淺談企業(yè)內(nèi)網(wǎng)VPN安全防護(hù)

董殿斌 史威 吳杰 宋華茂 夏陽(yáng) 宋素齋

摘要：辦公VPN是開(kāi)展遠(yuǎn)程辦公活動(dòng)的重要工具，員工在出差、休假、休班等狀態(tài)下，能夠及時(shí)訪問(wèn)企業(yè)內(nèi)部信息系統(tǒng)，滿足各類應(yīng)急、公文處理及文件傳輸?shù)男枰?。特別在疫情防控情況下，辦公VPN的便捷性更加凸現(xiàn)，但同時(shí)也存在著一些風(fēng)險(xiǎn)。本文從VPN防護(hù)的基本需求出發(fā)，以安全防御為工作重點(diǎn)，結(jié)合實(shí)際需求，通過(guò)踐行零信任架構(gòu)體系，實(shí)現(xiàn)讓攻擊者看不見(jiàn)、進(jìn)不去、摸不到，達(dá)到確保各環(huán)節(jié)的訪問(wèn)控制策略持續(xù)有效的運(yùn)轉(zhuǎn)，為企業(yè)VPN辦公保駕護(hù)航的目的。

關(guān)鍵字：VPN，繞行，控制，策略

前言

辦公VPN是互聯(lián)網(wǎng)暴露面的重要組成元素，與生產(chǎn)業(yè)務(wù)區(qū)的正面攻防場(chǎng)景不同的是VPN攻擊行為具有以下五個(gè)典型特點(diǎn)，一是攻擊者更隱蔽，更難以被發(fā)現(xiàn);二是辦公防御措施難度通常遠(yuǎn)高于生產(chǎn)正面強(qiáng)度;三是以非法方式，劫持合法路徑，獲得操作權(quán)限和控制權(quán)限;四是對(duì)集中式一體化平臺(tái)帶來(lái)巨大威脅（AD域、堡壘機(jī)等）;五是防守方難以關(guān)停，只能被動(dòng)應(yīng)戰(zhàn)。由于VPN被突破后可以直接進(jìn)入內(nèi)網(wǎng)區(qū)域，近年在各種實(shí)戰(zhàn)演活動(dòng)中出現(xiàn)了多起擊穿案例。生產(chǎn)業(yè)務(wù)系統(tǒng)的安全防護(hù)進(jìn)行單獨(dú)防護(hù)，技術(shù)基本趨于成熟，但圍繞辦VPN的有效防護(hù)仍普遍處于探索階段。

1.VPN防護(hù)的基本需求

1.1常見(jiàn)的VPN防護(hù)思路及特點(diǎn)

結(jié)合實(shí)際工作，最快最有效的防護(hù)是臨時(shí)下線關(guān)閉服務(wù)，但這種方法影響正常的經(jīng)營(yíng)活動(dòng)，不能體現(xiàn)客觀實(shí)際的安全防御水平，也無(wú)法應(yīng)對(duì)未來(lái)的隨機(jī)事件及長(zhǎng)周期對(duì)抗活動(dòng);另一種防護(hù)是啟用多因素認(rèn)證，作用有限，僅能解決密碼爆破猜解等常規(guī)攻擊手法，不能抵御0day等攻擊行為;最后一種防御是串接兩臺(tái)異構(gòu)設(shè)備，對(duì)用戶體驗(yàn)的而影響過(guò)大，不利于高頻的遠(yuǎn)程辦公活動(dòng)，而且仍然存在一定的0day連環(huán)突破可能性，總體來(lái)說(shuō)常見(jiàn)的這三種防護(hù)思路都不能很好的滿足大型企業(yè)的業(yè)務(wù)需求，需要利用更加先進(jìn)的防護(hù)思路進(jìn)行安全防護(hù)，以達(dá)到辦公VPN安全平穩(wěn)運(yùn)行的目的。

1.2理想的VPN防護(hù)

經(jīng)綜合分析，結(jié)合企業(yè)實(shí)際工作需求，以上三種VPN防護(hù)思路都存在比較明顯的短板，難以直接運(yùn)用，理想的VPN防護(hù)應(yīng)該是在不影響業(yè)務(wù)情況下，通過(guò)VPN平臺(tái)，用戶使用習(xí)慣基本與在內(nèi)網(wǎng)辦公中無(wú)變化或有極小的變化，不用擔(dān)心防御能力，能夠有效切斷攻擊方的攻擊鏈，且能運(yùn)行過(guò)程靈活自動(dòng)，減少運(yùn)維人力的大量投入，實(shí)現(xiàn)自我防護(hù)，最終的安全防護(hù)的目的。

