设备使用时间长以后,就可能会出现一些影响性能或降低安全性的操作,那我们应该如何应对呢
本期分享VPN设备该优化哪些功能;
1、本地密码认证安全
1.1、查看本地用户管理时是否有“sangfor”、“test”等测试用户,如果未使用可以删除;
1.2、查看是否有公共组,如果未使用可以删除或禁用;
1.3、开启密码安全策略;
注:密码安全策略仅对本地用户名密码认证的私有账号有效,对LDAP、Radius等第三方对接的认证方式不生效;
通过密码安全策略来定期通知用户修改密码,并规定密码复杂度;
2、开启防暴力破解
2.1、开启防暴力破解的功能防止帐号密码被爆破而导致内网失陷;
2.2、封锁用户仅对本地用户或LDAP导入本地的用户生效;
2.3、封锁IP会对所有的认证方式(包括第三方认证)生效;
3、第三方认证
第三方认证如LDAP、Radius等,根据实际情况配置好组映射或者角色映射,然后根据实际情况授权,确保权限最小化,防止越权带来的风险
4、开启双因素认证
4.1、双因素认证,需要同时满足多次认证要求才能允许登录VPN;
4.2、密码泄露或者撞库等攻击导致的安全隐患;
5、关闭匿名登录
开启匿名登录后就不需要输入用户名密码或者选择其他认证方式了,直接选择匿名登录就可以连上VPN,较不安全,建议关闭匿名登录的功能
6、权限划分
在配置角色授权时,使用最小权限的原则分配资源,非必要场景,不要将L3VPN全网资源、WEB全网资源和泛域名全网资源分配给用户并禁用该资源
7、允许访问资源客户端类型
在配置资源时,保障访问资源的客户端类型最小化,建议在配置资源的时候选择好允许访问资源的客户端类型,不需要访问资源类型的客户端禁止访问
8、关闭HTTP接入
HTTP端口仅作跳转和选路的作用,若非分布式或SSL多线路等必须使用HTTP端口的环境下,建议关闭80端口
9、开启host头部攻击防护
9.1、建议开启host头部攻击防护,开启后,仅允许写入的地址接入(一般写的外网接入地址即映射后的IP或者域名)其他的地址如DMZ口,LAN口的内网地址等均无法接入VPN;
9.2、若以域名方式接入VPN,则需要将域名解析后的IP也加入,不加入会导致EC接入使用异常;
10、关闭PPTP/L2TP接入
建议使用更安全的SSL接入,建议关闭PPTP/L2TP VPN的接入
11、允许接入客户端类型
建议关闭不使用的接入客户端类型
12、控制台加固
12.1、建议关闭远程维护,使用更安全的HTTPS访问控制台;
12.2、控制台超时时间不要设置太长,建议10分钟为宜,根据实际使用情况调整;
13、关闭探测
建议关闭设备的ping和traceroute、外网登录本机的MML、外网使用升级客户端进
行维护的功能
14、管理员帐号加固
14.1、建议对管理员登录控制台做IP限制,仅允许受信的运维IP登录控制台,有环境的情况下也可以开启证书/USB-KRY认证;
14.2、添加时,注意网络中是否有NAT的环境,若有需添加NAT后的地址;
目前统计到这些,欢迎补充~