#原创分享#记深信服OSM堡垒机的一次实施细节分享
  

Princeling 3227745人觉得有帮助

{{ttag.title}}
      2018年12月在一个高校的等保项目中第一次开始接触****的OSM堡垒机,2019年后来又在另外两个客户处测试实施过OSM堡垒机,这其中有硬件OSM实施也有CSSP安全资源池的软件版本,期间也有幸在一个等保项目中玩了一个友商江南科友HAC的堡垒机,一直没有时间整体复习,这次整体出来和大家一起发分享学习。本文重点还是深信服堡垒机OSM V3.0的****服运维安全管理系统的实施配置细节。

      小弟在这里只是在售后角度简单说明一下堡垒机:堡垒机主要是对运维人员,在日常对业务系统 交换机 网络设备 数据库 进行操作的时候进行权限控制,操作审计,支持审计回放,以及异常操作及时阻断(防止有人删库跑路:吓尿:),同时在业务出现问题的时候对运维操作人员进行追责,同时在一定程度上防止黑客攻击。

      堡垒机的关键就是实施后如何进行防绕行,所有运维人员想管理交换机 server系统必须通过堡垒机,不能直接输入IP就能进行telnet SSH 或者3389登录管理。
这些内容小弟都会在下文和大家详细分享:

  一:首先介绍一下此次实施的整体拓扑
   此次主要是新上架一台数据库审计DAS产品和堡垒机OSM产品为硬件产品,OSM为标准1U,数据库审计DAS为2U产品,然后就是防火墙AF和行为审计AC的策略配置优化,符合等保要求,关于此次数据库审计的细节大家可以关联查看小弟分享的另外一篇实施细节文章:
   具体实施细节拓扑如下:(涉及客户信息已经抹除IP)
开放大学奉贤分校.jpg
   OSM和数据库审计均为单臂部署 AC是6个网口配置了三对网桥 防火墙6个电口,三个LAN口,三个WAN口 电信 联通 教育网 ,整体为大二层部署,网关全部在深信服防火墙上,三个网段。
  学校业务主要就是OA服务器带数据库和学校微官网。

二:OSM堡垒机初始化
     1.首先笔记本电脑直连eth0口,电脑网卡配置10.251.251.x网段的地址(如10.251.251.16,子网掩码255.255.255.0,网关为空,使用https://10.251.251.10登录 用户名密码:**** ****
    (如果不正常 也可能是** Sangfor@1234 OSM3.0使用的硬件产品密码是Sangfor@1234 其他软件版本的OSM密码是**,这个是小弟经历,如不正确可以找对应版本的手册或者400专家组再确认。)
2019-11-26_202632.png
首次登录,强制修改**的密码:
2019-11-26_202709.png
更改后,直接进入系统:
2019-11-26_202731.png
2. OSM V3.0的**是系统初始化用户,登录后要进行角色定义,只有先进行三权分立角色和用户定义后才可以进行网络IP的配置,堡垒机的用户分为:初始化用户 运维操作员 系统管理员 安全管理员 审计管理员
    这里描述一些这几个角色可以实现的功能:(目前小编接触了几个厂商的堡垒机,在角色定义这块基本是相似的)
    初始化用户:进行组织定义(客户名称)角色功能定义 用户建立(主要建议系统管理员用户 安全管理员用户 审计管路员用户);
  系统管理员:登录后可以进行系统配置,比如配置网口IP,管理口IP,查看系统运行状态,双机维护 使用授权  补丁管理,运维管理(初始化用户下组织定义(企业名称)下的二级用户组划分 )
   安全管理员:堡垒机的核心,在这个用户下我们可以建立资源(交换机 服务器 数据库)运维管理员 权限分配(哪些运维管理员可以操作哪些资源)
   审计管理员:对运维管理员的日常操作进行录屏回放 监控 阻断操作等 日志查询等(检索 回放 监控 阻断 下载 命令详情)
   运维人员:登录后只能看到自己有权限管理操作的交换机 服务器 数据库 进行日常运维操作

