我们在工作中经常需要用到QQ和微信来交流和发送截图,但是QQ和微信方便的外发文件功能,却给企业的信息安全带来挑战。很多用户咨询如何在保留截图功能的同时,又要屏蔽QQ和微信的外发文件功能。所以我们的技术人员专门做了针对性的测试。
本文中,我将介绍如何用WSG硬件网关(WFilter NGF)来屏蔽QQ和微信外发文件,同时保留截图功能。
首先,QQ和微信的发送截图和发送文件走的是同样的数据通道。无法通过IP地址、通讯端口,以及协议特征来进行区分。这里我们要用到WSG行为管理的一个特色功能:屏蔽疑似文件上传功能。如下图:
为满足出差在外人员和分支机构办公的需要,企事业单位一般采用如下的两种方式:
端口映射,把对应的服务端口映射到公网,供终端访问。
VPN。客户端需要先拨入VPN,然后再访问内网服务。
这两个办法各有优缺点:端口映射的方式,配置简单但是不够安全。内网的服务系统直接暴露在公网上,容易被攻击导致严重的损失。VPN的方式,安全系数要高很多。但是VPN需要配置客户机,配置和维护比较复杂。
在本文中,我将介绍WFilter NGF(WSG网关)中新加的一个功能:Web VPN。采用Web VPN可以带来如下好处:
随着钉钉办公的普及,越来越多的企事业单位采用钉钉作为日常的办公工具。而钉钉使用是需要连接互联网的,而且钉钉具有非常快捷方便的文件上传功能。那么对局域网的网络安全就带来了一定的挑战。主要在于如下两点:
如何不允许上外网的电脑使用钉钉,并且禁止其他的所有应用?
如何防止员工通过钉钉软件外发文件导致资料泄露?
下面我将针对这两点需求来介绍具体的实现方案。
钉钉(DingTalk)是中国领先的智能移动办公平台,用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化,但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件,从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能,所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。
通过多次的抓包分析,钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。
钉钉PC版的外发文件,主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图:
企业开展在家办公,需要满足员工从外网接入到企业内网的工作需要,那么在选择网络设备的时候,主要关注以下几点:
VPN的访问安全不能只依赖用户名和密码,至少要可以提供双重认证。比如SSL VPN的ca证书加用户名密码的方式。用户既需要有正确的ca证书,还需要正确的用户名密码才可以接入。这是内网数据安全的第一道防线。
疫情期间,很多企事业单位都选择在家办公。员工在家通过虚拟局域网连接到企业内部的ERP、OA、财务等系统,既可以满足疫情防控的需要,又不影响工作。那么企业要进行远程办公应该如何搭建网络环境呢?本文中,我将结合WSG上网行为管理网关,来描述企业如何准备在家远程办公的网络环境。
WFilter NGF(WSG硬件网关)的“Web认证”模块中,我们新增了“重定向HTTPS”的功能。对于未经认证的HTTPS访问,一样可以重定向到认证地址。具体配置如下图:
PPTP虽然饱受安全性诟病,但是由于PPTP速度快、支持的系统多(windows、andriod默认都可以支持),仍然有很多人选择PPTP作为远程办公的拨入协议。有一点我们要注意的是,PPTP的安全性依赖用户名密码,而且通讯加密强度不够。如果对安全性要求高,建议采用SSL VPN(openvpn)等更安全的VPN通讯协议。
在本文中,我讲介绍PPTP远程办公拨入的具体步骤。
首先要在远程网络上开启PPTP服务,以WSG上网行为管理网关为例,具体配置如下图:
入侵检测系统IDS(“Intrusion Detection System”)可以对网络、系统的运行状况进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。而入侵防御系统IPS(“Intrusion Prevention System”)在入侵检测的基础上添加了防御功能,一旦发现网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。两者的差别在于:
功能不同。入侵防御系统在入侵检测的基础之上还实现了防护的功能。
实时性要求不同。入侵防御必须分析实时数据,而入侵检测可以基于历史数据做事后分析。
部署方式不同。入侵检测一般通过端口镜像进行旁路部署,而入侵防御一般要串联部署。
之前我们介绍过如何用钉钉认证和企业微信认证来实现企业内部的实名上网认证。此外邮箱认证也是企业进行wifi实名认证的一个有效手段。因为很多企业都给员工开通了企业邮箱,直接让员工输入邮箱账号和密码进行认证上网。配置、使用和维护都相对比较简单。
本文我将介绍企业邮箱进行wifi实名认证的具体步骤。本例中用的是163的企业邮箱。
在WFilter的“应用过滤”中,有个智能过滤的选项,可以选择”屏蔽超过N字节的疑似上传行为“。如下图:
通过网络上传和外发文件有很多种方式,比如:
各种文件传输方式,比如QQ文件、微信文件、FTP上传等等。
