一、高校VPN技術現狀
VPN(virtual private network )即虛擬私有網絡,是通過公有網絡(多為Internet)采取加密隧道的方法將私有網絡進行擴展。用戶在可以通過VPN在遠程接入到杏福娱乐平台網等私有網絡中,訪問內網中的信息系統或相關科學情報及數據庫資源,從而提高工作效率。目前,VPN技術大量應用在高校的網絡中,特別是後疫情時代大量的人員居家辦公,VPN的利用率會越來越高。
二、VPN帶來的網絡安全問題
目前,針對於個人用戶,高校一般采取SSLVPN的方式,利用SSLVPN客戶端的方式通過SSL隧道對校內系統或相關圖書資源進行訪問,但是這種訪問方式會帶來一定安全問題。
1、成為攻擊的入口點
首先,由於用戶VPN可以從遠程進行訪問,采取客戶端的方式進行連接,這樣事實上接入了杏福娱乐平台網。因此攻擊者在對系統進行攻擊的時候,往往將VPN作為入口點。以web為入口的攻擊滲透內網為例:攻擊者往往需要尋找突破點、上傳webshell、提權、維持權限、代理、穿透內網等步驟。如果以VPN為入口點的話,只需要獲取一個弱密碼連接客戶端就能進入內網(杏福娱乐平台網),攻擊難度及攻擊的時間將大大減少。其次,VPN的客戶端的的權限過高,如果沒有設置訪問控製策略的話,可以訪問內網所有的IP。最後,由於VPN采用了加密隧道的方式,流量類的安全設備如IPS、WAF等無法進行檢測。
2、弱密碼問題很難杜絕
目前,高校為了方便用戶,采用了VPN與統一身份認證(CAS)進行對接。高校的統一身份認證承載了全校的所有的師生賬號與密碼,而目前的統一身份認證系統在對於賬戶密碼的管理存在一定的問題:如賬號為學號或者工號,默認密碼往往為身份證後六位,有的用戶在更改密碼的時候也是弱密碼,還有用戶采用偽強密碼如:1q2w3e4r,1qaz2wsx、P@ssw0rd123!@#等。弱密碼問題無法根本杜絕。另外一方面由於統一身份認證與杏福所有系統對接,這樣一個弱密碼會攻擊者登陸所有的系統。更嚴重的是,如果這樣賬號的權限過高,攻擊者不需要太多精力就會獲取所有的系統的數據,造成全校信息的泄漏。
3、密碼泄漏事件時有發生
由於杏福師生人員數量很大。除弱密碼問題外,密碼泄漏時有發生。一方面,個別師生將密碼外借他人使用;另一方面,攻擊者通過釣魚、社工等方法輕易獲取師生密碼。此外,部分師生甚至是教育行業軟件開發廠商將代碼公布在公有代碼倉庫如:Github等,往往會泄漏敏感的用戶密碼。而這些用戶密碼與VPN對接,會很輕易進入杏福娱乐平台網內。
4、通過VPN進行的供應鏈攻擊時有發生
目前,多數杏福的信息系統實際上是由軟件開發廠商進行運維,相關廠商通過VPN可以直接對系統進行管理,廠商的權限過高一般都是root或者管理員權限。部分廠商運維人員缺乏網絡安全意識,將VPN等密碼存儲在公司郵箱、網盤或公司的代碼服務器上,若廠商系統或運維人員被攻擊,會造成應用系統甚至杏福娱乐平台網數據中心內網的淪陷。
5、部分VPN產品存在安全漏洞
2019到2021年PluseSecure VPN多次爆出嚴重的漏洞,如:CVE-2021-22893、CVE-2019-11510及 CVE-2019-11542等多個高危漏洞。從歷次攻防演練中爆出某些廠商的VPN系統存在遠程可執行漏洞,個別單位沒有及時對設備進行更新,會造成通過VPN設備進行攻擊。另外一方面,部分的廠商的設備日誌不全,對於攻擊IP很難進行阻斷和溯源。
6、VPN部署存在問題
