[实验文]利用ssh服务突破业务堡垒机的统一入口限制VIP专享VIP免费

第1页共5页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共5页[实验文]利用SSH服务突破业务堡垒机的统一入口限制Writer:demonalex[at]dark2s[dot]org随着经济全球化进程的日益加剧，国内的上市公司企业数量也与日俱增，SOX（萨班斯）法案也随之成为各大企业与机构的主要内审依据之一，为了有效实现SOX法案中针对IT审计的技术支撑手段，各大安全厂家均推出了自己的4A解决方案，从一开始的旁路审计系统，到后来的业务堡垒机、综合审计平台等等，且各自具备特殊亮点。在此番如火如荼的激烈战斗中，让我们切身地了解到了业务堡垒机这种IT安全审计中坚产品的份量。本来设计业务堡垒机的初衷是为了营造出一个唯一的安全登陆入口，实现对维护通讯进行统一的帐号管理、认证、授权与审计工作，同时为保障自然人与这个唯一入口间的通讯链路是安全的，因此大家都会用SSH作为通讯手段。但不要忘记SSH除了是个加密的telnet替代品外，还提供大量特殊功能，如SCP以及本次实验所使用到的TCPForward功能（类似于TCP端口映射技术），通过这项功能我们可以轻易绕过大部分的业务堡垒机产品。针对上述论点我们进行下面的实验，首先部署一个模拟企业内部通讯网络，其架构主要包含一个OA区（维护终端区域）、服务器区以及一台用于隔离用的核心路由器。具体示意图如下：第2页共5页第1页共5页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共5页正常的情况下，处于OA区域的远程维护终端内直接访问服务器区域的所有服务器应用，但这样有违业务堡垒机部署的初衷，因此我们需要在核心路由器上加入相应的ACL安全策略，实现远程维护操作必须“以业务堡垒机作为唯一安全入口”的最终目的。以下为核心路由器（CISCOC2600Version12.2）主要配置：!interfaceFastEthernet0/0.1descriptionlinktoserverencapsulationdot1Q1nativeipaddress192.168.10.10255.255.255.0ipaccess-grouppassallinipaccess-grouppassallout!interfaceFastEthernet0/0.2descriptionlinktoOAencapsulationdot1Q2第3页共5页第2页共5页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共5页ipaddress192.168.20.1255.255.255.0ipaccess-groupuntrustinipaccess-grouppassallout!ipaccess-listextendeduntrustpermittcpanyhost192.168.100.4eq22denyipany192.168.100.00.0.0.255permitipanyany!通过上述配置可以确认：透过配置名为“untrust”的ACL实现用户不能访问192.168.100.0/24这个网段，仅仅只能访问业务堡垒机192.168.100.4的SSH服务（TCP22）的效果。原则上，通过上述配置我们可以认为这个环境已经满足‘业务堡垒机对远程维护操作进行统一帐号管理、认证、授权与审计’的目的了，且只有业务堡垒机（IP地址为192.168.100.4）是服务器区域的唯一入口。现阶段正常情况下，处于OA区域的维护终端若要对处于服务器区的服务器进行维护操作，必须先利用SSH客户端（SecureCRT、Putty、…）登陆业务堡垒机，由业务堡垒机对客户端的自然人身份、权限进行鉴别，并对整个过程进行审计。但这里忽略上文所谈到的SSH特性—TCPForward功能，下面我们通过实操确认一下该功能可实现的效果：1）第一步，我们在维护终端机器（192.168.20.197/24）上通过PING与SSH客户端连接服务器（192.168.100.2/24），可以确认“ACL策略已隔离OA区与服务器区的直接访问”；2）第二步，在维护终端机器（192.168.20.197/24）上打开SSH客户端Putty（本例用的是Putty，其实其它客户端程序也能完成该功能，只是操作过程存在差异而已），选择“Connection”->“SSH”->“Tunnels”分页：第4页共5页第3页共5页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第4页共5页在上图红色框框部分填入：Sourceport（映射后的本机监听TCP端口，注意：该端口目前不能被其它程序所占用）；Destination（被映射的TCP套接字，格式为“IP地址:TCP端口”）。然后点击“Add”按钮，再回到“Session”分页，在“HostName(orIPaddress)”输入栏输入业务堡垒机的IP地址，然后点击“Open”按钮进行连接。3）SSH登陆成功后...