岳立文

（白銀礦冶職業(yè)技術(shù)學(xué)院，甘肅 白銀 730900）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，VPN技術(shù)的作用日益突出，通過(guò)VPN技術(shù)借助互聯(lián)網(wǎng)資源建立專(zhuān)用網(wǎng)絡(luò)，并通過(guò)特殊的加密通訊協(xié)議建立兩個(gè)及以上的專(zhuān)用虛擬網(wǎng)絡(luò)線路。且不需要重新敷設(shè)光纜、交換設(shè)備等物理線路和設(shè)備，可實(shí)現(xiàn)客戶(hù)端遠(yuǎn)程接入。VPN技術(shù)的應(yīng)用有效地解決了企業(yè)、事業(yè)單位網(wǎng)絡(luò)邊界的問(wèn)題，可實(shí)現(xiàn)接入端靈活業(yè)務(wù)接入需求，提高了企業(yè)組網(wǎng)靈活性，降低了網(wǎng)絡(luò)建設(shè)成本。但隨著VPN技術(shù)的應(yīng)用，其安全隱患日益突出，并引起廣泛關(guān)注。本文就典型VPN技術(shù)安全隱患問(wèn)題，針對(duì)性研究了VPN網(wǎng)絡(luò)中通信安全隱患防范策略，以期為企業(yè)信息基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)規(guī)劃提供有益參考。

1 VPN技術(shù)的特點(diǎn)及典型技術(shù)研究

1.1 VPN技術(shù)的特點(diǎn)

VPN技術(shù)（Virtual Private Network）即虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)，是指基于開(kāi)放網(wǎng)絡(luò)資源而建立的一種專(zhuān)用網(wǎng)絡(luò)通道，VPN技術(shù)是內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，基于特殊的加密通訊協(xié)議實(shí)現(xiàn)跨網(wǎng)絡(luò)、跨地區(qū)兩個(gè)或多個(gè)網(wǎng)絡(luò)間建立專(zhuān)用的虛擬通訊鏈路，以此滿(mǎn)足局域網(wǎng)與互聯(lián)網(wǎng)靈活接入需求。相較于傳統(tǒng)的專(zhuān)線組網(wǎng)方式，VPN技術(shù)實(shí)現(xiàn)協(xié)議包括PPTP、L2TP、IPsec、MPLS和SSL協(xié)議等[1]。從企業(yè)組網(wǎng)實(shí)踐來(lái)看，基于SSL和IPsec協(xié)議的VPN技術(shù)應(yīng)用最為廣泛，其安全性相對(duì)較高。其主要特點(diǎn)為：（1）成本低。借助VPN技術(shù)，用戶(hù)可隨時(shí)隨地通過(guò)VPN通道方位內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)資源，且不需要投入設(shè)備、線路進(jìn)行維護(hù)，符合低成本運(yùn)營(yíng)管理要求；（2）管理方便靈活。VPN技術(shù)集成了用戶(hù)管理和權(quán)限管理等策略，服務(wù)端可根據(jù)權(quán)限控制實(shí)現(xiàn)用戶(hù)管理。用戶(hù)需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源時(shí)，可隨時(shí)隨地建立VPN網(wǎng)絡(luò)或斷開(kāi)，服務(wù)端能夠?qū)τ脩?hù)登錄日志進(jìn)行審計(jì)，可滿(mǎn)足靈活組網(wǎng)和用戶(hù)管理要求；（3）系統(tǒng)控制精細(xì)化。VPN系統(tǒng)可基于單個(gè)用戶(hù)進(jìn)行精細(xì)化控制，包括用戶(hù)組分配、用戶(hù)權(quán)限控制、用戶(hù)可訪問(wèn)資源和服務(wù)限制等，能夠滿(mǎn)足組網(wǎng)信息安全和VPN用戶(hù)權(quán)限精細(xì)化管理要求[2]。

