VPN虛擬專用網(wǎng)絡(luò)技術(shù)及安全問題淺析

□ 文 嵇紹國

隨著全球新冠病毒疫情肆虐，對企業(yè)處理遠(yuǎn)程工作及未來業(yè)務(wù)支撐架構(gòu)產(chǎn)生重大影響，遠(yuǎn)程辦公已成為當(dāng)前新常態(tài)。VPN（虛擬專用網(wǎng)）使用激增，進(jìn)入爆發(fā)期，新的安全風(fēng)險(xiǎn)也隨之飆升。如何正確使用VPN改善在線安全性，保護(hù)數(shù)據(jù)隱私、數(shù)據(jù)加密等，成為人們高度關(guān)注的問題。

一、技術(shù)概述

虛擬專用網(wǎng)（Virtual Private Network，簡稱VPN）依靠ISP（Internet Service Provider）和NSP（Network Service Provider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。

（一）VPN的概念

VPN，即虛擬專用網(wǎng)或虛擬私有網(wǎng)絡(luò)，是指通過公共網(wǎng)絡(luò)資源建立的私有傳輸通路，在物理上處于不同分布地點(diǎn)的網(wǎng)絡(luò)，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等進(jìn)行有效聯(lián)結(jié)，從而形成虛擬子網(wǎng)，提供安全的端點(diǎn)到端點(diǎn)的數(shù)據(jù)通信技術(shù)。一點(diǎn)要求：適用經(jīng)濟(jì)可行的技術(shù)代替?zhèn)鹘y(tǒng)的專線，該技術(shù)允許以低成本連接人員和業(yè)務(wù)部門；具有兩層含義：第一，它是“專用的”，VPN資源只能被該VPN的用戶使用，不能被網(wǎng)絡(luò)中的其他用戶使用。第二它是“虛擬的”，VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡(luò)進(jìn)行，這個(gè)公共網(wǎng)絡(luò)同時(shí)被其他非VPN用戶使用。

（二）VPN的安全機(jī)理

VPN的安全機(jī)理主要包括：1、認(rèn)證方法。在認(rèn)證技術(shù)作用下，驗(yàn)證用戶的真實(shí)身份，加強(qiáng)對訪問權(quán)限的控制，確保只有經(jīng)授權(quán)后，才能訪問VPN。2、數(shù)據(jù)加解密。對3DES及AES等加密算法具有支持作用，支持128、192、256bit等密鑰長度。對經(jīng)過公共互聯(lián)網(wǎng)傳播的數(shù)據(jù)進(jìn)行加密或者解密。3、密鑰管理。對服務(wù)器或者客戶端的加密密鑰，利用VPN技術(shù)生成并更新，具有局域分發(fā)密鑰功能。4、多協(xié)議支持。對一些在公共互聯(lián)網(wǎng)上進(jìn)行使用的協(xié)議具有支持作用，如IP、IPX等。

（三）按應(yīng)用分類的VPN技術(shù)

V P N技術(shù)首要功能是在公共網(wǎng)絡(luò)上建立自己的專用網(wǎng)絡(luò)，這項(xiàng)技術(shù)按應(yīng)用分類包括三個(gè)層面：1、遠(yuǎn)程接入VPN（AccessVPN）。即遠(yuǎn)程訪問虛擬專網(wǎng)，由客戶端到網(wǎng)關(guān)。2、內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）。即企業(yè)內(nèi)部虛擬專網(wǎng)，由網(wǎng)關(guān)到網(wǎng)關(guān)。主要依靠隧道技術(shù)實(shí)現(xiàn)。3、外聯(lián)網(wǎng)VPN（Extranet VPN）。即擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)，與合作伙伴企業(yè)網(wǎng)構(gòu)成外聯(lián)網(wǎng)絡(luò)，將一個(gè)企業(yè)與另一個(gè)企業(yè)的資源進(jìn)行連接。

（四）按協(xié)議分類的VPN技術(shù)

在現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過程中，按協(xié)議分類的VPN技術(shù)包括以下三種：1、MPLS VPN技術(shù)。MPLS是一種在開放的通信網(wǎng)上利用標(biāo)簽進(jìn)行數(shù)據(jù)高效傳輸?shù)膮f(xié)議技術(shù)。2、SSL VPN技術(shù)。SSL協(xié)議是套接層協(xié)議，是為保障基于Web通信的安全而提供的加密認(rèn)證協(xié)議，提供的是應(yīng)用程序的安全服務(wù)。3、IPSecVPN技術(shù)。IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議，是為保障IP通信而提供的一系列協(xié)議族，主要針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計(jì)的一整套隧道、加密和認(rèn)證方案。

