小弟在这里只是在售后角度简单说明一下堡垒机:堡垒机主要是对运维人员,在日常对业务系统 交换机 网络设备 数据库 进行操作的时候进行权限控制,操作审计,支持审计回放,以及异常操作及时阻断(防止有人删库跑路:吓尿:),同时在业务出现问题的时候对运维操作人员进行追责,同时在一定程度上防止黑客攻击。
堡垒机的关键就是实施后如何进行防绕行,所有运维人员想管理交换机 server系统必须通过堡垒机,不能直接输入IP就能进行telnet SSH 或者3389登录管理。
这些内容小弟都会在下文和大家详细分享:
一:首先介绍一下此次实施的整体拓扑
此次主要是新上架一台数据库审计DAS产品和堡垒机OSM产品为硬件产品,OSM为标准1U,数据库审计DAS为2U产品,然后就是防火墙AF和行为审计AC的策略配置优化,符合等保要求,关于此次数据库审计的细节大家可以关联查看小弟分享的另外一篇实施细节文章:
具体实施细节拓扑如下:(涉及客户信息已经抹除IP)
OSM和数据库审计均为单臂部署 AC是6个网口配置了三对网桥 防火墙6个电口,三个LAN口,三个WAN口 电信 联通 教育网 ,整体为大二层部署,网关全部在深信服防火墙上,三个网段。
学校业务主要就是OA服务器带数据库和学校微官网。
二:OSM堡垒机初始化
1.首先笔记本电脑直连eth0口,电脑网卡配置10.251.251.x网段的地址(如10.251.251.16,子网掩码255.255.255.0,网关为空,使用https://10.251.251.10登录 用户名密码:**** **** (如果不正常 也可能是** Sangfor@1234 OSM3.0使用的硬件产品密码是Sangfor@1234 其他软件版本的OSM密码是**,这个是小弟经历,如不正确可以找对应版本的手册或者400专家组再确认。)
首次登录,强制修改**的密码:
更改后,直接进入系统:
2. OSM V3.0的**是系统初始化用户,登录后要进行角色定义,只有先进行三权分立角色和用户定义后才可以进行网络IP的配置,堡垒机的用户分为:初始化用户 运维操作员 系统管理员 安全管理员 审计管理员
这里描述一些这几个角色可以实现的功能:(目前小编接触了几个厂商的堡垒机,在角色定义这块基本是相似的)
初始化用户:进行组织定义(客户名称)角色功能定义 用户建立(主要建议系统管理员用户 安全管理员用户 审计管路员用户);
系统管理员:登录后可以进行系统配置,比如配置网口IP,管理口IP,查看系统运行状态,双机维护 使用授权 补丁管理,运维管理(初始化用户下组织定义(企业名称)下的二级用户组划分 )
安全管理员:堡垒机的核心,在这个用户下我们可以建立资源(交换机 服务器 数据库)运维管理员 权限分配(哪些运维管理员可以操作哪些资源)
审计管理员:对运维管理员的日常操作进行录屏回放 监控 阻断操作等 日志查询等(检索 回放 监控 阻断 下载 命令详情)
运维人员:登录后只能看到自己有权限管理操作的交换机 服务器 数据库 进行日常运维操作
在【运维管理】->【用户】菜单下添加用户,并赋予系统管理员权限,在角色中匹配系统管理员角色:
分配角色存在互斥关系:
(深信服OSM堡垒机有自动定期改密的功能,因此在这个角色中还存在一个解密密钥接收角色,用于接收定期改密的密钥)
如果选了多个角色,角色之间存在互斥就会报错:(这也是安全方面的要求)
角色之间的互斥关系V3.0.5版本可以在初始化用户**下进行定义:V3.0需要在系统管理员用户下定义
备注:在OSM V3.0.5版本 界面有一定优化,在系统初始化用户下可以直接定义接口管理IP,角色定义,本文使用的是V3.0版本。但是并不影响大家的操作。权限方面重点还是安全管理员,只有安全管理员下才可以去建立资源 运维用户和操作权限划分。
3.系统管理员用户登录设置IP
以初始化用户**定义的系统管理员sys**登录在系统配置菜单,网络配置设置单臂的管理口eth0和网关。
系统管路员确认自己的授权 可以管理的资源数(堡垒机是按照可以建立管理的交换机 数据库 服务器的设备资源数进行授权的)
至此就可以开始接入管理网线,开始进入堡垒机配置的关键环节了。
三:OSM堡垒机安全管理员进行运维用户定义 资源定义 权限划分
