文/鄧國強 韓穎錚

華南理工大學(xué)：利用VPN保障校園網(wǎng)安全運維

文/鄧國強 韓穎錚

校園網(wǎng)安全運維問題

典型的校園網(wǎng)不僅包含了路由器、交換機、防火墻、流量控制、負載均衡等網(wǎng)絡(luò)基礎(chǔ)設(shè)備，各種服務(wù)器和虛擬化平臺，還有大量的IT應(yīng)用系統(tǒng)如郵件系統(tǒng)、OA系統(tǒng)、一卡通系統(tǒng)等。隨著信息化的發(fā)展，校園網(wǎng)網(wǎng)絡(luò)規(guī)模迅速擴大、應(yīng)用系統(tǒng)激增，運維工作量和復(fù)雜程度越來越大，如何對網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)進行安全管理顯得越來越重要。在校園網(wǎng)系統(tǒng)運維和安全管理方面，通常存在如下的問題：

賬號管理

一些系統(tǒng)管理員賬號唯一，導(dǎo)致多人共用一個賬號；一些系統(tǒng)后臺管理僅采用明文傳輸協(xié)議，賬號密碼容易被竊?。灰恍┫到y(tǒng)沒有密碼安全要求，經(jīng)常被設(shè)置為默認密碼或者弱密碼。網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的賬號管理無序狀態(tài)給校園網(wǎng)運維帶來了潛在風(fēng)險。

依靠單純IP的安全策略

通常校園網(wǎng)系統(tǒng)在安全策略和審計方面只靠IP地址，難以將IP地址和操作人員的身份準確關(guān)聯(lián)，采用公共管理員賬號的系統(tǒng)顯得尤為突出。

訪問權(quán)限的控制

由于校園網(wǎng)多種網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的存在，人工的權(quán)限分配和管理手段，無法監(jiān)管和阻止部分運維人員，利用內(nèi)部運維環(huán)境，對無權(quán)限的系統(tǒng)進行登錄嘗試和訪問。

本文針對以上問題，提出了一種適用于校園網(wǎng)絡(luò)環(huán)境的、具有賬號管理、權(quán)限控制和日志審計的安全運維方案。

基于VPN的安全運維方案

虛擬專用網(wǎng)絡(luò)VPN（Virtual Private Network）通過在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問。VPN有多種應(yīng)用場合，本文所指VPN屬于遠程接入VPN，即從客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量。VPN具有透明操作，易于使用的特點，同時可以采用通用服務(wù)器和成熟開源軟件搭建，適合在校園網(wǎng)中使用。本文提出了一種基于VPN的安全運維方案，其核心步驟如下所述：

1.定義一個園區(qū)網(wǎng)內(nèi)的專用運維網(wǎng)段，網(wǎng)段的可用IP與運維人員規(guī)模相匹配；

2.搭建VPN網(wǎng)關(guān)，將運維網(wǎng)段設(shè)為VPN網(wǎng)關(guān)的地址分配池；

3.在VPN網(wǎng)關(guān)上為運維人員分配賬號，并對賬號可訪問的目標地址和端口進行權(quán)限控制；

4.對所有的安全敏感的網(wǎng)絡(luò)設(shè)備和應(yīng)用，僅允許運維網(wǎng)段的訪問。VPN網(wǎng)關(guān)作為唯一中間跳板，運維人員僅能先登錄VPN網(wǎng)關(guān)，才能再登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器；

5.搭建通用日志服務(wù)器，統(tǒng)一收集網(wǎng)絡(luò)設(shè)備、服務(wù)器和VPN網(wǎng)關(guān)的相關(guān)日志，完成基本的審計功能。

圖1為基于VPN的校園網(wǎng)安全運維方案的一個示意圖。如圖1所示，所有運維人員必須通過VPN網(wǎng)關(guān)才能訪問網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)。下面將具體闡述本文方案的關(guān)鍵步驟。