（五）按安全分類的VPN技術(shù)

VPN虛擬專用網(wǎng)絡(luò)傳輸?shù)氖撬接行畔ⅲ瑸楸ＷC數(shù)據(jù)安全性，主要采用以下四項(xiàng)技術(shù)：1、安全隧道技術(shù)（Tunneling）。使用點(diǎn)對點(diǎn)通信協(xié)議，在連接數(shù)據(jù)地址時(shí)，主要利用路由器網(wǎng)絡(luò)來完成。2、加密解密技術(shù)（Encryption&Decryption）。將需要加密的數(shù)據(jù)通過某種轉(zhuǎn)換方式，轉(zhuǎn)換成與原本數(shù)據(jù)完全不同的數(shù)據(jù)，沒有獲得權(quán)限的人無法獲取信息的真實(shí)內(nèi)容。3、密鑰管理技術(shù)（Key Management）。分為SKIP密鑰管理和ISAKMP系統(tǒng)兩種。ISAKMP系統(tǒng)對互聯(lián)網(wǎng)中公共數(shù)據(jù)進(jìn)行分析，然后根據(jù)數(shù)據(jù)的安全性對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行保障。SKIP密鑰管理是通過對Diffic算法運(yùn)用，從而對網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)信息進(jìn)行安全保障。4、用戶和設(shè)備身份認(rèn)證技術(shù)（Authentication）。用戶身份認(rèn)證技術(shù)首先必須確認(rèn)用戶的身份，根據(jù)用戶的身份確定用戶擁有的權(quán)限；其次，根據(jù)用戶的權(quán)限設(shè)置資源訪問控制；最后，建立隧道進(jìn)行連接，如圖1所示：

圖1 VPN技術(shù)框架示意圖

二、發(fā)展態(tài)勢

VPN連接使用隧道技術(shù)，利用加密解密技術(shù)，使數(shù)據(jù)傳輸安全性進(jìn)一步增強(qiáng)，發(fā)展數(shù)量成指數(shù)增長。

（一）發(fā)展迅速

VPN的功效滿足了人們對于網(wǎng)絡(luò)安全的需求，使用率也在逐步提升。據(jù)2019VPN研究報(bào)告顯示，全年VPN移動(dòng)應(yīng)用全球下載量達(dá)4.8億，同比增長達(dá)54%。安卓以3.583億美元占據(jù)該市場75%份額，蘋果緊隨其后市場份額達(dá)1.219億美元。截止2020年3月，我國網(wǎng)民規(guī)模達(dá)9.04億，越來越多的人通過手機(jī)代替計(jì)算機(jī)上網(wǎng)，手機(jī)上網(wǎng)比例達(dá)99.3%。通過手機(jī)使用VPN安裝相應(yīng)APP應(yīng)用程序，個(gè)人計(jì)算機(jī)使用VPN則在網(wǎng)絡(luò)和共享中心中新增VPN鏈接后設(shè)置IP、密碼，導(dǎo)入相關(guān)證書即可。VPN價(jià)值大，國家也在不斷規(guī)范VPN市場發(fā)展。2019年9月，工業(yè)和信息化部發(fā)布文件規(guī)范VPN違規(guī)開展業(yè)務(wù)等情況，但同時(shí)支持外貿(mào)企業(yè)用專線方式開展跨境聯(lián)網(wǎng)?？傮w來說，國家對于VPN的政策是“規(guī)范亂象，促進(jìn)發(fā)展”的有序推進(jìn)路線。

