最近帮朋友公司做红蓝对抗演练,发现不少人在搭建靶机环境时,一上来就急着配端口映射,结果内网服务暴露在外网,被蓝队两分钟扫出来直接拿下——不是技术不行,是忘了基本规矩。
别把测试环境当生产环境用
很多团队在内网搭了个Web系统,为了方便外部访问,随手在路由器或云主机上加一条端口映射:比如把公网8080映射到内网192.168.1.100:80。演练期间这台机器就成了活靶子,只要有人扫到这个IP+端口,连指纹都不用,直接上目录爆破或CMS漏洞利用。真不如关掉映射,用TeamViewer或临时跳板机接入。
映射前先清空默认规则
某次演练前,运维小哥只改了端口转发,却没动防火墙默认策略。结果外网请求虽然能进来,但返回包被本地iptables DROP掉了,整个服务“通一半”——蓝队测了半天以为是服务挂了,其实是出方向被拦了。建议映射前执行:
iptables -L OUTPUT -n | grep REJECT别用常见端口硬扛扫描
有团队图省事,把SSH(22)、RDP(3389)直接映射出去,还配了弱密码。演练开始不到十分钟就被撞库成功。真要远程调试,不如用非标端口+密钥登录:
ssh -p 22456 user@123.45.67.89演练结束立刻撤映射,别留尾巴
上次收尾时漏掉一台测试数据库的3306映射,三天后收到阿里云安全告警:境外IP持续连接尝试。赶紧登录路由器删掉规则,顺手查了下日志,发现已被尝试暴力破解200多次。端口映射不是贴个便签纸,它是真实打开的一扇门,演练一停,门必须马上锁死。
本地调试优先走内网隧道
现在ngrok、frp、chisel都很轻量。比起直接映射到公网,用frp内网穿透更可控:
[common]
server_addr = frp.example.com
server_port = 7000
[web]
type = tcp
local_port = 8080
remote_port = 8081