1.2 VPN典型技術(shù)研究

VPN典型技術(shù)包括IPsec協(xié)議、SSL協(xié)議、MPLS協(xié)議。（1）IPsec協(xié)議是一系列協(xié)議組，基于IKE協(xié)議驗(yàn)證通信雙方身份，并生成安全管理（SA）和安全密匙，通過(guò)包封裝技術(shù)，可利用路由地質(zhì)封裝為內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換，從而實(shí)現(xiàn)異地組網(wǎng)；（2）SSL VPN基于套接層協(xié)議，是一種面向Web通信安全而提供的加密認(rèn)證協(xié)議。用戶(hù)可基于Web內(nèi)建SSL封包處理功能，基于Web與VPN服務(wù)器建立通道，并通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)發(fā)技術(shù)，實(shí)現(xiàn)遠(yuǎn)端用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。相對(duì)于IPsec VPN，SSL VPN操作相對(duì)簡(jiǎn)單，且不需下載和配置客戶(hù)端即可建立VPN通道；（3）MPLS VPN是一種多協(xié)議標(biāo)簽交換技術(shù)，建立MPLS VPN通道后，根據(jù)協(xié)議標(biāo)簽確定網(wǎng)絡(luò)路由。MPLS VPN多用于企業(yè)核心路由和線路邏輯組網(wǎng)，尤其是運(yùn)營(yíng)商組網(wǎng)或集團(tuán)性企業(yè)靈活組網(wǎng)等需求[3]。

2 VPN網(wǎng)絡(luò)中的通信安全隱患研究

在計(jì)算機(jī)網(wǎng)絡(luò)中，VPN通信網(wǎng)絡(luò)主要由客戶(hù)端、服務(wù)端和通信鏈路組成，由于不同的VPN網(wǎng)絡(luò)技術(shù)協(xié)議不同，其安全隱患也存在一定的差異。

2.1 IPsec VPN安全隱患研究

IPsec VPN廣泛應(yīng)用于企業(yè)組網(wǎng)中，其通信協(xié)議和加密算法具有較高的安全性，其安全威脅主要來(lái)源于客戶(hù)端信息偽造、入侵等問(wèn)題威脅VPN通信信息安全[4]。（1）中間人攻擊問(wèn)題。如用戶(hù)在開(kāi)放網(wǎng)絡(luò)中或有限局域網(wǎng)中借助IPsec VPN訪問(wèn)目標(biāo)網(wǎng)絡(luò)資源時(shí)，攻擊者可借助技術(shù)手段控制計(jì)算機(jī)窺探客戶(hù)端通信內(nèi)容，從而造成信息安全風(fēng)險(xiǎn)；（2）本地安全配置威脅。由于IPsec VPN基于C/S架構(gòu)進(jìn)行組網(wǎng)通訊，即用戶(hù)需配置專(zhuān)用VPN客戶(hù)端后實(shí)現(xiàn)VPN網(wǎng)絡(luò)通信，但由于客戶(hù)端配置由用戶(hù)自行配置，可能因人為因素而存在安全隱患，如將IKE證書(shū)保存在本地設(shè)備，如攻擊者獲得相關(guān)配置資料信息后，可繞過(guò)IPsec VPN身份認(rèn)證機(jī)制，造成VPN網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)；（3）竊取VPN安全信息。攻擊者通過(guò)社會(huì)工程學(xué)方法竊取用戶(hù)VPN安全信息，如通過(guò)發(fā)送惡意郵件、釣魚(yú)網(wǎng)站等途徑竊取用戶(hù)信息（用戶(hù)IP地址、瀏覽器配置信息、用戶(hù)證書(shū)等），在獲取用戶(hù)信息后，攻擊者通過(guò)偽造用戶(hù)信息入侵VPN網(wǎng)絡(luò)，從而達(dá)到非法侵入的目的；（4）IPsec VPN安全防范機(jī)制薄弱。在VPN服務(wù)配置中，普遍對(duì)受信用戶(hù)安全防范不足，存在VPN隧道內(nèi)攻擊防范機(jī)制，一旦惡意用戶(hù)非法入侵或通過(guò)竊取合法用戶(hù)身份認(rèn)證信息建立VPN通道后，可通過(guò)內(nèi)部網(wǎng)絡(luò)內(nèi)主機(jī)或應(yīng)用層程序滲透等方式獲取內(nèi)部網(wǎng)絡(luò)資源訪問(wèn)權(quán)限，向VPN服務(wù)器發(fā)起拒絕服務(wù)攻擊或端口掃描攻擊等，造成VPN服務(wù)中高端、配置信息泄露等問(wèn)題，從而威脅VPN網(wǎng)絡(luò)通信安全。

