淺談企業內網VPN安全防護

董殿斌 史威 吳杰 宋華茂 夏陽 宋素齋

摘要：辦公VPN是開展遠程辦公活動的重要工具，員工在出差、休假、休班等狀態下，能夠及時訪問企業內部信息系統，滿足各類應急、公文處理及文件傳輸的需要。特別在疫情防控情況下，辦公VPN的便捷性更加凸現，但同時也存在著一些風險。本文從VPN防護的基本需求出發，以安全防御為工作重點，結合實際需求，通過踐行零信任架構體系，實現讓攻擊者看不見、進不去、摸不到，達到確保各環節的訪問控制策略持續有效的運轉，為企業VPN辦公保駕護航的目的。

關鍵字：VPN，繞行，控制，策略

前言

辦公VPN是互聯網暴露面的重要組成元素，與生產業務區的正面攻防場景不同的是VPN攻擊行為具有以下五個典型特點，一是攻擊者更隱蔽，更難以被發現;二是辦公防御措施難度通常遠高于生產正面強度;三是以非法方式，劫持合法路徑，獲得操作權限和控制權限;四是對集中式一體化平臺帶來巨大威脅（AD域、堡壘機等）;五是防守方難以關停，只能被動應戰。由于VPN被突破后可以直接進入內網區域，近年在各種實戰演活動中出現了多起擊穿案例。生產業務系統的安全防護進行單獨防護，技術基本趨于成熟，但圍繞辦VPN的有效防護仍普遍處于探索階段。

1.VPN防護的基本需求

1.1常見的VPN防護思路及特點

結合實際工作，最快最有效的防護是臨時下線關閉服務，但這種方法影響正常的經營活動，不能體現客觀實際的安全防御水平，也無法應對未來的隨機事件及長周期對抗活動;另一種防護是啟用多因素認證，作用有限，僅能解決密碼爆破猜解等常規攻擊手法，不能抵御0day等攻擊行為;最后一種防御是串接兩臺異構設備，對用戶體驗的而影響過大，不利于高頻的遠程辦公活動，而且仍然存在一定的0day連環突破可能性，總體來說常見的這三種防護思路都不能很好的滿足大型企業的業務需求，需要利用更加先進的防護思路進行安全防護，以達到辦公VPN安全平穩運行的目的。

1.2理想的VPN防護

經綜合分析，結合企業實際工作需求，以上三種VPN防護思路都存在比較明顯的短板，難以直接運用，理想的VPN防護應該是在不影響業務情況下，通過VPN平臺，用戶使用習慣基本與在內網辦公中無變化或有極小的變化，不用擔心防御能力，能夠有效切斷攻擊方的攻擊鏈，且能運行過程靈活自動，減少運維人力的大量投入，實現自我防護，最終的安全防護的目的。

2.安全防御措施設想

企業安全工作的核心是在有限資源背景下，解決各類安全需求的統籌、平衡等問題，持續優化策略方案設計，追求杠桿式的投入產出效果，要從實際出發，避免出現用A的措施解決B的問題的情況發生。

2.1攻防場景下的安全側重點

從實戰對抗角度，除了外防措仍施以外，內控措施是防護重要的一環。外防是為了防止被攻擊者利用技術手段對VPN設備直接突破，采用相應的檢測、應急、加固和緩解等工作，進行外部防護。內控是為了防止內部人員誤操作、惡意操作，防止內部人員被攻擊者利用釣魚程序進行誘騙或利用技術手段進行劫持后，取得”合法“操作控制權限，對VPN設備及內網進行操作。

2.2從攻擊者視角推導安全防御的工作重點

攻擊者實施攻擊動作，會面臨工作量和技術可行性的問題，參照攻擊鏈模型的特點，我們可以猜測攻擊者會更喜歡易發現、可接觸、能操作、有漏洞的攻擊目標。基于以上，防守方的關鍵任務是讓自己隱藏深度化、阻隔多重化、權限最小化、系統快加固等，來避免成為攻擊目標，提高自身的防御能力。