運維網(wǎng)段

定義一段校園網(wǎng)內(nèi)使用的私有網(wǎng)段為運維網(wǎng)段，在登錄安全敏感的網(wǎng)絡(luò)設(shè)備和服務(wù)器上，配置為當且僅當運維網(wǎng)段被允許登錄設(shè)備的管理端口。具體操作如下：

1.路由器、交換機

圖1 基于VPN的校園網(wǎng)安全運維方案示意

對于常見的路由器、交換機、防火墻、流量控制等通用網(wǎng)絡(luò)設(shè)備，可以通過配置ACL將設(shè)備的管理登錄范圍限制在運維網(wǎng)絡(luò)。下面為CISCO交換機的一個配置示例：

ip access-list standard Management permit 192.168.0.0 0.0.0.255

deny any

！

line vty 0 4

access-class Management in

login local

其中運維網(wǎng)段為192.168.0.0/24，其余通用網(wǎng)絡(luò)設(shè)備類似。

2.Windows、Linux操作系統(tǒng)

對于Windows、Linux等常見操作系統(tǒng)的服務(wù)器，采用操作系統(tǒng)內(nèi)置的應(yīng)用將登錄范圍限制在運維網(wǎng)段，如Windows系統(tǒng)的防火墻入站出站規(guī)則，Linux系統(tǒng)的IPTABLES。下面為Linux IPTABLES的一個配置示例：

[root@email ～]# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

3.其他應(yīng)用系統(tǒng)

校園網(wǎng)中包含各類不同的應(yīng)用系統(tǒng)，如電子郵箱、OA、統(tǒng)一認證服務(wù)器等，這些應(yīng)用系統(tǒng)的后臺管理系統(tǒng)一般不直接支持限制IP登錄，但通常這些系統(tǒng)集在的校園網(wǎng)內(nèi)部數(shù)據(jù)中心，而數(shù)據(jù)中心網(wǎng)絡(luò)入口一般配置防火墻。通過定義防火墻的過濾規(guī)則，將安全敏感的應(yīng)用系統(tǒng)的后臺登錄權(quán)限限制在運維網(wǎng)段。以一個后臺管理地址為192.168.10.1，訪問協(xié)議和端口為TCP 12345的應(yīng)用系統(tǒng)為例，在某防火墻上的配置示例如下：

application tcp12345 {

protocol tcp;

destination-port 12345;

}

policy 100 {

match {

source-address 192.168.0.0/24;

destination-address 192.168.10.1/32; application tcp12345;

}

then {

permit;

}}

policy 101 {

match {

source-address any;

destination-address 192.168.10.1/32; application tcp12345;

}

then {

deny;

}}

VPN網(wǎng)關(guān)搭建

利用開源VPN軟件搭建VPN網(wǎng)關(guān)，使得運維人員必須先登錄VPN網(wǎng)關(guān)，才能登錄網(wǎng)絡(luò)設(shè)備或應(yīng)用系統(tǒng)。具體的搭建步驟包括如下：

1.VPN網(wǎng)口

將VPN網(wǎng)關(guān)的數(shù)據(jù)出入口分為外網(wǎng)口和內(nèi)網(wǎng)口。外網(wǎng)口為運維人員登錄入口，無論校園網(wǎng)內(nèi)部還是外部，均只能通過VPN的外網(wǎng)口登錄VPN。內(nèi)網(wǎng)口為VPN與校園網(wǎng)對接的網(wǎng)口，將運維網(wǎng)段配置在內(nèi)網(wǎng)口。

2.認證和授權(quán)

為進一步加強運維賬號安全，對VPN用戶的密碼強度進行了強制要求。同時，系統(tǒng)設(shè)定密碼超過一定期限必須強制用戶修改；超過一定期限無登錄記錄的用戶自動設(shè)置為停用狀態(tài)。

為保護運維網(wǎng)段的安全，在VPN網(wǎng)關(guān)上對用戶賬號的訪問權(quán)限進行限制。將用戶賬號的訪問范圍限制在該用戶有權(quán)限管理的目標設(shè)備或應(yīng)用的IP地址內(nèi)。通過在VPN網(wǎng)關(guān)實施上述認證和授權(quán)的安全策略，使得合法的運維人員安全地登錄VPN網(wǎng)關(guān)同時擁有受限的訪問權(quán)限。