（二）亮點(diǎn)紛呈

VPN兼?zhèn)涔镁W(wǎng)和專用網(wǎng)的許多特點(diǎn)，將公用網(wǎng)可靠的性能、擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效融合在一起，為企業(yè)和服務(wù)提供商帶來諸多益處：一是減少網(wǎng)絡(luò)建設(shè)與使用成本。由于VPN是利用公用網(wǎng)絡(luò)為基礎(chǔ)建立的虛擬專網(wǎng)，因而可以避免建設(shè)傳統(tǒng)專用網(wǎng)絡(luò)所需的高額軟硬件投資；二是簡化網(wǎng)絡(luò)維護(hù)與管理工作。由于VPN使用互聯(lián)網(wǎng)的邏輯鏈路，簡化了企業(yè)設(shè)計(jì)、維護(hù)、管理網(wǎng)絡(luò)等繁雜工作，由公用網(wǎng)絡(luò)服務(wù)提供商負(fù)責(zé)解決；三是保證網(wǎng)絡(luò)安全與數(shù)據(jù)保密性。數(shù)據(jù)加密是在網(wǎng)絡(luò)層與邏輯隧道中進(jìn)行的，避免了網(wǎng)絡(luò)數(shù)據(jù)被篡改和盜用；四是增強(qiáng)建網(wǎng)靈活性與擴(kuò)展性。由于VPN網(wǎng)絡(luò)具有可管理性、可擴(kuò)展性，使用簡單方便靈活。若想增添新的機(jī)構(gòu)或者是擴(kuò)大網(wǎng)絡(luò)的覆蓋范圍，只需要對路由器或VPN服務(wù)器進(jìn)行簡單配置即可實(shí)現(xiàn)；五是支持新技術(shù)應(yīng)用與遠(yuǎn)程業(yè)務(wù)。比如VPN網(wǎng)絡(luò)可以在廣域網(wǎng)使用局域網(wǎng)的應(yīng)用，甚至支持如IP語音、IP傳真等高級應(yīng)用，增強(qiáng)了企業(yè)遠(yuǎn)程業(yè)務(wù)體驗(yàn)；六是提供高等級網(wǎng)絡(luò)安全保障。VPN使用高級加密和身份識別協(xié)議保護(hù)數(shù)據(jù)避免受到窺探，特別是結(jié)合下一代IPv6的安全特性，使網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性更有保障。

（三）前景廣闊

2020年，VPN市場開始進(jìn)入爆發(fā)期，市場上有許多VPN提供商都提供適合不同規(guī)模企業(yè)的功能，許多安全解決方案公司已進(jìn)入VPN市場。邁克菲（McAfee）收購了TunnelBearVPN，諾頓（Norton）已為移動(dòng)用戶推出了VPN。根據(jù)《全球市場洞察》報(bào)告，到2024年VPN市場規(guī)模將達(dá)到540億美元。展望未來，VPN趨勢是“云VPN”，諸如Google、Facebook和McAfee等技術(shù)巨頭推出了基于云的VPN服務(wù)。未來幾年，隨著向云計(jì)算的遷移，云VPN也將被更多采用。

三、安全風(fēng)險(xiǎn)

VPN作為當(dāng)前廣泛普及的一項(xiàng)網(wǎng)絡(luò)技術(shù)，必須要明確其潛在的安全風(fēng)險(xiǎn)隱患。VPN的安全風(fēng)險(xiǎn)主要包括：

（一）設(shè)備缺陷

隨著信息網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)環(huán)境發(fā)生重大變化，特別是黑客惡意攻擊更為猛烈。如果使用VPN連接的設(shè)備受到威脅，就有可能會(huì)被用來危害已連接的網(wǎng)絡(luò)。比如美國國家安全局（NSA）實(shí)施的絕密電子監(jiān)聽“棱鏡計(jì)劃”，其中以思科公司為代表的科技巨頭利用其占有的市場優(yōu)勢在科技產(chǎn)品中隱藏“后門”，協(xié)助美國政府對世界各國實(shí)施大規(guī)模信息監(jiān)控，隨時(shí)獲取各國最新動(dòng)態(tài)。

（二）技術(shù)局限

VPN網(wǎng)絡(luò)技術(shù)研發(fā)時(shí)間并不長，技術(shù)層面上仍存在一定局限性，因此在實(shí)際應(yīng)用中，根本不能夠?qū)⑵鋬?yōu)越性與作用最大限度發(fā)揮出來。英聯(lián)邦科學(xué)與工業(yè)研究組織的一項(xiàng)研究發(fā)現(xiàn)，在283個(gè)VPNAndroid應(yīng)用程序中，有38%顯示被感染了某種形式的惡意軟件。82%的VPNAndroid應(yīng)用程序請求訪問敏感數(shù)據(jù)（例如用戶賬戶和文本信息）的權(quán)限；以及18%的應(yīng)用程序使用未加密的隧道技術(shù)。