2.安全防御措施設(shè)想

企業(yè)安全工作的核心是在有限資源背景下，解決各類安全需求的統(tǒng)籌、平衡等問(wèn)題，持續(xù)優(yōu)化策略方案設(shè)計(jì)，追求杠桿式的投入產(chǎn)出效果，要從實(shí)際出發(fā)，避免出現(xiàn)用A的措施解決B的問(wèn)題的情況發(fā)生。

2.1攻防場(chǎng)景下的安全側(cè)重點(diǎn)

從實(shí)戰(zhàn)對(duì)抗角度，除了外防措仍施以外，內(nèi)控措施是防護(hù)重要的一環(huán)。外防是為了防止被攻擊者利用技術(shù)手段對(duì)VPN設(shè)備直接突破，采用相應(yīng)的檢測(cè)、應(yīng)急、加固和緩解等工作，進(jìn)行外部防護(hù)。內(nèi)控是為了防止內(nèi)部人員誤操作、惡意操作，防止內(nèi)部人員被攻擊者利用釣魚(yú)程序進(jìn)行誘騙或利用技術(shù)手段進(jìn)行劫持后，取得”合法“操作控制權(quán)限，對(duì)VPN設(shè)備及內(nèi)網(wǎng)進(jìn)行操作。

2.2從攻擊者視角推導(dǎo)安全防御的工作重點(diǎn)

攻擊者實(shí)施攻擊動(dòng)作，會(huì)面臨工作量和技術(shù)可行性的問(wèn)題，參照攻擊鏈模型的特點(diǎn)，我們可以猜測(cè)攻擊者會(huì)更喜歡易發(fā)現(xiàn)、可接觸、能操作、有漏洞的攻擊目標(biāo)?；谝陨?，防守方的關(guān)鍵任務(wù)是讓自己隱藏深度化、阻隔多重化、權(quán)限最小化、系統(tǒng)快加固等，來(lái)避免成為攻擊目標(biāo)，提高自身的防御能力。

3.圍繞攻防實(shí)際，演進(jìn)VPN防護(hù)

從攻擊者的角度出發(fā)，VPN的真實(shí)入侵過(guò)程，一般分為兩個(gè)步驟，首先訪問(wèn)VPN、取得用戶權(quán)限或系統(tǒng)權(quán)限，然后將VPN作為跳板，進(jìn)一步開(kāi)展內(nèi)網(wǎng)漫游。因此防守方進(jìn)行VPN防護(hù)的關(guān)鍵思路就是確保攻擊者無(wú)法順利完成整個(gè)攻擊過(guò)程，加大攻擊難度，實(shí)現(xiàn)安全防護(hù)。

從這個(gè)思路展開(kāi)，我們分析了攻擊動(dòng)作的發(fā)生起點(diǎn)和路徑特點(diǎn)，找到了防御動(dòng)作的關(guān)鍵切入點(diǎn)，形成最終的防守策略?；诂F(xiàn)有的安全體系架構(gòu)，綜合運(yùn)用邊界防火墻、VPN設(shè)備、零信任架構(gòu)體系等多種工具能力，最終打造一套VPN安全防護(hù)體系。

3.1踐行零信任架構(gòu)體系，建立員工身份安全基準(zhǔn)

將各個(gè)辦公應(yīng)用全部接入零信任安全網(wǎng)關(guān)，所有通信流量都需要經(jīng)過(guò)嚴(yán)格的持續(xù)認(rèn)證校驗(yàn)，禁止用戶對(duì)各個(gè)應(yīng)用系統(tǒng)的直接訪問(wèn)，統(tǒng)一用戶身份體系，允許通過(guò)零信任安全網(wǎng)關(guān)的數(shù)據(jù)包都唯一關(guān)聯(lián)每名合法用戶。

開(kāi)通辦公VPN功能的所有員工發(fā)放Ukey，員工編號(hào)、辦公設(shè)備IP地址、手機(jī)號(hào)，開(kāi)啟掃碼、AD域等強(qiáng)因素認(rèn)證功能，所有的辦公網(wǎng)絡(luò)準(zhǔn)入、辦公應(yīng)用登錄都必須使用該Ukey完成認(rèn)證，禁止賬號(hào)盜用等身份偽冒行為。Ukey與服務(wù)段的通信不經(jīng)過(guò)VPN設(shè)備，信道保持獨(dú)立運(yùn)行，避免同時(shí)失陷。

3.2加強(qiáng)策略管理，讓攻擊者看不見(jiàn)

第一步，在邊界防火墻設(shè)置網(wǎng)絡(luò)訪問(wèn)策略，使VPN地址不對(duì)互聯(lián)網(wǎng)開(kāi)發(fā)，攻擊者不能直接探測(cè)，達(dá)到看不到的目的，使得攻擊動(dòng)作無(wú)法發(fā)起;