各类传文件的网站,网盘和文件共享站点。直接在浏览器里面就可以上传。
通过邮件发送附件的方式。
互联网上存在着大量的恶意网站和钓鱼网站,这些网站通过在网页上挂木马程序,利用浏览器和操作系统的漏洞来入侵访问者的电脑。一旦中毒,会给局域网带来不可预知的损失,极大的危害到局域网的网络安全。
本文将介绍如何用WFilter NGF来屏蔽恶意网站,并且保护局域网不受恶意钓鱼网站的攻击。总体来说,有以下两个途径:
入侵防御系统(Intrusion Prevention System)是对防病毒软件和防火墙的有效补充。IPS可以监视网络中的异常信息,并且能够即时的中断、阻止、告警内外网的异常网络行为。
在WFilter NGF中,我们集成了基于snort的入侵防御系统,该系统主要可以实现如下三个方面的功能:
保护内网的web服务器、文件服务器、邮件服务器。
检测内网终端的木马和恶意软件。
检测内网终端的异常网络行为。
在本文中,我简单介绍下如何实现这三个方面的功能。
企业内网的服务器都存有企业的重要信息,包括CRM用户信息、技术资料等。所以内网服务器的信息安全是企业网络管理的重点。内网服务器不但面临外来的攻击,也会受到来自内部的攻击。在本文中,我将介绍如何用WFilter NGF的入侵防御模块来保护内网服务器。网络结构图如下:
WFilter NGF用网桥部署模式,接在内网和服务器网段以及互联网之间,既可以做外网上网行为管理,又可以保护服务器网段。
DDOS全称Distributed Denial of Service,中文叫做“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。DDOS会耗尽网络服务的资源,使服务器失去响应,为实施下一步网络攻击来做准备。比如用KaLi_Linux的hping3就可以很容易的实现DDOS攻击。
如图,未受攻击时,netstat -nat可以查看到只有少量的网络链接。
在本文中,我将介绍如何用WSG上网行为管理网关结合中国移动的10086云MAS平台,来实现局域网WiFi实名认证。
对于三层交换机划分多个VLAN的局域网来说,要设置IP-MAC绑定可真不容易。在三层交换机上进行IP-MAC绑定,不但配置复杂而且维护工作量很大,所以大部分网管都不会直接在三层交换机上进行绑定。在本文中,我将介绍用WSG上网行为管理,在网桥部署的模式下,如何来实现三层交换机下的IP和MAC绑定。
Win10的自动更新非常的频繁,而且windows的更新很耗带宽资源。所以,如果网内的windows电脑比较多,那么一旦windows发布了新的更新包,会占用大量的网络带宽资源。
当然,windows的更新很多都是安全方面的更新,保持系统更新有助于提高终端的安全,我们并不建议关闭更新。不过,有些网络为了节省带宽资源,需要屏蔽局域网内电脑的自动更新。在没有部署上网行为管理的情况下,你需要在路由器或者网关设备上屏蔽站点“.*(officecdn|mp|updates)\.microsoft\.com“(正则表达式)和".*\.windowsupdate\.com”(正则表达式)。“windows更新”的通讯协议描述如下图:
日前,深圳市网络与信息安全信息通报中心发出紧急通告,指出目前知名远程办公工具TeamViewer已经被境外黑客组织APT41攻破,提醒企业组织做好防护措施。也就是说,APT41已经攻破TeamViewer公司的所有防护体,并取得有相关数据权限,危险等级非常高。在teamviewer官方提供解决方案和发布相关补丁之前,我们建议用户暂停teamviewer软件的使用,避免造成不必要的损失。
以下是teamviewer通讯方式介绍,以及如何用WSG上网行为管理来禁止teamviewer。
teamviewer在启动时,首先会连接teamviewer官网(http和https方式都有),来获取ID和路由信息。如果直接连接不了,teamviewer还会获取本机的代理配置,尝试通过代理服务器去连接。
teamviewer后续的点对点远程控制,大部分通过的端口是tcp 5938。也存在其他动态端口的通讯数据。
有些公司为了安全需要,只允许使用微信等指定软件,同时屏蔽所有的其他网站和软件。这样的管理需求,必须要用专业的上网行为管理产品才可以实现。以我司的WSG上网行为管理为例,只需要两条行为管理规则,即可实现该功能。配置的思路是“应用过滤屏蔽所有+例外设置开通部分应用”这两者结合的方式。下面是具体配置的步骤介绍:
如图,应用过滤添加规则,禁止所有应用的访问。
WSG上网行为管理的一些型号,如WSG-500E、WSG-XE都可以支持光口,设备接口如下图:
本文我将介绍如何来使用WSG上网行为管理的光纤接口。
IOS系统的自动更新非常耗带宽,每次IOS版本更新动辄好几个G。每次IOS推出新版本,都是对企业带宽资源的一大考验。
WFilter NGF上网行为管理系统(WSG网关)提供了丰富的系统调用API接口,具体的API接口请参考:WFilter API接口。在本文中,我将介绍如何用WFilter的API接口来直接访问统计报表系统。
如图,WFilter中有一系列的内置统计报表,您也可以自己定义需要的报表格式。
本文将介绍如何用WSG上网行为管理网关来记录局域网内的邮件收发内容。邮件收发主要有两种方式:
客户端邮件,比如outlook, foxmail,thundbird等客户端。
网页邮件,国内比较普遍的是qq和163的网页邮件。