2.2 SSL VPN安全隱患研究

SSL VPN可基于WEB瀏覽器代理實(shí)現(xiàn)VPN通信，由于不需要客戶(hù)端，其風(fēng)險(xiǎn)主要集中于服務(wù)器和瀏覽器配置兩個(gè)方面。一方面企事業(yè)單位多防火墻設(shè)備作為SSL服務(wù)端，如H3C、華為、深信服等廠商，如設(shè)備存在越權(quán)漏洞、簽名漏洞等安全漏洞，可能給VPN網(wǎng)絡(luò)安全造成嚴(yán)重影響；另一方面用戶(hù)基于WEB建立VPN網(wǎng)絡(luò)時(shí)，如未完全退出SSL進(jìn)程，攻擊者可利用該安全風(fēng)險(xiǎn)訪問(wèn)VPN網(wǎng)絡(luò)內(nèi)部資源，從而造成較大的安全威脅。同時(shí)，由于SSL VPN的高適用性，用戶(hù)可隨時(shí)隨地基于WEB進(jìn)行VPN通信，包括在公共網(wǎng)絡(luò)中使用SSL VPN，如用戶(hù)配置信息遭泄露，可能對(duì)SSL VPN造成嚴(yán)重威脅。SSL VPN通道訪問(wèn)企業(yè)內(nèi)部資源框圖如圖1所示。

圖1 SSL VPN通道訪問(wèn)企業(yè)內(nèi)部資源框圖

2.3 MPLS VPN安全隱患研究

MPLS VPN是我國(guó)運(yùn)營(yíng)商廣泛采用主流VPN技術(shù)，由于MPLS協(xié)議采用了嚴(yán)格路由信息隔離機(jī)制，并通過(guò)運(yùn)營(yíng)商邊界設(shè)備標(biāo)記交換隧道（如圖2所示），有效提高了VPN網(wǎng)絡(luò)通信的安全性。但由于MPLS VPN作為基于IP通信協(xié)議的VPN技術(shù)，且未對(duì)傳輸信息進(jìn)行加密認(rèn)證，仍然存在一定的安全風(fēng)險(xiǎn)。主要包括來(lái)自于三個(gè)方面：（1）對(duì)VPN路由設(shè)備的攻擊風(fēng)險(xiǎn)。此類(lèi)攻擊多發(fā)生于路由信息發(fā)布階段，如惡意設(shè)備偽裝成為MPLS邊緣設(shè)備，通過(guò)與服務(wù)端建立連接并交換版本信息、LAN口狀態(tài)等路由信息，導(dǎo)致MPLS VPN配置信息泄露。同時(shí)，部分惡意用戶(hù)通過(guò)偽造或篡改路由信息，導(dǎo)致邊界流量轉(zhuǎn)發(fā)至錯(cuò)誤設(shè)備并竊聽(tīng)、劫持用戶(hù)流量，將威脅VPN網(wǎng)絡(luò)信息安全；（2）針對(duì)MPLS網(wǎng)絡(luò)邊界設(shè)備進(jìn)行拒絕服務(wù)攻擊。由于MPLS VPN實(shí)質(zhì)是基于運(yùn)營(yíng)商共享帶寬而傳輸?shù)腣PN服務(wù)協(xié)議，當(dāng)VPN用戶(hù)流量過(guò)多時(shí)必然造成網(wǎng)絡(luò)帶寬資源和邊界設(shè)備服務(wù)資源耗盡，進(jìn)而造成正常的VPN服務(wù)請(qǐng)求被拒絕，影響正常業(yè)務(wù)開(kāi)展；（3）來(lái)自于網(wǎng)絡(luò)信息安全的攻擊。當(dāng)用戶(hù)基于MPLS VPN訪問(wèn)互聯(lián)網(wǎng)時(shí)，攻擊者可能通過(guò)IP地址欺騙、會(huì)話(huà)劫持、木馬等技術(shù)對(duì)用戶(hù)VPN請(qǐng)求和通信內(nèi)容進(jìn)行非法查看、偽造等操作，進(jìn)而影響VPN網(wǎng)絡(luò)信息安全。

圖2 MPLS VPN通道跨互聯(lián)網(wǎng)組網(wǎng)

3 計(jì)算機(jī)VPN網(wǎng)絡(luò)中的通信安全隱患問(wèn)題防范措施研究

基于典型VPN技術(shù)的通信安全隱患問(wèn)題防范，應(yīng)結(jié)合VPN技術(shù)安全風(fēng)險(xiǎn)，針對(duì)性采取應(yīng)對(duì)措施，提高VPN通信網(wǎng)絡(luò)安全性、可靠性。

