本帖最后由 常鸿 于 2022-8-10 14:33 编辑
正文开始之前,先分享一个小技巧
EDR 3.5.24版本以后 新增了一个自定义风险文件的功能 如图:
将可疑文件的MD5值 添加到这个策略里,在EDR以后继续查杀里面,就会把相同MD5值的文件给揪出来
言归正传 客户买了咱们的防火墙和EDR产品,并且配置了联动 现在内网用户已经部署好了EDR客户端,做终端防护
但是存在这样一个情况,客户的用户经常会出差,每次出差时间还比较长,那客户这边就想着让出差在外的用户,也可以进行EDR的安装和更新使用
已知目前的环境是,客户用的是拨号上网,并没有固定的IP地址
我这边最终给做的方案如下:
1、要在外网区域使用EDR,那肯定要外网能连接上EDR的客户端,但是客户又没有固定的IP地址,首先要解决接入地址的问题,这里用的是DDNS类的产品,例如花生壳这种,申请一个域名,做动态域名的解析 2、动态域名拿到了,那么EDR就用动态域名来解析,所以接入地址添加上域名 3、配置好域名接入以后,那现在域名解析的地址还是出口地址,EDR在内网部署,所以还要做一下地址转换 问题又来了,因为没有固定的IP地址,所以做地址转换的时候,没法写目的IP地址 解决办法: 在目的地址那里,写全部地址 这样不论出口IP变成什么,都能匹配到这条地址转换 4、外网接入这样就可以实现了,那么现在通过域名接入后,加入用户又回到了公司内网,这边同样要实现从内网用域名接入EDR 方法有两种,双向地址转换,或者DNS透明代理 代理方式配置如下: 把这个域名在防火墙的本地HOSTS上直接解析成EDR地址
现在已经实现了,EDR的内外网漫游,客户的问题又来了
客户发现咱们的远程协助功能很好,他就大胆的猜测,能不能让公网访问的用户,也可以通过远程协助来控制
经过这边反复的测试验证呢,最终发现通过互联网来远程协助,最终实现不了
原因是这样的 控制台上发起了远程请求以后,控制台会先连接该被控终端,询问是否接受被远程
终端同意以后,再由登录控制台的这台终端,直接去连接被控终端,调用的是VNC组件
由于两边都是私网地址,所以无法直接访问,连接会报失败
后续版本如果远程控制可以由控制台做中间代理了,那就可以实现协助互联网终端了
|