董殿斌 史威 吳杰 宋華茂 夏陽 宋素齋

摘要：辦公VPN是開展遠(yuǎn)程辦公活動的重要工具，員工在出差、休假、休班等狀態(tài)下，能夠及時訪問企業(yè)內(nèi)部信息系統(tǒng)，滿足各類應(yīng)急、公文處理及文件傳輸?shù)男枰?。特別在疫情防控情況下，辦公VPN的便捷性更加凸現(xiàn)，但同時也存在著一些風(fēng)險。本文從VPN防護的基本需求出發(fā)，以安全防御為工作重點，結(jié)合實際需求，通過踐行零信任架構(gòu)體系，實現(xiàn)讓攻擊者看不見、進不去、摸不到，達(dá)到確保各環(huán)節(jié)的訪問控制策略持續(xù)有效的運轉(zhuǎn)，為企業(yè)VPN辦公保駕護航的目的。

關(guān)鍵字：VPN，繞行，控制，策略

前言

辦公VPN是互聯(lián)網(wǎng)暴露面的重要組成元素，與生產(chǎn)業(yè)務(wù)區(qū)的正面攻防場景不同的是VPN攻擊行為具有以下五個典型特點，一是攻擊者更隱蔽，更難以被發(fā)現(xiàn);二是辦公防御措施難度通常遠(yuǎn)高于生產(chǎn)正面強度;三是以非法方式，劫持合法路徑，獲得操作權(quán)限和控制權(quán)限;四是對集中式一體化平臺帶來巨大威脅（AD域、堡壘機等）;五是防守方難以關(guān)停，只能被動應(yīng)戰(zhàn)。由于VPN被突破后可以直接進入內(nèi)網(wǎng)區(qū)域，近年在各種實戰(zhàn)演活動中出現(xiàn)了多起擊穿案例。生產(chǎn)業(yè)務(wù)系統(tǒng)的安全防護進行單獨防護，技術(shù)基本趨于成熟，但圍繞辦VPN的有效防護仍普遍處于探索階段。

1.VPN防護的基本需求

1.1常見的VPN防護思路及特點

結(jié)合實際工作，最快最有效的防護是臨時下線關(guān)閉服務(wù)，但這種方法影響正常的經(jīng)營活動，不能體現(xiàn)客觀實際的安全防御水平，也無法應(yīng)對未來的隨機事件及長周期對抗活動;另一種防護是啟用多因素認(rèn)證，作用有限，僅能解決密碼爆破猜解等常規(guī)攻擊手法，不能抵御0day等攻擊行為;最后一種防御是串接兩臺異構(gòu)設(shè)備，對用戶體驗的而影響過大，不利于高頻的遠(yuǎn)程辦公活動，而且仍然存在一定的0day連環(huán)突破可能性，總體來說常見的這三種防護思路都不能很好的滿足大型企業(yè)的業(yè)務(wù)需求，需要利用更加先進的防護思路進行安全防護，以達(dá)到辦公VPN安全平穩(wěn)運行的目的。

1.2理想的VPN防護

經(jīng)綜合分析，結(jié)合企業(yè)實際工作需求，以上三種VPN防護思路都存在比較明顯的短板，難以直接運用，理想的VPN防護應(yīng)該是在不影響業(yè)務(wù)情況下，通過VPN平臺，用戶使用習(xí)慣基本與在內(nèi)網(wǎng)辦公中無變化或有極小的變化，不用擔(dān)心防御能力，能夠有效切斷攻擊方的攻擊鏈，且能運行過程靈活自動，減少運維人力的大量投入，實現(xiàn)自我防護，最終的安全防護的目的。

2.安全防御措施設(shè)想

企業(yè)安全工作的核心是在有限資源背景下，解決各類安全需求的統(tǒng)籌、平衡等問題，持續(xù)優(yōu)化策略方案設(shè)計，追求杠桿式的投入產(chǎn)出效果，要從實際出發(fā)，避免出現(xiàn)用A的措施解決B的問題的情況發(fā)生。

2.1攻防場景下的安全側(cè)重點

從實戰(zhàn)對抗角度，除了外防措仍施以外，內(nèi)控措施是防護重要的一環(huán)。外防是為了防止被攻擊者利用技術(shù)手段對VPN設(shè)備直接突破，采用相應(yīng)的檢測、應(yīng)急、加固和緩解等工作，進行外部防護。內(nèi)控是為了防止內(nèi)部人員誤操作、惡意操作，防止內(nèi)部人員被攻擊者利用釣魚程序進行誘騙或利用技術(shù)手段進行劫持后，取得”合法“操作控制權(quán)限，對VPN設(shè)備及內(nèi)網(wǎng)進行操作。

2.2從攻擊者視角推導(dǎo)安全防御的工作重點

攻擊者實施攻擊動作，會面臨工作量和技術(shù)可行性的問題，參照攻擊鏈模型的特點，我們可以猜測攻擊者會更喜歡易發(fā)現(xiàn)、可接觸、能操作、有漏洞的攻擊目標(biāo)。基于以上，防守方的關(guān)鍵任務(wù)是讓自己隱藏深度化、阻隔多重化、權(quán)限最小化、系統(tǒng)快加固等，來避免成為攻擊目標(biāo)，提高自身的防御能力。

3.圍繞攻防實際，演進VPN防護

從攻擊者的角度出發(fā)，VPN的真實入侵過程，一般分為兩個步驟，首先訪問VPN、取得用戶權(quán)限或系統(tǒng)權(quán)限，然后將VPN作為跳板，進一步開展內(nèi)網(wǎng)漫游。因此防守方進行VPN防護的關(guān)鍵思路就是確保攻擊者無法順利完成整個攻擊過程，加大攻擊難度，實現(xiàn)安全防護。