3.1 IPsec VPN安全防范

針對(duì)IPesc VPN通信存在安全隱患分析，其安全風(fēng)險(xiǎn)主要來(lái)自于IKEv1身份泄露、中間人攻擊等安全隱患問(wèn)題。IKEv1協(xié)議密鑰協(xié)商過(guò)程中，由于協(xié)商密鑰均采用明文發(fā)送，攻擊者可在流量劫持的基礎(chǔ)上分析得出通信雙方身份信息和除預(yù)共享密鑰PSK之外的密鑰協(xié)商參數(shù)，而預(yù)共享密鑰PKS可通過(guò)暴力破解方式得出，存在人攻擊可能性，一旦攻擊者獲得PSK預(yù)拱共享密鑰可實(shí)現(xiàn)中間人攻擊目的。針對(duì)該問(wèn)題，除采用IKEv2算法外，還應(yīng)當(dāng)在邊界設(shè)備防護(hù)中加強(qiáng)VPN客戶(hù)端連接中斷檢測(cè)，由系統(tǒng)對(duì)中斷原因進(jìn)行快速判斷并評(píng)估VPN中斷風(fēng)選等級(jí)，以此防范和控制VPN中間人攻擊。在IPsec VPN組網(wǎng)的大型網(wǎng)絡(luò)環(huán)境中，應(yīng)針對(duì)潛在路由欺騙攻擊，可主動(dòng)檢測(cè)異常鏈路狀態(tài)，找出潛在攻擊行為，合理設(shè)置IPsec VPN參數(shù)，確保骨干網(wǎng)絡(luò)通信安全[5]。針對(duì)本地配置信息泄露風(fēng)險(xiǎn)和社會(huì)工程學(xué)等原因造成IPsec VPN安全風(fēng)險(xiǎn)，應(yīng)加強(qiáng)用戶(hù)安全培訓(xùn)，提高用戶(hù)安全防范意識(shí)，配置強(qiáng)度等級(jí)高的預(yù)共享PSK并定期更換，預(yù)防信息泄露風(fēng)險(xiǎn)和攻擊人偽造信息風(fēng)險(xiǎn)。此外，針對(duì)因信息泄露、中間人攻擊等原因造成的攻擊者與服務(wù)器建立VPN通道后，應(yīng)加強(qiáng)VPN邊界防護(hù)，對(duì)內(nèi)部網(wǎng)絡(luò)資源訪問(wèn)權(quán)限進(jìn)行限制，通過(guò)設(shè)置防火墻策略和應(yīng)用服務(wù)二次驗(yàn)證，防范IPsec VPN安全風(fēng)險(xiǎn)。

