文/邓国强 韩颖铮
华南理工大学:利用VPN保障校园网安全运维
文/邓国强 韩颖铮
典型的校园网不仅包含了路由器、交换机、防火墙、流量控制、负载均衡等网络基础设备,各种服务器和虚拟化平台,还有大量的IT应用系统如邮件系统、OA系统、一卡通系统等。随着信息化的发展,校园网网络规模迅速扩大、应用系统激增,运维工作量和复杂程度越来越大,如何对网络设备和应用系统进行安全管理显得越来越重要。在校园网系统运维和安全管理方面,通常存在如下的问题:
账号管理
一些系统管理员账号唯一,导致多人共用一个账号;一些系统后台管理仅采用明文传输协议,账号密码容易被窃取;一些系统没有密码安全要求,经常被设置为默认密码或者弱密码。网络设备和应用系统的账号管理无序状态给校园网运维带来了潜在风险。
依靠单纯IP的安全策略
通常校园网系统在安全策略和审计方面只靠IP地址,难以将IP地址和操作人员的身份准确关联,采用公共管理员账号的系统显得尤为突出。
访问权限的控制
由于校园网多种网络设备和应用系统的存在,人工的权限分配和管理手段,无法监管和阻止部分运维人员,利用内部运维环境,对无权限的系统进行登录尝试和访问。
本文针对以上问题,提出了一种适用于校园网络环境的、具有账号管理、权限控制和日志审计的安全运维方案。
虚拟专用网络VPN(Virtual Private Network)通过在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种应用场合,本文所指VPN属于远程接入VPN,即从客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量。VPN具有透明操作,易于使用的特点,同时可以采用通用服务器和成熟开源软件搭建,适合在校园网中使用。本文提出了一种基于VPN的安全运维方案,其核心步骤如下所述:
1.定义一个园区网内的专用运维网段,网段的可用IP与运维人员规模相匹配;
2.搭建VPN网关,将运维网段设为VPN网关的地址分配池;
3.在VPN网关上为运维人员分配账号,并对账号可访问的目标地址和端口进行权限控制;
4.对所有的安全敏感的网络设备和应用,仅允许运维网段的访问。VPN网关作为唯一中间跳板,运维人员仅能先登录VPN网关,才能再登录网络设备或服务器;
5.搭建通用日志服务器,统一收集网络设备、服务器和VPN网关的相关日志,完成基本的审计功能。
图1为基于VPN的校园网安全运维方案的一个示意图。如图1所示,所有运维人员必须通过VPN网关才能访问网络设备和应用系统。下面将具体阐述本文方案的关键步骤。
运维网段
定义一段校园网内使用的私有网段为运维网段,在登录安全敏感的网络设备和服务器上,配置为当且仅当运维网段被允许登录设备的管理端口。具体操作如下:
1.路由器、交换机
图1 基于VPN的校园网安全运维方案示意
对于常见的路由器、交换机、防火墙、流量控制等通用网络设备,可以通过配置ACL将设备的管理登录范围限制在运维网络。下面为CISCO交换机的一个配置示例:
ip access-list standard Management permit 192.168.0.0 0.0.0.255
deny any
!
