一、VPN概述
通常意义上的虚拟专用网并不是真的专用网络,虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。所以通常定义的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame. Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
攻击者常通过对VPN用户的账号进行爆破从而获取相关人员的账号密码信息,或者通过钓鱼等方式获取账号信息,从而轻易进入公司内网,导致严重的后果。
二、应急过程
指挥中心收到反馈后,应立即下令停止该VPN的使用,并启动应急响应流程;
1、通知使用该VPN所有用户,停止使用此VPN,并且停止VPN服务;
2、确认影响范围,若该VPN使用了双因素验证 除了账户密码还需要应急key,攻击者没有key无法登录;
3、联系该VPN厂家同指挥中心技术人员确定该事件原因,确定此次行为是否因为VPN设备当前版本存在漏洞且未及时安装补丁;
4、若存在漏洞则在该VPN厂家技术人员指导下对其进行升级打补丁,并由指挥中心技术人员进行验证;
5、由指挥中心技术人员梳理该VPN设备日志、防火墙日志以及日志服务器日志,最终确认攻击者IP;
6、总结此次事件原因,筛查其他安全设备是否存在相关漏洞,并进行同步更新。
三、后续管理
VPN等安全设备所有用户密码应禁止设置为弱密码,同时VPN设备登录应考虑设置最小化用户集以及双因子认证方式验证实现。同时应加强基线管理以及数据防泄漏管理,基线方面预计采用资产管理系统,对所有资产进行标记,根据分类分级不同程度加强基线配置,并考虑部署DLP等设备进行管理防止数据泄露。
扫一扫
1706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