2.jpg

2019-11-26_214509.png

在【运维管理】->【用户】菜单下添加用户,并赋予系统管理员权限,在角色中匹配系统管理员角色:

3.png
分配角色存在互斥关系:

2019-11-26_223018.png
(深信服OSM堡垒机有自动定期改密的功能,因此在这个角色中还存在一个解密密钥接收角色,用于接收定期改密的密钥)

如果选了多个角色,角色之间存在互斥就会报错:(这也是安全方面的要求)
2019-11-26_222945.png

角色之间的互斥关系V3.0.5版本可以在初始化用户**下进行定义:V3.0需要在系统管理员用户下定义
2019-11-26_223425.png

备注:在OSM V3.0.5版本 界面有一定优化,在系统初始化用户下可以直接定义接口管理IP,角色定义,本文使用的是V3.0版本。但是并不影响大家的操作。权限方面重点还是安全管理员,只有安全管理员下才可以去建立资源 运维用户和操作权限划分。

3.系统管理员用户登录设置IP
以初始化用户**定义的系统管理员sys**登录在系统配置菜单,网络配置设置单臂的管理口eth0和网关。
2018-12-03_130836.PNG

系统管路员确认自己的授权 可以管理的资源数(堡垒机是按照可以建立管理的交换机 数据库 服务器的设备资源数进行授权的)
2018-12-03_131410.PNG

至此就可以开始接入管理网线,开始进入堡垒机配置的关键环节了。

三:OSM堡垒机安全管理员进行运维用户定义 资源定义 权限划分
    在这里首先说明一点:几乎所有的堡垒机都需要在进行BS CS(比如数据库需要用数据库连接客户端)都需要搭建应用发布服务器,应用发布服务器本身需要windows server远程桌面授权,授权后要安装应用发布服务器空间isoAPP,具体搭建的过程后期会详细分享出来。
    一般测试的时候需要获取镜像,进行部署安装,部署过程中只需点击一次“下一步”部署完成默认用户名/密码为:**istrator/sangfor@123,不需要呀再做其他的设置
应用发布.png

    本文先从简单的来 只分享本次堡垒机发布server系统的RDP 3389 telnet协议的资源,不需要搭建应用发布服务器,C/S类型的资源(数据库)和B/S类型资源本次先不做分享

1.首先使用系统初始化**账户下简历的安全管理员sec**进行登录,在运维管理菜单下的用户管理建立用户分配运维用户角色
安全管理员定义用户.PNG

2.在运维管理菜单下的资源页面建立资源:
资源建立.PNG
   资源建立支持建立linux windows 网络设备  C/S B/S以及数据库资源 ,其中C/S B/S 以及数据库资源的建立需要对接应用发布服务器。
  下边是分享windows RDP3389资源的建立。在RDP安全模式中选择any,否则在运维用户登录管理的时候,RDP无法连接,这个是小弟当时在实施的时候住的一个地方
资源建立RDP.png
3.建立授权策略,将用户和资源建立关联关系:
在运维管理角菜单下的授权页面下添加
运维授权.PNG
具体操作就是将上面1 2两步的用户和资源建立关联关系
授权修改.PNG

四:OSM堡垒机运维管理员登录操作
接下来及时运维管理员登录,管理自己权限范围内的设备了,运维用户登录只能看到自己有权限管理的设备:
运维操作.PNG
点击图标,进入windows 服务器。深信服的堡垒机在使用RDP访问windows server或者 telnet SSH访问linux和交换机的时候,可以使用内置的应用,不用运维用户下载安装插件 9.png 5.png

在windows窗口点击web上图标可以进入文件传输:
10.png

11.png
如发布的资源开启了FTP服务,也可以点击 3.png 图标,打开FTP文件传输页面。
6.png
对于交换机或者linux系统可以点击: 7.png ,在弹出的窗口可以直接进行telnet
2018-12-03_134906.PNG

