传统的网络接入控制是先接入再认证,由于端口暴露在互联网上,很容易遭受安全攻击,从而产生各种安全威胁。单包授权(SPA)是实现SDP网络隐身的核心网络安全协议。在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份,实现零信任“先认证,再连接”的安全模型理念,以此实现企业业务的网络隐身,从网络层面上实现无法连接、无法扫描。
SPA为被保护的服务器/应用提供以下安全作用
隐藏系统和应用程序漏洞:SPA通过端口隐藏可以将系统或应用程序的漏洞隐藏起来,对于未授权用户不可见,减少了漏洞攻击面。
降低账号劫持风险:基于web的应用服务通常使用cookie实现账号状态管理,如果没有预先认证和预先授权,并且携带正确的SPA数据包,网关服务器会默认拒绝来自恶意终端的网络连接请求。因此,即使网络请求中携带被劫持的会话cookie,也不会被SDP网关准入。
缓解拒绝服务攻击:SPA与常用的TCP握手连接相比可花费更少的资源,使服务器能够大规模处理并且丢弃恶意的数据包。与TCP相比,基于UDP的SPA进一步提高了服务器的可用性。
那么使用SDP网络隐身后有哪些可见的效果呢?
首先在服务器上开放业务端口
使用nmap扫描端口
开启网络隐身前,使用nmap扫描端口为open状态。
开启网络隐身后,使用nmap扫描端口为closed状态。
使用浏览器访问
开启网络隐身前,使用浏览器访问端口,可以直接连接并访问到业务。
开启网络隐身后,使用浏览器访问端口,会提示连接被拒绝。
传统UDP敲门方案在带来更高安全性的同时,也存在一些机制上的缺陷,比如,UDP敲门会存在放大漏洞,同一网络下(出口有SNAT),一个终端敲门成功,该网络下所有终端均无需再次敲门即可访问到业务端口,安全隐患随之增大。
那么,如何敲门才是安全的呢?九州云腾是这样应对的。
九州云腾SPA应对方案
双重敲门,无忧安全访问
九州云腾SPA使用了TCP+UDP双重敲门,当客户端敲门成功后,服务端会开放对应的业务端口以供客户端连接进行业务数据传输,在连接业务端口时,客户端还会发送签名过后的独有身份信息进行验证,只有当验证通过后,才能传递真实的业务数据,即使攻击者与用户处于同一nat之后,也无法利用其他用户敲门通过而开放的业务端口进行攻击行为。
高并发量,稳定业务运作
UDP敲门成功后,需要为对应的终端IP添加iptables规则,放通访问,当用户较多、频繁上线下线时,iptables操作严重损耗性能,影响业务稳定性。九州云腾SPA通过优化iptables规则,支持同时在线十万+不同ip敲门和访问,性能优秀,不影响业务稳定性。
多重加密,增强敲门安全性
SPA敲门包在网络传输过程中可被截获,攻击者得到敲门数据包之后可进行解密和分析,然后构造数据包发送到网关进行敲门攻击。
九州云腾SPA除使用客户端和网关之间的预共享密钥加密客户端IP、设备指纹等信息之外,还会使用私有算法再对敲门包进行一次加密,让攻击者无法直接查看敲门包格式和信息,增大了攻击者破解、修改敲门包的难度,保证了敲门的安全性。
敲门数据包防重放,杜绝回放攻击
SPA敲门包在网络传输过程中,存在被截获风险,攻击者截获敲门数据包之后,可重放该数据包到网关服务器,实现网关端口对攻击者的开放。
九州云腾SPA除常规的对时间戳检查来防止敲门包重放之外,还会为每个敲门包生成唯一标识,并将该标识放在加密后的敲门包内,网关收到敲门包时会对该标识进行检查,当攻击者利用已敲门过的包进行回放攻击时,将会被网关拒绝,不会开放任何端口和响应。
独有身份,一端一密
SPA敲门包主要由一个预共享密钥进行签名和加密,该密钥存在泄露风险,攻击者得到该密钥后,可直接敲门成功,并且预共享密钥在泄露后无法进行更换,否则将导致原有客户端无法敲门成功。
九州云腾SDP中内置SPA敲门能力,通过SDP客户端在第一次成功登录后,SDP客户端将会为该设备生成一对公私钥,并将公钥注册到网关,后续敲门时将使用私钥完成一部分加密,不再需要预共享密钥,很大程度上保证了预共享密钥的安全性,且当网关更换共享密钥后,已有设备依旧能够敲门成功和访问业务。
SPA单包授权是通过关闭网络端口实现网络隐身的一项重要技术,但企业内网安全只保护网络端口的安全是不够的,对上敲门暗号只是安全防护的第一步,还需要有更健全的安全防护体系。九州云腾SDP拥有网络隐身,应用隐身以及内网隐身三重隐身机制,为企业数据资产构建了层层防御的安全体系,让攻击者无从下手!
快速免费体验九州云腾SDP,您可打开钉钉应用中心,输入关键词“零信任”、“SDP”、“九州云腾”等即可检索到,或前往九州云腾