，更多地说明了黑客行为及行为者已然发展成一条产 业链， 并且是一个赚钱快速成长的产业。 随着时代的发展，单纯的黑客小技术行为，已经延 伸成金钱与利益挂勾的犯罪行为， 大批用户被黑的事件更是频频爆发。 可以想象， 未来黑客 行为会更加趋向于以窃取网民用户的利益为出发点，并且手段会更加高明。 Qno 侠诺的技术人员在最近的交流中，也谈论到这个事件。由于 Qno 侠诺在全国各个 城市都有技术人员，因此对于用户应用互联网的情况也有全面性的了解。在 “灰鸽子事件 ” 的讨论中发现， 很多企业用户由于观念不正确或者专业知识不足， 常常因此而导致在网络配 置上留下很大的漏洞，未来可能成为企业信息外泄的重要渠道。 一、 ERP 远程接入配置 随着企业信息化国家发展政策出台，很多中小企业也建置了像 ERP、财务管理、 CRM 等方面的软件系统，作为企业运作的核心。近一两年，据 Qno 侠诺工程师调查发现，更多 的中小企业又更进一步地建置了远程接入的系统。 这也许是因为经营扩张的需要， 或者是因 为经营者希望能更迅速地掌握企业现状，希望随时可登陆相关系统。 但是，由于企业希望最大程度地节省成本，因此有些软件商、 SI 或者是项目公司会根 据客户的需求， 采取直接开放内网资源的方式， 让互联网用户可以直接使用路由器的虚拟路 由功能，直接登陆企业内部服务器。常见的作法包括：第一，直接开放数据库端口给公网 ; 第二， 通过应用服务器开放一个端口对公网， 再把此端口传来的请求， 通过应用服务器转成 标准的数据库请求后，交给数据库服务器处理 ;第三，通过终端服务、 Citrix 等软件，让用户 直接使用中心的应用系统。 对于这些作法， 大多数用户不会感到任何不同， 因此也可以达到终端接入的目的。 但是 由于大部分企业 SQL 服务器和应用服务器放在一台 PC 机上，因此给攻击者一个很好的机 会和渠道。例如，早期做法是直接把 SQL 服务器的 TCP1433 端口开放给外部用户，这样就 相当于给所有用户都开放了此端口 ;即使现在大量的软件都是做一个应用服务器中转一下， 也是开放了应用服务器的计算机 ;而 B/S 的应用，同样要对外开放 SQL 服务器或者其它端口。 由于计算机的端口开放， 黑客只要使用类似 Portscan 的软件，就可以很快的查到企业服务器。 这样的情况，在台湾、香港或外企公司， 由于已经具备很强的安全意识，所以基本上都 是用 VPN 来做远程，没有人愿意冒风险以直接开放的方式进行配置。但是在国内，一般项 目实施的供应商在项目洽谈的时候，可能考虑控制成本或者是迎合客户决策者的低成本暗 示，一般会掩盖此问题， 只有在出了安全问题的时候才有可能暴露。所以， 企业用户使用路 由器虚拟服务的方式，会容易被竞争对手或黑客入侵，导致报价信息、 商业机会外泄、 投标 输掉等情况都有可能发生。 图：企业用户应用情况分析 用户 A ：