浅谈企业内网VPN安全防护
2021-12-06董殿斌史威吴杰宋华茂夏阳宋素斋
董殿斌 史威 吴杰 宋华茂 夏阳 宋素斋
摘要:办公VPN是开展远程办公活动的重要工具,员工在出差、休假、休班等状态下,能够及时访问企业内部信息系统,满足各类应急、公文处理及文件传输的需要。特别在疫情防控情况下,办公VPN的便捷性更加凸现,但同时也存在着一些风险。本文从VPN防护的基本需求出发,以安全防御为工作重点,结合实际需求,通过践行零信任架构体系,实现让攻击者看不见、进不去、摸不到,达到确保各环节的访问控制策略持续有效的运转,为企业VPN办公保驾护航的目的。
关键字:VPN,绕行,控制,策略
前言
办公VPN是互联网暴露面的重要组成元素,与生产业务区的正面攻防场景不同的是VPN攻击行为具有以下五个典型特点,一是攻击者更隐蔽,更难以被发现;二是办公防御措施难度通常远高于生产正面强度;三是以非法方式,劫持合法路径,获得操作权限和控制权限;四是对集中式一体化平台带来巨大威胁(AD域、堡垒机等);五是防守方难以关停,只能被动应战。由于VPN被突破后可以直接进入内网区域,近年在各种实战演活动中出现了多起击穿案例。生产业务系统的安全防护进行单独防护,技术基本趋于成熟,但围绕办VPN的有效防护仍普遍处于探索阶段。
1.VPN防护的基本需求
1.1常见的VPN防护思路及特点
结合实际工作,最快最有效的防护是临时下线关闭服务,但这种方法影响正常的经营活动,不能体现客观实际的安全防御水平,也无法应对未来的随机事件及长周期对抗活动;另一种防护是启用多因素认证,作用有限,仅能解决密码爆破猜解等常规攻击手法,不能抵御0day等攻击行为;最后一种防御是串接两台异构设备,对用户体验的而影响过大,不利于高频的远程办公活动,而且仍然存在一定的0day连环突破可能性,总体来说常见的这三种防护思路都不能很好的满足大型企业的业务需求,需要利用更加先进的防护思路进行安全防护,以达到办公VPN安全平稳运行的目的。
1.2理想的VPN防护
经综合分析,结合企业实际工作需求,以上三种VPN防护思路都存在比较明显的短板,难以直接运用,理想的VPN防护应该是在不影响业务情况下,通过VPN平台,用户使用习惯基本与在内网办公中无变化或有极小的变化,不用担心防御能力,能够有效切断攻击方的攻击链,且能运行过程灵活自动,减少运维人力的大量投入,实现自我防护,最终的安全防护的目的。
2.安全防御措施设想
企业安全工作的核心是在有限资源背景下,解决各类安全需求的统筹、平衡等问题,持续优化策略方案设计,追求杠杆式的投入产出效果,要从实际出发,避免出现用A的措施解决B的问题的情况发生。
2.1攻防场景下的安全侧重点
从实战对抗角度,除了外防措仍施以外,内控措施是防护重要的一环。外防是为了防止被攻击者利用技术手段对VPN设备直接突破,采用相应的检测、应急、加固和缓解等工作,进行外部防护。内控是为了防止内部人员误操作、恶意操作,防止内部人员被攻击者利用钓鱼程序进行诱骗或利用技术手段进行劫持后,取得”合法“操作控制权限,对VPN设备及内网进行操作。
2.2从攻击者视角推导安全防御的工作重点
攻击者实施攻击动作,会面临工作量和技术可行性的问题,参照攻击链模型的特点,我们可以猜测攻击者会更喜欢易发现、可接触、能操作、有漏洞的攻击目标。基于以上,防守方的关键任务是让自己隐藏深度化、阻隔多重化、权限最小化、系统快加固等,来避免成为攻击目标,提高自身的防御能力。
3.围绕攻防实际,演进VPN防护