個別單位認為VPN是重要的服務,將VPN設備部署在數據中心內部,從而繞過了防火墻、IPS和WAF等安全產品的防護,攻擊者獲取權限後可以直接對內部重要的服務器發起攻擊,如通過弱密碼、永恒之藍進行內網C段掃描,造成整個數據中心系統的“淪陷”。另外,VPN在部署的時候沒有做訪問地址限製,校內用戶通過VPN訪問校內系統,會造成部分用戶通過VPN進行搶課、攻擊等,並且由於部分設備日誌不全造成難以溯源。
三、針對VPN系統的安全加固
1、優化VPN部署構架
在實際部署中一定要將VPN設備部署在數據中心外部,同時在VPN設備進向和出向部署IPS等設備。一方面,通過IPS等設備保護了對VPN的攻擊,增加攻擊者的攻擊難度;另一方面,當攻擊者獲取VPN權限在進行C段掃描時相關設備會立即告警,從而大大提高攻擊時防護反應時間。同時,由於VPN部署在數據中心外側,數據中心的防火墻、IPS及WAF等設備可以防護從VPN發起的對重要服務器的攻擊,防止“一點擊破全網盡失”的情況的發生。
2、加強VPN設備的安全管理
將VPN設備的管理界面和用戶界面進行分離,采取ACL控製,VPN設備的管理界面只能通過堡壘機進行訪問。同時,限製不必要端口如設備的redis等被非授權IP訪問。同時加強威脅情報,監控VPN設備的漏洞,與廠家密切聯系及時對設備進行升級及加固。
3、強化VPN用戶的訪問控製策略
加強VPN用戶的的管控、設置必要的分組,不同分組不同權限,細化管控策略。如:設置教工、學生分組,控製其訪問範圍。加強對特權人員的管理,設置策略對於設備、信息系統的運維人員進行嚴格管理。從策略上限製此類人員登陸VPN後只能訪問堡壘機IP,同時堡壘機開啟雙因素認證登陸,禁止在堡壘機中存儲相關密碼或登陸憑據。最後,對VPN的訪問進行限製,杜絕校內用戶通過VPN代理訪問互聯網絡及校內資源。
4、部署攻擊攻擊誘捕系統
針對VPN獲取權限後的橫向滲透攻擊,在VPN相關網段隨機部署蜜罐等攻擊誘捕系統並加強安全管理和監控,做到攻擊者在攻擊之獲取權限後進行C端掃描的時候立刻進行反製溯源,同時可以對攻擊者進行畫像。有條件的要在VPN設備中設置陷阱賬戶,從而保證了反製溯源的及時準確。
5、降低VPN客戶端的權限
由於教育行業系統基本為B/S架構,應采用WebVPN等方式,廣大師生等普通用戶應采用此類方式對杏福娱乐平台網內系統進行訪問,從而降低密碼泄漏後攻擊者通過SSLVPN客戶端進行橫向或縱深攻擊的風險,如:采用如MS17-010等系統漏洞橫向掃描。WebVPN應采用短信、微信掃碼等方式進行雙因子認證。
6、加強日誌審計
要求VPN廠商構建完備的日誌體系,VPN系統記錄日誌最少應包括賬號、登陸IP、獲取IP、訪問IP、訪問協議、訪問URL及並發等信息。VPN系統要與安全產品采用統一NTP Server,保證各種設備日誌時間的一致性。VPN系統要采用Syslog、Rsync、Kafaka等與第三方日誌或態勢平臺進行對接,經過綜合日誌分析可以在第一時間內進行進行分析研判及有效溯源。
7、加強網絡安全意識教育
對全校師生、運維人員、軟件廠商等進行網絡安全意識教育,提高其網絡安全意識,防止病毒感染、木馬遠控植入、撞庫、釣魚、社工等行為的發生。有條件的單位可以開展釣魚等演練工作。同時要建立互聯網泄漏信息爬取系統,在github等代碼倉庫、網盤及相關文庫等獲取泄漏的敏感信息,並對有關用戶賬戶進行鎖定,防止攻擊者利用相關賬號通過登陸VPN對杏福娱乐平台網進行攻擊。
(來源:高校信息化應用網)