3.2 SSL VPN安全隱患防范

針對(duì)SSL VPN應(yīng)用中客戶(hù)端風(fēng)險(xiǎn)和服務(wù)端風(fēng)險(xiǎn)，應(yīng)從三個(gè)方面加以防范和控制。（1）針對(duì)用戶(hù)未完全退出SSL VPN進(jìn)程的風(fēng)險(xiǎn)?？稍谟脩?hù)基于WEB下載瀏覽器插件時(shí)加入私密信息清除機(jī)制，即在下載瀏覽器Active／X控件同時(shí)下載用戶(hù)信息清除控件，當(dāng)用戶(hù)關(guān)閉SSL VPN頁(yè)面時(shí)同步清除瀏覽器緩存、控件、用戶(hù)密碼、證書(shū)等私密信息。當(dāng)用戶(hù)所使用的計(jì)算機(jī)安全組策略不允許通過(guò)控件清除私密信息時(shí)，可通過(guò)調(diào)整服務(wù)器組策略，當(dāng)清除私密信息控件檢測(cè)到系統(tǒng)不允許刪除臨時(shí)文件時(shí)，VPN禁止用戶(hù)下載郵件附件至本地計(jì)算機(jī)，防范內(nèi)部資源泄露[6]。此外，針對(duì)因用戶(hù)操作不當(dāng)而造成的長(zhǎng)時(shí)間未退出的客戶(hù)端，由于VPN進(jìn)程持續(xù)處于激活狀態(tài)，可能造成資源占用并存在信息泄露風(fēng)險(xiǎn)，可在服務(wù)器配置中加入動(dòng)作檢測(cè)機(jī)制，當(dāng)用戶(hù)進(jìn)程超過(guò)3分鐘無(wú)動(dòng)作后自動(dòng)結(jié)束進(jìn)程，用戶(hù)操作時(shí)需重新認(rèn)證通過(guò)后方可操作；（2）針對(duì)SSL VPN通信鏈路風(fēng)險(xiǎn)。服務(wù)器端應(yīng)加強(qiáng)邊界流量檢查和過(guò)濾，僅允許合法請(qǐng)求通過(guò)防火墻。防止未知安全風(fēng)險(xiǎn)，同時(shí)，為預(yù)防攻擊者在非法獲取用戶(hù)信息后訪問(wèn)內(nèi)部資源，應(yīng)加強(qiáng)用戶(hù)請(qǐng)求表達(dá)語(yǔ)法檢查，如I拒絕SQL注入等請(qǐng)求，按應(yīng)用層消息請(qǐng)求格式對(duì)用戶(hù)操作行為進(jìn)行規(guī)律，防止惡意用戶(hù)獲取內(nèi)部資源；（3）加強(qiáng)身份認(rèn)知。由于SSL VPN基于WEB瀏覽器進(jìn)行身份認(rèn)證，其安全性相對(duì)弱于IPsec VPN，尤其是用戶(hù)可在公共網(wǎng)絡(luò)、公共計(jì)算機(jī)中采用SSL VPN，VPN安全風(fēng)險(xiǎn)增大。為解決SSL VPN安全風(fēng)險(xiǎn)對(duì)服務(wù)端的安全威脅，可通過(guò)應(yīng)用層過(guò)濾技術(shù)對(duì)非法請(qǐng)求進(jìn)行過(guò)濾、阻止，并采用增強(qiáng)認(rèn)證機(jī)提高服務(wù)端安全性能，如AD域、LDAP、令牌鑒別機(jī)制等，通過(guò)采用一種或多種認(rèn)證機(jī)制組合方式，提高SSL VPN網(wǎng)絡(luò)信息安全。

3.3 MPLS VPN安全隱患防范研究

當(dāng)前，MPLS VPN廣泛應(yīng)用于大型企事業(yè)單位組網(wǎng)中，其安全性相對(duì)較高，但主要用于多邊界網(wǎng)絡(luò)數(shù)據(jù)傳輸，僅依賴(lài)MPLS VPN策略難以保障通信安全，因此，在MOLS VPN組網(wǎng)中，除應(yīng)加強(qiáng)鏈路配置安全防護(hù)外，還應(yīng)當(dāng)加強(qiáng)安全審計(jì)和數(shù)據(jù)加密，以此確保VPN通信安全。在路由配置方面，應(yīng)避免使用簡(jiǎn)單口令認(rèn)證，優(yōu)先選擇MD5加密校驗(yàn)認(rèn)證，防范入侵者偽裝為邊界路由劫持流量，確保路由器與入侵者斷開(kāi)鄰居關(guān)系。在安全審計(jì)方面，為動(dòng)態(tài)掌握MPLS VPN設(shè)備在線狀態(tài)，可采用日志審計(jì)方法分析研究系統(tǒng)資源使用情況和訪問(wèn)操作記錄，確保敏感資源訪問(wèn)有據(jù)可查。針對(duì)因入侵非法操作造成網(wǎng)絡(luò)堵塞和設(shè)備拒絕服務(wù)問(wèn)題，應(yīng)當(dāng)合理設(shè)置備份冗余線路和邊界熱備設(shè)備，動(dòng)態(tài)分配VPN訪問(wèn)網(wǎng)絡(luò)請(qǐng)求，防止正常用戶(hù)在線并發(fā)數(shù)過(guò)高而出現(xiàn)拒絕服務(wù)問(wèn)題，防范因非法入侵操作造成企事業(yè)單位業(yè)務(wù)中斷，提高VPN網(wǎng)絡(luò)健壯性。

4 結(jié)論

新時(shí)期背景下，基于VPN技術(shù)組網(wǎng)或面向用戶(hù)提供網(wǎng)絡(luò)服務(wù)時(shí)，應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全分析，針對(duì)潛在的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別和防控，防止惡意用戶(hù)入侵、竊取、偽造、刪除數(shù)據(jù)，提高VPN網(wǎng)絡(luò)信息安全性。