□ 文 嵇绍国
随着全球新冠病毒疫情肆虐,对企业处理远程工作及未来业务支撑架构产生重大影响,远程办公已成为当前新常态。VPN(虚拟专用网)使用激增,进入爆发期,新的安全风险也随之飙升。如何正确使用VPN改善在线安全性,保护数据隐私、数据加密等,成为人们高度关注的问题。
虚拟专用网(Virtual Private Network,简称VPN)依靠ISP(Internet Service Provider)和NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。
VPN,即虚拟专用网或虚拟私有网络,是指通过公共网络资源建立的私有传输通路,在物理上处于不同分布地点的网络,将远程的分支机构、商业伙伴、移动办公人员等进行有效联结,从而形成虚拟子网,提供安全的端点到端点的数据通信技术。一点要求:适用经济可行的技术代替传统的专线,该技术允许以低成本连接人员和业务部门;具有两层含义:第一,它是“专用的”,VPN资源只能被该VPN的用户使用,不能被网络中的其他用户使用。第二它是“虚拟的”,VPN用户内部的通信是通过公共网络进行,这个公共网络同时被其他非VPN用户使用。
VPN的安全机理主要包括:1、认证方法。在认证技术作用下,验证用户的真实身份,加强对访问权限的控制,确保只有经授权后,才能访问VPN。2、数据加解密。对3DES及AES等加密算法具有支持作用,支持128、192、256bit等密钥长度。对经过公共互联网传播的数据进行加密或者解密。3、密钥管理。对服务器或者客户端的加密密钥,利用VPN技术生成并更新,具有局域分发密钥功能。4、多协议支持。对一些在公共互联网上进行使用的协议具有支持作用,如IP、IPX等。
V P N技术首要功能是在公共网络上建立自己的专用网络,这项技术按应用分类包括三个层面:1、远程接入VPN(AccessVPN)。即远程访问虚拟专网,由客户端到网关。2、内联网VPN(IntranetVPN)。即企业内部虚拟专网,由网关到网关。主要依靠隧道技术实现。3、外联网VPN(Extranet VPN)。即扩展的企业内部虚拟专网,与合作伙伴企业网构成外联网络,将一个企业与另一个企业的资源进行连接。
在现有计算机网络运行过程中,按协议分类的VPN技术包括以下三种:1、MPLS VPN技术。MPLS是一种在开放的通信网上利用标签进行数据高效传输的协议技术。2、SSL VPN技术。SSL协议是套接层协议,是为保障基于Web通信的安全而提供的加密认证协议,提供的是应用程序的安全服务。3、IPSecVPN技术。IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族,主要针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一整套隧道、加密和认证方案。
VPN虚拟专用网络传输的是私有信息,为保证数据安全性,主要采用以下四项技术:1、安全隧道技术(Tunneling)。使用点对点通信协议,在连接数据地址时,主要利用路由器网络来完成。2、加密解密技术(Encryption&Decryption)。将需要加密的数据通过某种转换方式,转换成与原本数据完全不同的数据,没有获得权限的人无法获取信息的真实内容。3、密钥管理技术(Key Management)。分为SKIP密钥管理和ISAKMP系统两种。ISAKMP系统对互联网中公共数据进行分析,然后根据数据的安全性对计算机网络安全进行保障。SKIP密钥管理是通过对Diffic算法运用,从而对网络技术和网络信息进行安全保障。4、用户和设备身份认证技术(Authentication)。用户身份认证技术首先必须确认用户的身份,根据用户的身份确定用户拥有的权限;其次,根据用户的权限设置资源访问控制;最后,建立隧道进行连接,如图1所示:
图1 VPN技术框架示意图
VPN连接使用隧道技术,利用加密解密技术,使数据传输安全性进一步增强,发展数量成指数增长。