从攻击者的角度出发,VPN的真实入侵过程,一般分为两个步骤,首先访问VPN、取得用户权限或系统权限,然后将VPN作为跳板,进一步开展内网漫游。因此防守方进行VPN防护的关键思路就是确保攻击者无法顺利完成整个攻击过程,加大攻击难度,实现安全防护。
从这个思路展开,我们分析了攻击动作的发生起点和路径特点,找到了防御动作的关键切入点,形成最终的防守策略。基于现有的安全体系架构,综合运用边界防火墙、VPN设备、零信任架构体系等多种工具能力,最终打造一套VPN安全防护体系。
3.1践行零信任架构体系,建立员工身份安全基准
将各个办公应用全部接入零信任安全网关,所有通信流量都需要经过严格的持续认证校验,禁止用户对各个应用系统的直接访问,统一用户身份体系,允许通过零信任安全网关的数据包都唯一关联每名合法用户。
开通办公VPN功能的所有员工发放Ukey,员工编号、办公设备IP地址、手机号,开启扫码、AD域等强因素认证功能,所有的办公网络准入、办公应用登录都必须使用该Ukey完成认证,禁止账号盗用等身份伪冒行为。Ukey与服务段的通信不经过VPN设备,信道保持独立运行,避免同時失陷。
3.2加强策略管理,让攻击者看不见
第一步,在边界防火墙设置网络访问策略,使VPN地址不对互联网开发,攻击者不能直接探测,达到看不到的目的,使得攻击动作无法发起;
第二步,允许正常用户利用Ukey平台上提交PC登录申请,经过策略管理系统的自动处理后,将会自动加入到边界防火墙的临时白名单列表,然后员工就能发起正常的VPN访问,进行办公等业务操作。该操作全程自动处理,不需要管理人员介入,保证使用效率。如果攻击者要强行以该方式访问VPN,必须了解策略运行逻辑,且需要得到员工Ukey设备。
第三步,隐藏真实的VPN地址,进一步实现看不见,消耗攻击者精力,使攻击者得不到有用信息,无功而返。
通过以上步骤,最终达到外部攻击者无法侦测到VPN设备的存在,合法用户仍可以快捷方便的通过VPN设备访问企业内网的目的。
3.3加强设备管理,让攻击者进不去
对VPN设备进行适当的加固配置,版本优化,补丁升级,清理僵尸账号、收敛通信协议、关闭不必要的冗余功能、应用多因素认证等,尽量提高突破VPN设备的技术门槛。即便攻击者访问到了VPN设备,也难以顺利进一步突破。
3.4建立分层异构体系,让攻击者摸不到
第一步,在内网防火墙设置网络访问策略,限制从VPN设备到内网方向的网络访问权限,默认只能访问零信任安全网关;
第二步,在零信任网络设置应用访问策略,对VPN往后的所有流量进行多方认证和权限校验,即使攻击者突破了VPN设备,由于不具备零信任系统中的合法身份和权限,仍无法直接访问任何内部系统。
通过以上步骤,在网络层、应用层建立了分层异构的隔离认证手段,围绕VPN节点建立了外部边界和内部边界的访问入口,对攻击路径上的各类信息资产做到了严格的屏蔽隐藏,确保非法流量不能通行,进一步确保了VPN设备的安全。
4.加强办公VPN管理,助企业快速发展
办公VPN是开展远程办公活动的重要工具,在带来便捷性的同时,也存在着一些风险,为了长期维持有效的防御策略,还需建立一定的防护及监测机制,一边对企业VPN业务各环节进行信息资产识别、跟踪,并结合先进的应急预警手段,从攻击视角保持VPN环境的密切关注,以便确保各环节的访问控制策略持续有效运转,为企业VPN办公保驾护航。
参考文献
[1]杜李杨,VPN专网在广播电视覆盖工程中的应用[J].黑龙江科学,2021年6月,12:112-113.
[2]姚锋刚,郑阳平.煤矿企业远程数据安全传输的实践[J].电子设计工程,2016年4月,24:87-89.