（三）安全漏洞

安全漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而攻擊者能夠在未授權(quán)情況下訪問或破壞系統(tǒng)。2020年4月初，境外APT組織Darkhotel利用深信服VPN客戶端更新過程中的漏洞，用后門取代合法的更新，攻擊了大約200個(gè)VPN服務(wù)器并注入惡意軟件，進(jìn)而獲取受害主機(jī)的控制權(quán)，從中收集重要科研、政策情報(bào)，或盜取、破壞重要數(shù)據(jù)資產(chǎn)和基礎(chǔ)設(shè)施。

（四）惡意攻擊

隨著信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)攻擊力度越來越強(qiáng)，攻擊方式也越來越多，如蠕蟲病毒、炸彈病毒等。攻擊者針對VPN技術(shù)弱點(diǎn)與漏洞進(jìn)行惡意攻擊，如若攻擊成功，或直接使用員工VPN密碼遠(yuǎn)程接入網(wǎng)絡(luò)，就會(huì)將用戶的財(cái)產(chǎn)與信息置身于危險(xiǎn)境地，甚至?xí)斐刹豢赏旎氐膿p失。如2017年安全咨詢服務(wù)世界第一的德勤公司被黑客入侵，大量機(jī)密數(shù)據(jù)被竊取。在這次事故中，攻擊者直接使用員工的VPN密碼遠(yuǎn)程接入網(wǎng)絡(luò)，然后在這個(gè)加密隧道下進(jìn)行緩慢橫向滲透，傳統(tǒng)的APT檢測防御工具基本不可能發(fā)現(xiàn)其攻擊行動(dòng)。

四、對策思考

在大數(shù)據(jù)環(huán)境下，網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻，因此需要不斷地提升VPN網(wǎng)絡(luò)安全防護(hù)措施。

（一）提高防范意識，落實(shí)VPN風(fēng)險(xiǎn)評估檢測

在用戶端接入的安全層面，基于VPN工作的特殊性，檢測人員必須要對其用戶端口的接入安全高度重視。一旦有非權(quán)限用戶通過密碼破譯等方式進(jìn)入到VPN所連接的專用網(wǎng)絡(luò)當(dāng)中，將會(huì)導(dǎo)致內(nèi)網(wǎng)中的大量數(shù)據(jù)暴露，繼而造成嚴(yán)重的信息泄露問題。在數(shù)據(jù)信息傳輸?shù)陌踩珜用?，市面上絕大部分的VPN都配備有數(shù)據(jù)加密功能，以保障用戶數(shù)據(jù)在通信傳輸過程中的安全穩(wěn)定。但由于應(yīng)用加密方式的技術(shù)等級和加密效率各不相同，應(yīng)用DES、3DES、AES等不同加密算法的VPN會(huì)呈現(xiàn)出參差不齊的安全性能，故相關(guān)檢測人員應(yīng)將數(shù)據(jù)傳輸品質(zhì)納入到評估標(biāo)準(zhǔn)當(dāng)中。在專用網(wǎng)絡(luò)資源訪問的安全層面，當(dāng)前大多數(shù)的VPN產(chǎn)品只對用戶端初始接入權(quán)限進(jìn)行評估處理，而缺乏對用戶網(wǎng)絡(luò)資源訪問當(dāng)中的二次限制。這就使得供應(yīng)商、合作方等非企業(yè)人員通過VPN進(jìn)入企業(yè)內(nèi)網(wǎng)時(shí)，享受到與企業(yè)內(nèi)部人員相同資源服務(wù)，繼而為企業(yè)信息資源流出造成一定風(fēng)險(xiǎn)。據(jù)此，在實(shí)際檢測管理工作中，相關(guān)人員應(yīng)將VPN的權(quán)限分配納入到安全性評估標(biāo)準(zhǔn)檢測當(dāng)中。VPN提供商也需要時(shí)刻保持警惕，在出現(xiàn)問題時(shí)能夠及時(shí)修復(fù)漏洞，最大限度地保障用戶隱私安全。