VPN的功效满足了人们对于网络安全的需求,使用率也在逐步提升。据2019VPN研究报告显示,全年VPN移动应用全球下载量达4.8亿,同比增长达54%。安卓以3.583亿美元占据该市场75%份额,苹果紧随其后市场份额达1.219亿美元。截止2020年3月,我国网民规模达9.04亿,越来越多的人通过手机代替计算机上网,手机上网比例达99.3%。通过手机使用VPN安装相应APP应用程序,个人计算机使用VPN则在网络和共享中心中新增VPN链接后设置IP、密码,导入相关证书即可。VPN价值大,国家也在不断规范VPN市场发展。2019年9月,工业和信息化部发布文件规范VPN违规开展业务等情况,但同时支持外贸企业用专线方式开展跨境联网。总体来说,国家对于VPN的政策是“规范乱象,促进发展”的有序推进路线。
VPN兼备公用网和专用网的许多特点,将公用网可靠的性能、扩展性、丰富的功能与专用网的安全、灵活、高效融合在一起,为企业和服务提供商带来诸多益处:一是减少网络建设与使用成本。由于VPN是利用公用网络为基础建立的虚拟专网,因而可以避免建设传统专用网络所需的高额软硬件投资;二是简化网络维护与管理工作。由于VPN使用互联网的逻辑链路,简化了企业设计、维护、管理网络等繁杂工作,由公用网络服务提供商负责解决;三是保证网络安全与数据保密性。数据加密是在网络层与逻辑隧道中进行的,避免了网络数据被篡改和盗用;四是增强建网灵活性与扩展性。由于VPN网络具有可管理性、可扩展性,使用简单方便灵活。若想增添新的机构或者是扩大网络的覆盖范围,只需要对路由器或VPN服务器进行简单配置即可实现;五是支持新技术应用与远程业务。比如VPN网络可以在广域网使用局域网的应用,甚至支持如IP语音、IP传真等高级应用,增强了企业远程业务体验;六是提供高等级网络安全保障。VPN使用高级加密和身份识别协议保护数据避免受到窥探,特别是结合下一代IPv6的安全特性,使网络数据传输安全性更有保障。
2020年,VPN市场开始进入爆发期,市场上有许多VPN提供商都提供适合不同规模企业的功能,许多安全解决方案公司已进入VPN市场。迈克菲(McAfee)收购了TunnelBearVPN,诺顿(Norton)已为移动用户推出了VPN。根据《全球市场洞察》报告,到2024年VPN市场规模将达到540亿美元。展望未来,VPN趋势是“云VPN”,诸如Google、Facebook和McAfee等技术巨头推出了基于云的VPN服务。未来几年,随着向云计算的迁移,云VPN也将被更多采用。
VPN作为当前广泛普及的一项网络技术,必须要明确其潜在的安全风险隐患。VPN的安全风险主要包括:
随着信息网络技术飞速发展,网络环境发生重大变化,特别是黑客恶意攻击更为猛烈。如果使用VPN连接的设备受到威胁,就有可能会被用来危害已连接的网络。比如美国国家安全局(NSA)实施的绝密电子监听“棱镜计划”,其中以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”,协助美国政府对世界各国实施大规模信息监控,随时获取各国最新动态。
VPN网络技术研发时间并不长,技术层面上仍存在一定局限性,因此在实际应用中,根本不能够将其优越性与作用最大限度发挥出来。英联邦科学与工业研究组织的一项研究发现,在283个VPNAndroid应用程序中,有38%显示被感染了某种形式的恶意软件。82%的VPNAndroid应用程序请求访问敏感数据(例如用户账户和文本信息)的权限;以及18%的应用程序使用未加密的隧道技术。
安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而攻击者能够在未授权情况下访问或破坏系统。2020年4月初,境外APT组织Darkhotel利用深信服VPN客户端更新过程中的漏洞,用后门取代合法的更新,攻击了大约200个VPN服务器并注入恶意软件,进而获取受害主机的控制权,从中收集重要科研、政策情报,或盗取、破坏重要数据资产和基础设施。
