VPN(virtual private network )即虚拟私有网络,是通过公有网络(多为Internet)采取加密隧道的方法将私有网络进行扩展。用户在可以通过VPN在远程接入到校园网等私有网络中,访问内网中的信息系统或相关科学情报及数据库资源,从而提高工作效率。目前,VPN技术大量应用在高校的网络中,特别是后疫情时代大量的人员居家办公,VPN的利用率会越来越高。
目前,针对于个人用户,高校一般采取SSLVPN的方式,利用SSLVPN客户端的方式通过SSL隧道对校内系统或相关图书资源进行访问,但是这种访问方式会带来一定安全问题。
首先,由于用户VPN可以从远程进行访问,采取客户端的方式进行连接,这样事实上接入了校园网。因此攻击者在对系统进行攻击的时候,往往将VPN作为入口点。以web为入口的攻击渗透内网为例:攻击者往往需要寻找突破点、上传webshell、提权、维持权限、代理、穿透内网等步骤。如果以VPN为入口点的话,只需要获取一个弱密码连接客户端就能进入内网(校园网),攻击难度及攻击的时间将大大减少。
其次,VPN的客户端的的权限过高,如果没有设置访问控制策略的话,可以访问内网所有的IP。
最后,由于VPN采用了加密隧道的方式,流量类的安全设备如IPS、WAF等无法进行检测。
目前,高校为了方便用户,采用了VPN与统一身份认证(CAS)进行对接。高校的统一身份认证承载了全校的所有的师生账号与密码,而目前的统一身份认证系统在对于账户密码的管理存在一定的问题:如账号为学号或者工号,默认密码往往为身份证后六位,有的用户在更改密码的时候也是弱密码,还有用户采用伪强密码如:1q2w3e4r,1qaz2wsx、P@ssw0rd123!@#等。弱密码问题无法根本杜绝。另外一方面由于统一身份认证与学校所有系统对接,这样一个弱密码会攻击者登陆所有的系统。更严重的是,如果这样账号的权限过高,攻击者不需要太多精力就会获取所有的系统的数据,造成全校信息的泄漏。
由于学校师生人员数量很大。除弱密码问题外,密码泄漏时有发生。一方面,个别师生将密码外借他人使用;另一方面,攻击者通过钓鱼、社工等方法轻易获取师生密码。此外,部分师生甚至是教育行业软件开发厂商将代码公布在公有代码仓库如:Github等,往往会泄漏敏感的用户密码。而这些用户密码与VPN对接,会很轻易进入校园网内。
目前,多数学校的信息系统实际上是由软件开发厂商进行运维,相关厂商通过VPN可以直接对系统进行管理,厂商的权限过高一般都是root或者管理员权限。部分厂商运维人员缺乏网络安全意识,将VPN等密码存储在公司邮箱、网盘或公司的代码服务器上,若厂商系统或运维人员被攻击,会造成应用系统甚至校园网数据中心内网的沦陷。
2019到2021年PluseSecure VPN多次爆出严重的漏洞,如:CVE-2021-22893、CVE-2019-11510及 CVE-2019-11542等多个高危漏洞。从历次攻防演练中爆出某些厂商的VPN系统存在远程可执行漏洞,个别单位没有及时对设备进行更新,会造成通过VPN设备进行攻击。另外一方面,部分的厂商的设备日志不全,对于攻击IP很难进行阻断和溯源。
个别单位认为VPN是重要的服务,将VPN设备部署在数据中心内部,从而绕过了防火墙、IPS和WAF等安全产品的防护,攻击者获取权限后可以直接对内部重要的服务器发起攻击,如通过弱密码、永恒之蓝进行内网C段扫描,造成整个数据中心系统的“沦陷”。另外,VPN在部署的时候没有做访问地址限制,校内用户通过VPN访问校内系统,会造成部分用户通过VPN进行抢课、攻击等,并且由于部分设备日志不全造成难以溯源。
在实际部署中一定要将VPN设备部署在数据中心外部,同时在VPN设备进向和出向部署IPS等设备。一方面,通过IPS等设备保护了对VPN的攻击,增加攻击者的攻击难度;另一方面,当攻击者获取VPN权限在进行C段扫描时相关设备会立即告警,从而大大提高攻击时防护反应时间。同时,由于VPN部署在数据中心外侧,数据中心的防火墙、IPS及WAF等设备可以防护从VPN发起的对重要服务器的攻击,防止“一点击破全网尽失”的情况的发生。
将VPN设备的管理界面和用户界面进行分离,采取ACL控制,VPN设备的管理界面只能通过堡垒机进行访问。同时,限制不必要端口如设备的redis等被非授权IP访问。同时加强威胁情报,监控VPN设备的漏洞,与厂家密切联系及时对设备进行升级及加固。
加强VPN用户的的管控、设置必要的分组,不同分组不同权限,细化管控策略。如:设置教工、学生分组,控制其访问范围。加强对特权人员的管理,设置策略对于设备、信息系统的运维人员进行严格管理。从策略上限制此类人员登陆VPN后只能访问堡垒机IP,同时堡垒机开启双因素认证登陆,禁止在堡垒机中存储相关密码或登陆凭据。最后,对VPN的访问进行限制,杜绝校内用户通过VPN代理访问互联网络及校内资源。
针对VPN获取权限后的横向渗透攻击,在VPN相关网段随机部署蜜罐等攻击诱捕系统并加强安全管理和监控,做到攻击者在攻击之获取权限后进行C端扫描的时候立刻进行反制溯源,同时可以对攻击者进行画像。有条件的要在VPN设备中设置陷阱账户,从而保证了反制溯源的及时准确。
由于教育行业系统基本为B/S架构,应采用WebVPN等方式,广大师生等普通用户应采用此类方式对校园网内系统进行访问,从而降低密码泄漏后攻击者通过SSLVPN客户端进行横向或纵深攻击的风险,如:采用如MS17-010等系统漏洞横向扫描。WebVPN应采用短信、微信扫码等方式进行双因子认证。
要求VPN厂商构建完备的日志体系,VPN系统记录日志最少应包括账号、登陆IP、获取IP、访问IP、访问协议、访问URL及并发等信息。VPN系统要与安全产品采用统一NTP Server,保证各种设备日志时间的一致性。VPN系统要采用Syslog、Rsync、Kafaka等与第三方日志或态势平台进行对接,经过综合日志分析可以在第一时间内进行进行分析研判及有效溯源。
对全校师生、运维人员、软件厂商等进行网络安全意识教育,提高其网络安全意识,防止病毒感染、木马远控植入、撞库、钓鱼、社工等行为的发生。有条件的单位可以开展钓鱼等演练工作。同时要建立互联网泄漏信息爬取系统,在github等代码仓库、网盘及相关文库等获取泄漏的敏感信息,并对有关用户账户进行锁定,防止攻击者利用相关账号通过登陆VPN对校园网进行攻击。
https://mp.weixin.qq.com/s/b5tlM8UNn_NkW4onJEdBQA