3.圍繞攻防實際，演進VPN防護

從攻擊者的角度出發，VPN的真實入侵過程，一般分為兩個步驟，首先訪問VPN、取得用戶權限或系統權限，然后將VPN作為跳板，進一步開展內網漫游。因此防守方進行VPN防護的關鍵思路就是確保攻擊者無法順利完成整個攻擊過程，加大攻擊難度，實現安全防護。

從這個思路展開，我們分析了攻擊動作的發生起點和路徑特點，找到了防御動作的關鍵切入點，形成最終的防守策略。基于現有的安全體系架構，綜合運用邊界防火墻、VPN設備、零信任架構體系等多種工具能力，最終打造一套VPN安全防護體系。

3.1踐行零信任架構體系，建立員工身份安全基準

將各個辦公應用全部接入零信任安全網關，所有通信流量都需要經過嚴格的持續認證校驗，禁止用戶對各個應用系統的直接訪問，統一用戶身份體系，允許通過零信任安全網關的數據包都唯一關聯每名合法用戶。

開通辦公VPN功能的所有員工發放Ukey，員工編號、辦公設備IP地址、手機號，開啟掃碼、AD域等強因素認證功能，所有的辦公網絡準入、辦公應用登錄都必須使用該Ukey完成認證，禁止賬號盜用等身份偽冒行為。Ukey與服務段的通信不經過VPN設備，信道保持獨立運行，避免同時失陷。

3.2加強策略管理，讓攻擊者看不見

第一步，在邊界防火墻設置網絡訪問策略，使VPN地址不對互聯網開發，攻擊者不能直接探測，達到看不到的目的，使得攻擊動作無法發起;

第二步，允許正常用戶利用Ukey平臺上提交PC登錄申請，經過策略管理系統的自動處理后，將會自動加入到邊界防火墻的臨時白名單列表，然后員工就能發起正常的VPN訪問，進行辦公等業務操作。該操作全程自動處理，不需要管理人員介入，保證使用效率。如果攻擊者要強行以該方式訪問VPN，必須了解策略運行邏輯，且需要得到員工Ukey設備。

第三步，隱藏真實的VPN地址，進一步實現看不見，消耗攻擊者精力，使攻擊者得不到有用信息，無功而返。

通過以上步驟，最終達到外部攻擊者無法偵測到VPN設備的存在，合法用戶仍可以快捷方便的通過VPN設備訪問企業內網的目的。

3.3加強設備管理，讓攻擊者進不去

對VPN設備進行適當的加固配置，版本優化，補丁升級，清理僵尸賬號、收斂通信協議、關閉不必要的冗余功能、應用多因素認證等，盡量提高突破VPN設備的技術門檻。即便攻擊者訪問到了VPN設備，也難以順利進一步突破。

3.4建立分層異構體系，讓攻擊者摸不到

第一步，在內網防火墻設置網絡訪問策略，限制從VPN設備到內網方向的網絡訪問權限，默認只能訪問零信任安全網關;

第二步，在零信任網絡設置應用訪問策略，對VPN往后的所有流量進行多方認證和權限校驗，即使攻擊者突破了VPN設備，由于不具備零信任系統中的合法身份和權限，仍無法直接訪問任何內部系統。

通過以上步驟，在網絡層、應用層建立了分層異構的隔離認證手段，圍繞VPN節點建立了外部邊界和內部邊界的訪問入口，對攻擊路徑上的各類信息資產做到了嚴格的屏蔽隱藏，確保非法流量不能通行，進一步確保了VPN設備的安全。

4.加強辦公VPN管理，助企業快速發展

辦公VPN是開展遠程辦公活動的重要工具，在帶來便捷性的同時，也存在著一些風險，為了長期維持有效的防御策略，還需建立一定的防護及監測機制，一邊對企業VPN業務各環節進行信息資產識別、跟蹤，并結合先進的應急預警手段，從攻擊視角保持VPN環境的密切關注，以便確保各環節的訪問控制策略持續有效運轉，為企業VPN辦公保駕護航。

參考文獻

[1]杜李楊，VPN專網在廣播電視覆蓋工程中的應用[J].黑龍江科學，2021年6月，12：112-113.

[2]姚鋒剛，鄭陽平.煤礦企業遠程數據安全傳輸的實踐[J].電子設計工程，2016年4月，24：87-89.