随着信息技术飞速发展,网络攻击力度越来越强,攻击方式也越来越多,如蠕虫病毒、炸弹病毒等。攻击者针对VPN技术弱点与漏洞进行恶意攻击,如若攻击成功,或直接使用员工VPN密码远程接入网络,就会将用户的财产与信息置身于危险境地,甚至会造成不可挽回的损失。如2017年安全咨询服务世界第一的德勤公司被黑客入侵,大量机密数据被窃取。在这次事故中,攻击者直接使用员工的VPN密码远程接入网络,然后在这个加密隧道下进行缓慢横向渗透,传统的APT检测防御工具基本不可能发现其攻击行动。
在大数据环境下,网络安全形势越来越严峻,因此需要不断地提升VPN网络安全防护措施。
在用户端接入的安全层面,基于VPN工作的特殊性,检测人员必须要对其用户端口的接入安全高度重视。一旦有非权限用户通过密码破译等方式进入到VPN所连接的专用网络当中,将会导致内网中的大量数据暴露,继而造成严重的信息泄露问题。在数据信息传输的安全层面,市面上绝大部分的VPN都配备有数据加密功能,以保障用户数据在通信传输过程中的安全稳定。但由于应用加密方式的技术等级和加密效率各不相同,应用DES、3DES、AES等不同加密算法的VPN会呈现出参差不齐的安全性能,故相关检测人员应将数据传输品质纳入到评估标准当中。在专用网络资源访问的安全层面,当前大多数的VPN产品只对用户端初始接入权限进行评估处理,而缺乏对用户网络资源访问当中的二次限制。这就使得供应商、合作方等非企业人员通过VPN进入企业内网时,享受到与企业内部人员相同资源服务,继而为企业信息资源流出造成一定风险。据此,在实际检测管理工作中,相关人员应将VPN的权限分配纳入到安全性评估标准检测当中。VPN提供商也需要时刻保持警惕,在出现问题时能够及时修复漏洞,最大限度地保障用户隐私安全。
图3 VPN终止点正确与错误设置对比示意图
防火墙技术在通信网络中应用已久,安装防火墙的通信网无形中就会存在一层安全屏障,它一般是通过设置允许和阻止这两个标准的过滤路由器,同时还肩负着检查网络数据信息的责任。只要符合安全条件的信息就能够通过,一旦发现存在危害信息就会阻止。安装、升级防火墙,解决VPN网络技术中漏洞,可以最大限度避免网络安全事故发生。漏洞扫描技术是在互联网技术发展前提下应运而生,此种技术借助扫描方式强化对电子信息系统整体性防护,在发现VPN安全性隐患或者技术漏洞状况下对其修补,立即安装供应商发布的服丁程序,撤消并创建新的VPN服务器密钥和证书,从而达到防患于未然效果。入侵检测技术是在防火墙之后再建一道安全壁垒。一旦通信系统内部出现异常状况时,它会第一时间转变为一种禁忌防护状况,强化对网络安全问题的高度处置,确保VPN网络使用安全性,减少数据泄露状况发生。值得注意的是,由于攻击者有可能无需借助恶意软件和隐蔽通信渠道,仅通过滥用VPN连接访问网络实施恶意攻击行为。因此,应将所有VPN流量视为不受信任的潜在恶意软件,并应与任何外部通信进行同样审查,在防火墙设置时将VPN终止点位于DMZ中,以便在进入和离开网络之前,能对未加密的VPN流量进行适当检查和审核。图2显示了DMZ中正确VPN连接终止的简化示例。
图3显示了DMZ中不正确的VPN连接终止的简化示例。
目前,I Pv4虽占据主导位置,而IPv6网络仍处孤岛状态,但结合信息时代发展趋势看,IPv4向IPv6过渡已经势在必行。互联网网络运营商正在加速部署IPv6协议去替代地址空间枯竭的IPv4协议,但许多VPN只保护IPv4流量,因此在IPv6网络下现有VPN会变得不安全。VPN要想通过IPv4网络实现IPv6网络间通信,就必须对相应设备进行改善,如在IPv6通信网络前增加相对应的网关设备,主要作用就是翻译相应的网络协议。4月26日,工信部、国家新闻出版广电总局发布通知,到2020年三季度末全面完成网络基础设施IPV6改造。随着通信技术的不断革新,设备也应该不断地升级,才能最快满足IPv4向IPv6过渡需求。
图2 VPN终止点正确与错误设置对比示意图
VPN作为一种新型化和高效化的网络技术,研发和运用为企业网络安全建设做出较大贡献,极大地降低网络运营方面成本问题,促进资源利用率大幅提升,具有广阔的发展前景。为此,我们需持续加强对VPN技术的创新和改进,加大对其它网络技术运用力度,从而增强网络的安全性和可靠性,为信息传输提供有力技术支撑和安全保障。■