從這個思路展開，我們分析了攻擊動作的發(fā)生起點和路徑特點，找到了防御動作的關(guān)鍵切入點，形成最終的防守策略?；诂F(xiàn)有的安全體系架構(gòu)，綜合運用邊界防火墻、VPN設(shè)備、零信任架構(gòu)體系等多種工具能力，最終打造一套VPN安全防護體系。

3.1踐行零信任架構(gòu)體系，建立員工身份安全基準(zhǔn)

將各個辦公應(yīng)用全部接入零信任安全網(wǎng)關(guān)，所有通信流量都需要經(jīng)過嚴(yán)格的持續(xù)認(rèn)證校驗，禁止用戶對各個應(yīng)用系統(tǒng)的直接訪問，統(tǒng)一用戶身份體系，允許通過零信任安全網(wǎng)關(guān)的數(shù)據(jù)包都唯一關(guān)聯(lián)每名合法用戶。

開通辦公VPN功能的所有員工發(fā)放Ukey，員工編號、辦公設(shè)備IP地址、手機號，開啟掃碼、AD域等強因素認(rèn)證功能，所有的辦公網(wǎng)絡(luò)準(zhǔn)入、辦公應(yīng)用登錄都必須使用該Ukey完成認(rèn)證，禁止賬號盜用等身份偽冒行為。Ukey與服務(wù)段的通信不經(jīng)過VPN設(shè)備，信道保持獨立運行，避免同時失陷。

3.2加強策略管理，讓攻擊者看不見

第一步，在邊界防火墻設(shè)置網(wǎng)絡(luò)訪問策略，使VPN地址不對互聯(lián)網(wǎng)開發(fā)，攻擊者不能直接探測，達(dá)到看不到的目的，使得攻擊動作無法發(fā)起;

第二步，允許正常用戶利用Ukey平臺上提交PC登錄申請，經(jīng)過策略管理系統(tǒng)的自動處理后，將會自動加入到邊界防火墻的臨時白名單列表，然后員工就能發(fā)起正常的VPN訪問，進行辦公等業(yè)務(wù)操作。該操作全程自動處理，不需要管理人員介入，保證使用效率。如果攻擊者要強行以該方式訪問VPN，必須了解策略運行邏輯，且需要得到員工Ukey設(shè)備。

第三步，隱藏真實的VPN地址，進一步實現(xiàn)看不見，消耗攻擊者精力，使攻擊者得不到有用信息，無功而返。

通過以上步驟，最終達(dá)到外部攻擊者無法偵測到VPN設(shè)備的存在，合法用戶仍可以快捷方便的通過VPN設(shè)備訪問企業(yè)內(nèi)網(wǎng)的目的。

3.3加強設(shè)備管理，讓攻擊者進不去

對VPN設(shè)備進行適當(dāng)?shù)募庸膛渲?，版本?yōu)化，補丁升級，清理僵尸賬號、收斂通信協(xié)議、關(guān)閉不必要的冗余功能、應(yīng)用多因素認(rèn)證等，盡量提高突破VPN設(shè)備的技術(shù)門檻。即便攻擊者訪問到了VPN設(shè)備，也難以順利進一步突破。

3.4建立分層異構(gòu)體系，讓攻擊者摸不到

第一步，在內(nèi)網(wǎng)防火墻設(shè)置網(wǎng)絡(luò)訪問策略，限制從VPN設(shè)備到內(nèi)網(wǎng)方向的網(wǎng)絡(luò)訪問權(quán)限，默認(rèn)只能訪問零信任安全網(wǎng)關(guān);

第二步，在零信任網(wǎng)絡(luò)設(shè)置應(yīng)用訪問策略，對VPN往后的所有流量進行多方認(rèn)證和權(quán)限校驗，即使攻擊者突破了VPN設(shè)備，由于不具備零信任系統(tǒng)中的合法身份和權(quán)限，仍無法直接訪問任何內(nèi)部系統(tǒng)。

通過以上步驟，在網(wǎng)絡(luò)層、應(yīng)用層建立了分層異構(gòu)的隔離認(rèn)證手段，圍繞VPN節(jié)點建立了外部邊界和內(nèi)部邊界的訪問入口，對攻擊路徑上的各類信息資產(chǎn)做到了嚴(yán)格的屏蔽隱藏，確保非法流量不能通行，進一步確保了VPN設(shè)備的安全。

4.加強辦公VPN管理，助企業(yè)快速發(fā)展

辦公VPN是開展遠(yuǎn)程辦公活動的重要工具，在帶來便捷性的同時，也存在著一些風(fēng)險，為了長期維持有效的防御策略，還需建立一定的防護及監(jiān)測機制，一邊對企業(yè)VPN業(yè)務(wù)各環(huán)節(jié)進行信息資產(chǎn)識別、跟蹤，并結(jié)合先進的應(yīng)急預(yù)警手段，從攻擊視角保持VPN環(huán)境的密切關(guān)注，以便確保各環(huán)節(jié)的訪問控制策略持續(xù)有效運轉(zhuǎn)，為企業(yè)VPN辦公保駕護航。

參考文獻

[1]杜李楊，VPN專網(wǎng)在廣播電視覆蓋工程中的應(yīng)用[J].黑龍江科學(xué)，2021年6月，12：112-113.

[2]姚鋒剛，鄭陽平.煤礦企業(yè)遠(yuǎn)程數(shù)據(jù)安全傳輸?shù)膶嵺`[J].電子設(shè)計工程，2016年4月，24：87-89.