当然,如果运维人员本地电脑有SSH工具,可以在登录首页帮助与工具页面下载单点登录工具,调用本地插件,这点和其他友商堡垒机类似:
2019-11-26_202632.png

单点登录控件.png
下载后经过设置可以在运维页面点击 2019-11-27_201043.png 调用本地的secureCRT和Xshell 或者winscp工具

2019-11-27_201220.png


五:OSM审计管路员登录查看回放和命令记录
以审计账号登录系统:
审计管路员登录.PNG
可以查看命令记录和建立记录:
命令记录.PNG
操作回放:
审计回放2.PNG

如果是正在操作的用户,审计用户登录后可以进行监控阻断:
12.png

六:堡垒机防绕行操作
     一般堡垒机均为单臂部署,为了做到防止用户直接跳过堡垒机 SSH telnet 或者管理服务器,所以一般会,通过防火墙或者交换机策略限制用户只能通过堡垒主机访问目标设备。
   比如通过交换机的ACL默认规则配置禁止访问后再配置开启部分规则,例如:rule permit tcp destination 10.252.252.101 0.0.0.0 destination-port 3389
这在里要注意端口:
897885dde6b6e47398.png

防绕行方法2:在目标设备windows组策略的组策略中增加规则,远程连接端口(例如3389)只允许堡垒主机IP访问,配置步骤可搜索引擎查询。
  linux服务器添加iptales:比如:
在tcp协议中,禁止所有的ip访问本机的1521端口:
iptables -I INPUT -p tcp --dport 1521 -j DROP
允许192.168.1.123访问本机的1521端口
iptables -I INPUT -s 192.168.1.123 -p tcp --dport 1521 -j ACCEPT

防绕行方法3:加强密码管理,采用堡垒机代填密码:
    加强用户名、密码管理规范方式杜绝此问题,运维人员使用堡垒机代填目标设备账号密码方式登录目标服务器,且不知道其他服务器账号密码,也就防止了跳转运维操作。此方案前提是有管理员人员专门去修改掉服务器密码或者使用堡垒自动改密方案。

七:测试总结(与其他附属功能,亮点)
深信服堡垒机还有很多细化的功能,比如应用发布服务器的搭建,自动改密 ,高危命令执行的审批等等,小弟时间有限不能一一分享,大家可以参考附件的测试实施指导:https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=85819
924645dde6c8640894.png

    分享完了,感觉社区有一个大神发表的堡垒机的文章非常不错,小弟写的有不清楚的地方,大家也可以去学习一下这篇文章:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=75945&highlight=#/ 内有详细的应用发布服务器的搭建过程

打赏鼓励作者,期待更多好文!

打赏
28人已打赏

新手011353 发表于 2019-11-28 11:29
  
哇。深度好文。一开始看到细节分享,就点进来了。细节决定成败。楼主分享得真的很详细,很好~点赞
Sangfor_闪电回_朱丽 发表于 2019-11-29 11:10
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
amwpnpynn 发表于 2019-11-30 21:38
  
本帖最后由 amwpnpynn 于 2019-11-30 21:40 编辑

文章是好文章,但产品是某公司所有设备中唯一被客户嫌弃的产品
sangfor3456 发表于 2019-12-3 20:00
  
厉害了,又学到了新技能!向楼主学习!
SANGFOR_fulai 发表于 2019-12-3 20:53
  
感谢楼主分享!楼主对于堡垒机部署实施了解都很透彻,好文点赞!
司马缸砸了光 发表于 2019-12-9 21:41
  
来学习,踩一下
新手780102 发表于 2019-12-9 21:54
  
来涨下见识
新手031815 发表于 2019-12-10 10:09
  
实践是检验真理的唯一标准
新手612152 发表于 2019-12-10 10:21
  
正好需要这类型的分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人