line vty 0 4
access-class Management in
login local
其中运维网段为192.168.0.0/24,其余通用网络设备类似。
2.Windows、Linux操作系统
对于Windows、Linux等常见操作系统的服务器,采用操作系统内置的应用将登录范围限制在运维网段,如Windows系统的防火墙入站出站规则,Linux系统的IPTABLES。下面为Linux IPTABLES的一个配置示例:
[root@email ~]# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
3.其他应用系统
校园网中包含各类不同的应用系统,如电子邮箱、OA、统一认证服务器等,这些应用系统的后台管理系统一般不直接支持限制IP登录,但通常这些系统集在的校园网内部数据中心,而数据中心网络入口一般配置防火墙。通过定义防火墙的过滤规则,将安全敏感的应用系统的后台登录权限限制在运维网段。以一个后台管理地址为192.168.10.1,访问协议和端口为TCP 12345的应用系统为例,在某防火墙上的配置示例如下:
application tcp12345 {
protocol tcp;
destination-port 12345;
}
policy 100 {
match {
source-address 192.168.0.0/24;
destination-address 192.168.10.1/32; application tcp12345;
}
then {
permit;
}}
policy 101 {
match {
source-address any;
destination-address 192.168.10.1/32; application tcp12345;
}
then {
deny;
}}
VPN网关搭建
利用开源VPN软件搭建VPN网关,使得运维人员必须先登录VPN网关,才能登录网络设备或应用系统。具体的搭建步骤包括如下:
1.VPN网口
将VPN网关的数据出入口分为外网口和内网口。外网口为运维人员登录入口,无论校园网内部还是外部,均只能通过VPN的外网口登录VPN。内网口为VPN与校园网对接的网口,将运维网段配置在内网口。
2.认证和授权
为进一步加强运维账号安全,对VPN用户的密码强度进行了强制要求。同时,系统设定密码超过一定期限必须强制用户修改;超过一定期限无登录记录的用户自动设置为停用状态。
为保护运维网段的安全,在VPN网关上对用户账号的访问权限进行限制。将用户账号的访问范围限制在该用户有权限管理的目标设备或应用的IP地址内。通过在VPN网关实施上述认证和授权的安全策略,使得合法的运维人员安全地登录VPN网关同时拥有受限的访问权限。
3.双机冗余
采用VPN网关作为中间跳板进行安全运维后,VPN网关的稳定性将变得至关重要。为减少因VPN自身故障和网络故障对运维平台造成的影响,设计双VPN网关冗余方案,具体包括:搭建两个VPN网关,为两个网关配置不重叠的外网口地址和内网运维网段;两个VPN网关进行账号和配置自同步;将两个VPN网关内外网口部署在校园网不同设备上,以降低单点故障带来的影响。双VPN 网关系统建立后,运维人员可从任一网关的外网口登录。
日志与审计
常见的网络设备、服务器和VPN网关均支持发出通用的SYSLOG日志,通过搭建统一的SYSLOG日志系统,收集网络设备、服务器和VPN网关相关的日志,进行简单关联后即可以审计相应的运维操作日志。下面为SYSLOG日志服务器收集到的一网络设备上的日志片段:
Feb 27 08∶27∶25 192.168.21.13 Firewall15 420c0402 Event@ MGMT∶ Admin user "admin" logined through https, and the IP is 192.168.0.10.
Feb 27 08∶28∶28 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ip_$in_-1838461147"-〉class∶ "Default_Idle"-〉disable, unset, disable Feb 27 08∶28∶28 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ ip_$ou_-1838461147"-〉class∶ "Default_Idle"-〉disable, unset, disable
Feb 27 08∶28∶29 192.168.21.13 Firewall15 42142604 Configuration@MGMT∶ "admin"@webui, profile∶ "pro_ip_$in_-1838461147"-〉class∶ "Default_Congestion"-〉disable, unset, disable
该设备基于某种原因,采用了公共账号Admin管理设备,因此该日志片段只有操作记录,而无法确定操作人员。可以根据登录时间(Feb 27 08:27)和登录IP(192.168.0.10),在SYSLOG日志服务器上查找到相应的VPN访问日志如下:
Feb 27 08∶27∶10 User JerryWang login successfully, session ID is 590000b2a891ebeb
Feb 27 08∶27∶10 [login][success]JerryWang from IP 202.101.230.198
Feb 27 08∶27∶24 [access resource]JerryWang from IP 192.168.0.10∶ access 192.168.21.13∶443 success
将两段日志关联后,可以确定运维人员JerryWang于Feb 27 08:27在源IP地址202.101.230.198终端上,登录VPN网关并获取到运维段IP 192.168.0.10,访问了地址为192.168.21.13的校园网网络设备,访问端口为443。
本文针对校园网IT系统运维管理中遇到的安全问题,提出了一种基于VPN的校园网安全运维方案,并在实际环境进行了部署和检验。实践结果表明,本文提出的方案实现了校园网运维中账号统一管理,可进行访问权限控制,具备基本运维日志和审计功能,是一种行之有效的方案。
(作者单位为华南理工大学)