3.雙機冗余

采用VPN網(wǎng)關(guān)作為中間跳板進行安全運維后，VPN網(wǎng)關(guān)的穩(wěn)定性將變得至關(guān)重要。為減少因VPN自身故障和網(wǎng)絡(luò)故障對運維平臺造成的影響，設(shè)計雙VPN網(wǎng)關(guān)冗余方案，具體包括：搭建兩個VPN網(wǎng)關(guān)，為兩個網(wǎng)關(guān)配置不重疊的外網(wǎng)口地址和內(nèi)網(wǎng)運維網(wǎng)段；兩個VPN網(wǎng)關(guān)進行賬號和配置自同步；將兩個VPN網(wǎng)關(guān)內(nèi)外網(wǎng)口部署在校園網(wǎng)不同設(shè)備上，以降低單點故障帶來的影響。雙VPN 網(wǎng)關(guān)系統(tǒng)建立后，運維人員可從任一網(wǎng)關(guān)的外網(wǎng)口登錄。

日志與審計

常見的網(wǎng)絡(luò)設(shè)備、服務(wù)器和VPN網(wǎng)關(guān)均支持發(fā)出通用的SYSLOG日志，通過搭建統(tǒng)一的SYSLOG日志系統(tǒng)，收集網(wǎng)絡(luò)設(shè)備、服務(wù)器和VPN網(wǎng)關(guān)相關(guān)的日志，進行簡單關(guān)聯(lián)后即可以審計相應(yīng)的運維操作日志。下面為SYSLOG日志服務(wù)器收集到的一網(wǎng)絡(luò)設(shè)備上的日志片段：

Feb 27 08∶27∶25 192.168.21.13 Firewall15 420c0402 Event@ MGMT∶ Admin user "admin" logined through https, and the IP is 192.168.0.10.

Feb 27 08∶28∶28 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ip_$in_-1838461147"-〉class∶ "Default_Idle"-〉disable, unset, disable Feb 27 08∶28∶28 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ ip_$ou_-1838461147"-〉class∶ "Default_Idle"-〉disable, unset, disable

Feb 27 08∶28∶29 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ip_$in_-1838461147"-〉class∶ "Default_Congestion"-〉disable, unset, disable

該設(shè)備基于某種原因，采用了公共賬號Admin管理設(shè)備，因此該日志片段只有操作記錄，而無法確定操作人員。可以根據(jù)登錄時間（Feb 27 08:27）和登錄IP（192.168.0.10），在SYSLOG日志服務(wù)器上查找到相應(yīng)的VPN訪問日志如下：

Feb 27 08∶27∶10 User JerryWang login successfully, session ID is 590000b2a891ebeb

Feb 27 08∶27∶10 [login][success]JerryWang from IP 202.101.230.198

Feb 27 08∶27∶24 [access resource]JerryWang from IP 192.168.0.10∶ access 192.168.21.13∶443 success

將兩段日志關(guān)聯(lián)后，可以確定運維人員JerryWang于Feb 27 08:27在源IP地址202.101.230.198終端上，登錄VPN網(wǎng)關(guān)并獲取到運維段IP 192.168.0.10，訪問了地址為192.168.21.13的校園網(wǎng)網(wǎng)絡(luò)設(shè)備，訪問端口為443。

本文針對校園網(wǎng)IT系統(tǒng)運維管理中遇到的安全問題，提出了一種基于VPN的校園網(wǎng)安全運維方案，并在實際環(huán)境進行了部署和檢驗。實踐結(jié)果表明，本文提出的方案實現(xiàn)了校園網(wǎng)運維中賬號統(tǒng)一管理，可進行訪問權(quán)限控制，具備基本運維日志和審計功能，是一種行之有效的方案。

（作者單位為華南理工大學(xué)）