在这里首先说明一点:几乎所有的堡垒机都需要在进行BS CS(比如数据库需要用数据库连接客户端)都需要搭建应用发布服务器,应用发布服务器本身需要windows server远程桌面授权,授权后要安装应用发布服务器空间isoAPP,具体搭建的过程后期会详细分享出来。
一般测试的时候需要获取镜像,进行部署安装,部署过程中只需点击一次“下一步”部署完成默认用户名/密码为:**istrator/sangfor@123,不需要呀再做其他的设置
本文先从简单的来 只分享本次堡垒机发布server系统的RDP 3389 telnet协议的资源,不需要搭建应用发布服务器,C/S类型的资源(数据库)和B/S类型资源本次先不做分享
1.首先使用系统初始化**账户下简历的安全管理员sec**进行登录,在运维管理菜单下的用户管理建立用户分配运维用户角色
2.在运维管理菜单下的资源页面建立资源:
资源建立支持建立linux windows 网络设备 C/S B/S以及数据库资源 ,其中C/S B/S 以及数据库资源的建立需要对接应用发布服务器。 下边是分享windows RDP3389资源的建立。在RDP安全模式中选择any,否则在运维用户登录管理的时候,RDP无法连接,这个是小弟当时在实施的时候住的一个地方
3.建立授权策略,将用户和资源建立关联关系:
在运维管理角菜单下的授权页面下添加
具体操作就是将上面1 2两步的用户和资源建立关联关系
四:OSM堡垒机运维管理员登录操作
接下来及时运维管理员登录,管理自己权限范围内的设备了,运维用户登录只能看到自己有权限管理的设备:
点击图标,进入windows 服务器。深信服的堡垒机在使用RDP访问windows server或者 telnet SSH访问linux和交换机的时候,可以使用内置的应用,不用运维用户下载安装插件
在windows窗口点击web上图标可以进入文件传输:
如发布的资源开启了FTP服务,也可以点击
图标,打开FTP文件传输页面。 对于交换机或者linux系统可以点击:
,在弹出的窗口可以直接进行telnet
当然,如果运维人员本地电脑有SSH工具,可以在登录首页帮助与工具页面下载单点登录工具,调用本地插件,这点和其他友商堡垒机类似:
下载后经过设置可以在运维页面点击
调用本地的secureCRT和Xshell 或者winscp工具
五:OSM审计管路员登录查看回放和命令记录
以审计账号登录系统:
可以查看命令记录和建立记录:操作回放:
如果是正在操作的用户,审计用户登录后可以进行监控阻断:
六:堡垒机防绕行操作
一般堡垒机均为单臂部署,为了做到防止用户直接跳过堡垒机 SSH telnet 或者管理服务器,所以一般会,通过防火墙或者交换机策略限制用户只能通过堡垒主机访问目标设备。
比如通过交换机的ACL默认规则配置禁止访问后再配置开启部分规则,例如:rule permit tcp destination 10.252.252.101 0.0.0.0 destination-port 3389 这在里要注意端口:
防绕行方法2:在目标设备windows组策略的组策略中增加规则,远程连接端口(例如3389)只允许堡垒主机IP访问,配置步骤可搜索引擎查询。
linux服务器添加iptales:比如:
在tcp协议中,禁止所有的ip访问本机的1521端口:
iptables -I INPUT -p tcp --dport 1521 -j DROP
允许192.168.1.123访问本机的1521端口
iptables -I INPUT -s 192.168.1.123 -p tcp --dport 1521 -j ACCEPT
防绕行方法3:加强密码管理,采用堡垒机代填密码:
加强用户名、密码管理规范方式杜绝此问题,运维人员使用堡垒机代填目标设备账号密码方式登录目标服务器,且不知道其他服务器账号密码,也就防止了跳转运维操作。此方案前提是有管理员人员专门去修改掉服务器密码或者使用堡垒自动改密方案。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-11-28 11:29
发表于 2019-11-29 11:10
工程师1级 