第二步，允許正常用戶利用Ukey平臺(tái)上提交PC登錄申請(qǐng)，經(jīng)過(guò)策略管理系統(tǒng)的自動(dòng)處理后，將會(huì)自動(dòng)加入到邊界防火墻的臨時(shí)白名單列表，然后員工就能發(fā)起正常的VPN訪問(wèn)，進(jìn)行辦公等業(yè)務(wù)操作。該操作全程自動(dòng)處理，不需要管理人員介入，保證使用效率。如果攻擊者要強(qiáng)行以該方式訪問(wèn)VPN，必須了解策略運(yùn)行邏輯，且需要得到員工Ukey設(shè)備。

第三步，隱藏真實(shí)的VPN地址，進(jìn)一步實(shí)現(xiàn)看不見(jiàn)，消耗攻擊者精力，使攻擊者得不到有用信息，無(wú)功而返。

通過(guò)以上步驟，最終達(dá)到外部攻擊者無(wú)法偵測(cè)到VPN設(shè)備的存在，合法用戶仍可以快捷方便的通過(guò)VPN設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)的目的。

3.3加強(qiáng)設(shè)備管理，讓攻擊者進(jìn)不去

對(duì)VPN設(shè)備進(jìn)行適當(dāng)?shù)募庸膛渲?，版本?yōu)化，補(bǔ)丁升級(jí)，清理僵尸賬號(hào)、收斂通信協(xié)議、關(guān)閉不必要的冗余功能、應(yīng)用多因素認(rèn)證等，盡量提高突破VPN設(shè)備的技術(shù)門(mén)檻。即便攻擊者訪問(wèn)到了VPN設(shè)備，也難以順利進(jìn)一步突破。

3.4建立分層異構(gòu)體系，讓攻擊者摸不到

第一步，在內(nèi)網(wǎng)防火墻設(shè)置網(wǎng)絡(luò)訪問(wèn)策略，限制從VPN設(shè)備到內(nèi)網(wǎng)方向的網(wǎng)絡(luò)訪問(wèn)權(quán)限，默認(rèn)只能訪問(wèn)零信任安全網(wǎng)關(guān);

第二步，在零信任網(wǎng)絡(luò)設(shè)置應(yīng)用訪問(wèn)策略，對(duì)VPN往后的所有流量進(jìn)行多方認(rèn)證和權(quán)限校驗(yàn)，即使攻擊者突破了VPN設(shè)備，由于不具備零信任系統(tǒng)中的合法身份和權(quán)限，仍無(wú)法直接訪問(wèn)任何內(nèi)部系統(tǒng)。

通過(guò)以上步驟，在網(wǎng)絡(luò)層、應(yīng)用層建立了分層異構(gòu)的隔離認(rèn)證手段，圍繞VPN節(jié)點(diǎn)建立了外部邊界和內(nèi)部邊界的訪問(wèn)入口，對(duì)攻擊路徑上的各類信息資產(chǎn)做到了嚴(yán)格的屏蔽隱藏，確保非法流量不能通行，進(jìn)一步確保了VPN設(shè)備的安全。

4.加強(qiáng)辦公VPN管理，助企業(yè)快速發(fā)展

辦公VPN是開(kāi)展遠(yuǎn)程辦公活動(dòng)的重要工具，在帶來(lái)便捷性的同時(shí)，也存在著一些風(fēng)險(xiǎn)，為了長(zhǎng)期維持有效的防御策略，還需建立一定的防護(hù)及監(jiān)測(cè)機(jī)制，一邊對(duì)企業(yè)VPN業(yè)務(wù)各環(huán)節(jié)進(jìn)行信息資產(chǎn)識(shí)別、跟蹤，并結(jié)合先進(jìn)的應(yīng)急預(yù)警手段，從攻擊視角保持VPN環(huán)境的密切關(guān)注，以便確保各環(huán)節(jié)的訪問(wèn)控制策略持續(xù)有效運(yùn)轉(zhuǎn)，為企業(yè)VPN辦公保駕護(hù)航。

參考文獻(xiàn)

[1]杜李楊，VPN專網(wǎng)在廣播電視覆蓋工程中的應(yīng)用[J].黑龍江科學(xué)，2021年6月，12：112-113.

[2]姚鋒剛，鄭陽(yáng)平.煤礦企業(yè)遠(yuǎn)程數(shù)據(jù)安全傳輸?shù)膶?shí)踐[J].電子設(shè)計(jì)工程，2016年4月，24：87-89.