保障遠程辦公安全

■ 天津 雷遠東

隨著互聯網的普及和發展，遠程辦公成為很多企業的重要選擇，遠程辦公能夠大幅節約企業運營成本，利用筆記本或手機等便攜式設備能夠隨時隨地處理公司業務，提高辦公效率，而且不易受到自然災害等客觀條件影響。

目前主流的遠程辦公技術是SSL VPN，本文將結合實際應用探討使用SSL VPN進行遠程辦公時應如何保障系統和數據安全，希望給各位同行帶來一些幫助。

SSL VPN技術以安全、靈活、穩定的特點得到了各企業的廣泛應用，成為遠程辦公的首要選擇。SSL VPN有硬件和軟件兩種實現方式：硬件SSL VPN一般為商業產品，穩定性、性能都有保障，適用于對業務連續性和穩定性要求較高的企業；軟件SSLVPN分為商業產品和開源產品，部署成本相對較低，適用于成本控制要求較高的企業。

不少SSL VPN廠家還能夠結合用戶需求，利用單點登錄等技術與用戶業務深度融合，提升用戶的體驗。實際使用SSL VPN過程中，不少用戶只關注了其功能性，并未重視其安全性，下面將從多方面介紹如何進行SSL VPN的安全配置，從而保障遠程辦公的安全性。

系統版本更新

SSL VPN也是一套信息系統，不論商業產品還是開源產品，不可避免存在漏洞，而這些漏洞都會在不停的版本迭代中得到修補，用戶必須要及時進行系統版本更新。

有的用戶覺得做系統更新會有風險，可能會導致系統宕機或者不穩定，但是現在廠家推出的新版本都是經過周密測試，升級后出現問題的概率極低。如果廠家的系統版本更新速度比較快或者用戶對于系統穩定性要求極高，這種情況下也可以選擇性進行升級，選擇修補了重大安全漏洞的穩定版本進行升級。

近年來，針對SSL協議的各類高危漏洞層出不窮，比如“心臟出血”漏洞、OpenSSL加密組件漏洞等等，SSL協議是SSL VPN的核心技術，主要用于用戶數據加密，所以這些漏洞一旦被利用，將導致極為嚴重的后果。這些漏洞一般存在于低版本的SSL組件中，所以目前最好的解決辦法就是將低版本的SSL協議升級到TLS協議，同時提升RSA密鑰的長度，建議RSA密鑰最少為2048位。

端口控制

SSL VPN作為遠程辦公的中樞節點，必然需要對公網開放必要的服務和端口，SSL VPN使用到了HTTPS協議，默認使用443端口，所以只需要在防火墻上對外開放443端口即可，其他端口全部封禁，最大限度減少攻擊點；或者修改默認端口，比如將HTTPS協議端口修改為8443等非熟知端口，也能一定程度減少端口暴露的風險。

有些用戶為了遠程維護方便，對公網開放了維護SSL VPN后臺的端口，這是非常危險的，建議關閉遠程維護端口，利用VPN登錄內網后再進行維護。

對于系統維護工作，建議開啟運維IP白名單機制，只允許個別管理員IP訪問SSL VPN后臺管理系統，同時管理員密碼必須足夠復雜，且定期進行更換。

認證管理

SSL VPN作為從公網進入內網的唯一通道，必須要設置安全、強壯的用戶認證方式。傳統的口令認證方式已經不能滿足要求，推薦采取雙因子認證，比如口令認證+短信認證，只有兩種認證方式同時通過后，用戶才能登錄VPN成功，同時可結合圖像驗證碼避免暴力破解。口令認證安全策略建議如下：

表1 訪問控制規則

1.用戶賬號必須實名制，每個賬號對應一個員工，嚴禁共用VPN賬號。

2.最小口令長度為8-12位。

3.首次登錄必須修改默認密碼.

4.口令必須同時具備字母、數字和特殊字符。

5.開啟暴力破解防護功能，對連續輸錯5次口令的賬戶進行臨時封禁處理，時間一般為10-30分鐘。

上述策略中的數字為推薦值，管理員可以結合企業自身實際進行靈活設置。

還有一種硬件特征碼的輔助認證方式，類似于防火墻中的白名單機制，SSL VPN系統會對每個接入終端生成一個唯一的硬件特征碼，每個用戶可以綁定若干個硬件特征碼，用戶只能在對應硬件特征碼的終端上登錄VPN。短信認證方式需要配備短信網關，同時需要錄入每個用戶的手機號碼，而硬件特征碼認證不需要這些額外投入，也能達到令人滿意的安全效果。

內部資源訪問控制

登錄認證通過后，用戶即可進入內網訪問相關資源。按照最小權限訪問原則，應該對用戶進行合理分組，不同用戶組給予不同訪問權限，比如財務組，僅能訪問財務相關系統。

一般SSL VPN系統能夠從端口級別進行訪問控制，如果要達到相應的安全效果，需要對訪問權限做細粒度的劃分，不少管理員為了避免麻煩，直接將所有VPN用戶設置為同等權限，更有甚者將內部網絡權限全部放開，這種配置存在嚴重的安全隱患，一旦某個用戶失陷，將導致內部網絡陷入極大的風險之中。

建議內部資源訪問控制按如下規則進行：

1.以業務訪問需求為導向，對各類用戶進行分組。

2.創建若干個角色，每個用戶組對應一個角色。

3.創建若干個內部資源，以角色為對應，生成若干個資源組。

比如某公司有主要有管理人員、業務人員和財務人員，各類人員有不同的業務訪問權限，訪問控制規則可設置如表1所示。

按照用戶組和角色為一對一，而角色和資源組為一對多的方式進行設置，邏輯清晰，方便后期維護。

日志審計

日志審計是SSL VPN系統必須具備的一項功能，也是保障遠程辦公安全的最后一道屏障，通過對用戶相關的訪問日志進行分析，可以及時發現非法訪問和惡意訪問，并進行溯源處理。

圖1 管理日志

圖2 用戶日志

建議安裝與SSL VPN配套的專業日志分析系統，可以對用戶的登錄行為、訪問業務等進行多維度統計分析。日志內容主要包括管理日志和用戶日志，管理日志主要記錄管理員的系統維護操作，可定期進行審計分析，避免有非法操作發生。用戶日志主要記錄用戶的登錄、訪問、退出等一系列VPN操作行為，可用于分析可疑的用戶行為。

管理日志主要包括管理員賬號、登錄的IP地址、操作權限、操作時間、配置類型、操作過程和操作結果這些內容，如圖1所示。

從登錄的IP地址和所做的操作內容可以分析出該操作是否合規，是否存在惡意操作的可能性。

用戶日志主要包括用戶名、登錄時間、行為、用戶登錄IP、認證方式、操作詳情和操作結果這些內容，如圖2所示。

從用戶名和操作詳情可以分析用戶的操作行為是否正常，是否存在用戶密碼被盜用的可能性。同時，還可以針對用戶的登錄行為設定安全規則，如果長期未登錄（比如6個月），應該對此賬號進行封禁處理。

總結

遠程辦公使得企業網絡安全邊界無限擴大，帶來不少安全風險，而安全防護的重點就在于盡量減少暴露的風險點。

本文從SSL VPN的安全配置方面進行剖析，在滿足業務需求的同時，提出相對合理的安全配置建議。除系統配置外，企業還應從用戶終端安全、用戶管理、系統維護等方面對SSL VPN進行全面防護，網絡出口處可結合防火墻、IPS、防毒墻等網關設備進行防護，內部可結合安全態勢感知平臺、全流量分析系統等進行自動分析告警，打造遠程辦公立體化安全防護體系。