（二）做好技術(shù)防護(hù)，解決VPN網(wǎng)絡(luò)的漏洞隱患

圖3 VPN終止點(diǎn)正確與錯(cuò)誤設(shè)置對比示意圖

防火墻技術(shù)在通信網(wǎng)絡(luò)中應(yīng)用已久，安裝防火墻的通信網(wǎng)無形中就會(huì)存在一層安全屏障，它一般是通過設(shè)置允許和阻止這兩個(gè)標(biāo)準(zhǔn)的過濾路由器，同時(shí)還肩負(fù)著檢查網(wǎng)絡(luò)數(shù)據(jù)信息的責(zé)任。只要符合安全條件的信息就能夠通過，一旦發(fā)現(xiàn)存在危害信息就會(huì)阻止。安裝、升級防火墻，解決VPN網(wǎng)絡(luò)技術(shù)中漏洞，可以最大限度避免網(wǎng)絡(luò)安全事故發(fā)生。漏洞掃描技術(shù)是在互聯(lián)網(wǎng)技術(shù)發(fā)展前提下應(yīng)運(yùn)而生，此種技術(shù)借助掃描方式強(qiáng)化對電子信息系統(tǒng)整體性防護(hù)，在發(fā)現(xiàn)VPN安全性隱患或者技術(shù)漏洞狀況下對其修補(bǔ)，立即安裝供應(yīng)商發(fā)布的服丁程序，撤消并創(chuàng)建新的VPN服務(wù)器密鑰和證書，從而達(dá)到防患于未然效果。入侵檢測技術(shù)是在防火墻之后再建一道安全壁壘。一旦通信系統(tǒng)內(nèi)部出現(xiàn)異常狀況時(shí)，它會(huì)第一時(shí)間轉(zhuǎn)變?yōu)橐环N禁忌防護(hù)狀況，強(qiáng)化對網(wǎng)絡(luò)安全問題的高度處置，確保VPN網(wǎng)絡(luò)使用安全性，減少數(shù)據(jù)泄露狀況發(fā)生。值得注意的是，由于攻擊者有可能無需借助惡意軟件和隱蔽通信渠道，僅通過濫用VPN連接訪問網(wǎng)絡(luò)實(shí)施惡意攻擊行為。因此，應(yīng)將所有VPN流量視為不受信任的潛在惡意軟件，并應(yīng)與任何外部通信進(jìn)行同樣審查，在防火墻設(shè)置時(shí)將VPN終止點(diǎn)位于DMZ中，以便在進(jìn)入和離開網(wǎng)絡(luò)之前，能對未加密的VPN流量進(jìn)行適當(dāng)檢查和審核。圖2顯示了DMZ中正確VPN連接終止的簡化示例。

圖3顯示了DMZ中不正確的VPN連接終止的簡化示例。

（三）改善設(shè)備狀況，滿足IPv4向IPv6過渡需求

目前，I Pv4雖占據(jù)主導(dǎo)位置，而IPv6網(wǎng)絡(luò)仍處孤島狀態(tài)，但結(jié)合信息時(shí)代發(fā)展趨勢看，IPv4向IPv6過渡已經(jīng)勢在必行?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)運(yùn)營商正在加速部署IPv6協(xié)議去替代地址空間枯竭的IPv4協(xié)議，但許多VPN只保護(hù)IPv4流量，因此在IPv6網(wǎng)絡(luò)下現(xiàn)有VPN會(huì)變得不安全。VPN要想通過IPv4網(wǎng)絡(luò)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)間通信，就必須對相應(yīng)設(shè)備進(jìn)行改善，如在IPv6通信網(wǎng)絡(luò)前增加相對應(yīng)的網(wǎng)關(guān)設(shè)備，主要作用就是翻譯相應(yīng)的網(wǎng)絡(luò)協(xié)議。4月26日，工信部、國家新聞出版廣電總局發(fā)布通知，到2020年三季度末全面完成網(wǎng)絡(luò)基礎(chǔ)設(shè)施IPV6改造。隨著通信技術(shù)的不斷革新，設(shè)備也應(yīng)該不斷地升級，才能最快滿足IPv4向IPv6過渡需求。

圖2 VPN終止點(diǎn)正確與錯(cuò)誤設(shè)置對比示意圖

五、結(jié)語

VPN作為一種新型化和高效化的網(wǎng)絡(luò)技術(shù)，研發(fā)和運(yùn)用為企業(yè)網(wǎng)絡(luò)安全建設(shè)做出較大貢獻(xiàn)，極大地降低網(wǎng)絡(luò)運(yùn)營方面成本問題，促進(jìn)資源利用率大幅提升，具有廣闊的發(fā)展前景。為此，我們需持續(xù)加強(qiáng)對VPN技術(shù)的創(chuàng)新和改進(jìn)，加大對其它網(wǎng)絡(luò)技術(shù)運(yùn)用力度，從而增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性，為信息傳輸提供有力技術(shù)支撐和安全保障?！?/p>