VPN（Virtual Private Network）即虚拟私有网络，是通过公有网络（多为Internet）采取加密隧道的方法将私有网络进行扩展。

用户可以通过VPN在远程接入到校园网等私有网络中，访问内网中的信息系统或相关科学情报及数据库资源，从而提高工作效率。

目前，VPN技术大量应用在高校的网络中，而随着疫情时代居家办公、在线学习逐渐成为常态，VPN的使用率也将会越来越高。

目前，针对个人用户，高校一般采取SSLVPN的方式，利用SSLVPN客户端通过SSL隧道对校内系统或相关图书资源进行访问，但是这种访问方式会带来一定的安全问题。

VPN带来的网络安全问题

1.成为攻击的入口点

首先，由于用户VPN可以从远程进行访问，采取客户端的方式进行连接来接入校园网。

因此攻击者在对系统进行攻击的时候，往往将VPN作为入口点，只需获取一个弱密码连接客户端就能进入内网（校园网），大大减少了攻击难度和攻击时间。

其次，由于VPN客户端的权限过高，如果没有设置访问控制策略，就可以访问内网所有的IP。

最后，由于VPN采用了加密隧道的方式，流量类的安全设备如IPS、WAF等无法进行检测。

2.弱密码问题很难杜绝

目前，高校为了方便用户，采用了VPN与统一身份认证（CAS）进行对接。高校的统一身份认证承载了全校所有师生的账号与密码，但目前的统一身份认证系统对于账户密码的管理存在着一定的问题，比如当账号为学号或者工号时，默认密码往往为身份证后六位。

此外，由于统一身份认证与学校所有系统对接，因此弱密码会让攻击者登录所有的系统。更为严重的是，如果此类账号的权限过高，攻击者不需要太多精力就可以获取所有系统的数据，进而造成全校信息的泄漏。

3.密码泄漏事件时有发生

由于学校师生人员众多，除弱密码问题外，密码泄漏也时有发生。一方面，由于个别师生将密码外借他人使用；另一方面，攻击者通过钓鱼、社工等方法也可以轻易获取师生密码。

此外，部分师生以及教育行业软件开发厂商将代码公布在公有代码仓库，如Github等，往往也会导致用户密码等敏感数据泄漏。而这些用户密码与VPN对接，会导致攻击者很轻易就进入校园网内。

4.通过VPN进行的供应链攻击时有发生

目前多数学校的信息系统实际上由软件开发厂商进行运维，相关厂商通过VPN可以直接对系统进行管理，而厂商的权限往往过高，一般都是root或者管理员权限。

部分厂商运维人员缺乏网络安全意识，将VPN等密码存储在公司邮箱、网盘或公司的代码服务器上，若厂商系统或运维人员被攻击，则会造成应用系统甚至校园网数据中心内网的沦陷。

5.部分VPN产品存在安全漏洞

从2019年到2021年，Pulse Secure VPN多次爆出严重的漏洞，如CVE-2021-22893、CVE-2019-11510以及CVE-2019-11542等多个高危漏洞。

在历次攻防演练中，爆出一些厂商的VPN系统存在远程可执行漏洞，若个别单位没有及时对设备进行更新，则会导致通过VPN设备进行的攻击发生。并且，由于部分厂商的设备日志不全，因此对于攻击IP也很难进行阻断和溯源。

6.VPN部署存在问题

个别单位认为VPN是重要服务，将VPN设备部署在数据中心内部，从而绕过了防火墙、IPS和WAF等安全产品的防护。

因此，攻击者获取权限后可以直接对内部重要的服务器发起攻击，如通过弱密码、永恒之蓝进行内网C段扫描，造成整个数据中心系统的“沦陷”。

此外，如果VPN在部署的时候没有做访问地址限制，校内用户可以通过VPN访问校内系统，就会导致部分用户通过VPN进行抢课、攻击等，并且由于部分设备日志不全而造成难以溯源。

针对VPN系统的安全加固

1.优化VPN部署架构

在实际部署中一定要将VPN设备部署在数据中心外部，同时在VPN设备进向和出向部署IPS等设备。

一方面，通过IPS等设备可以防御对VPN的攻击，增加攻击者的攻击难度；另一方面，当攻击者获取VPN权限在进行C段扫描时，相关设备会立即告警，从而大大提高遭遇攻击时的防护反应速度。

并且，由于VPN部署在数据中心外侧，因此数据中心的防火墙、IPS与WAF等设备可以防护从VPN发起的对重要服务器的攻击，防止“一点击破，全网尽失”的情况发生。

2.加强VPN设备的安全管理

将VPN设备的管理界面和用户界面进行分离，采取ACL控制，VPN设备的管理界面只能通过堡垒机进行访问；限制不必要端口如设备的Redis等被非授权IP访问；加强威胁情报，监控VPN设备的漏洞，与厂家密切联系并及时对设备进行升级及加固。

3.强化VPN用户的访问控制策略

加强VPN用户的的管控并设置必要的分组，不同分组不同权限，细化管控策略，如设置教工、学生分组，并控制其访问范围。

同时，加强对特权人员的管理，设置策略对于设备、信息系统的运维人员进行严格管理，并从策略上限制此类人员登录VPN后只能访问堡垒机IP。

此外，堡垒机开启双因素认证登录，禁止在堡垒机中存储相关密码或登录凭据。

最后，对VPN的访问进行限制，杜绝校内用户通过VPN代理访问互联网络及校内资源。

4.部署攻击攻击诱捕系统

针对VPN获取权限后的横向渗透攻击，在VPN相关网段随机部署蜜罐等攻击诱捕系统并加强安全管理和监控，做到在攻击者获取权限后进行C端扫描的时候立刻进行反制溯源，并对攻击者进行画像。有条件的单位可以在VPN设备中设置陷阱账户，来保证反制溯源的及时和准确。

5.降低VPN客户端的权限

由于教育行业系统基本为B/S架构，广大师生等普通用户应采用WebVPN等方式对校园网内系统进行访问，从而降低密码泄漏后攻击者通过SSLVPN客户端进行横向或纵深攻击的风险，如采用MS17-010等系统漏洞横向扫描。同时，WebVPN应采用短信、微信扫码等方式进行双因子认证。

6.加强日志审计

要求VPN厂商构建完备的日志体系，VPN系统记录日志最少应包括账号、登录IP、获取IP、访问IP、访问协议、访问URL及并发等信息。

并且，VPN系统要与安全产品采用统一NTP Server，保证各种设备日志时间的一致性。

此外，VPN系统要采用Syslog、Rsync、Kafaka等与第三方日志或态势平台进行对接，经过综合日志分析可以在第一时间内进行分析研判并有效溯源。

7.加强网络安全意识教育

对全校师生、运维人员、软件厂商等进行网络安全意识教育，提高网络安全意识，防止病毒感染、木马远控植入、撞库、钓鱼、社工等行为的发生，有条件的单位可以开展钓鱼等演练工作。

同时，要建立互联网泄漏信息爬取系统，从Github等代码仓库、网盘及相关文库等获取泄漏的敏感信息，并对有关用户账户进行锁定，防止攻击者利用相关账号通过登录VPN对校园网进行攻击。

作者：辛毅、孙红磊、吴刚（哈尔滨工业大学）

责编：高明