相信各位IT人員對VPN不陌生，拜VPN所賜，IT人員的工作可說是"有網路可連VPN的地方，不在辦公室也能辦公事" (哭)

虛擬私人網路（Virtual Private Network，VPN）是一種常用於連接中、大型企業或團體與團體間的私人網路的通訊方法。它利用隧道協定（Tunneling Protocol）來達到傳送端認證、訊息保密與準確性等功能。

以往的VPN主要應用於IT人員、出差/外派人員、委外承包商、行動辦公者等身上，今年2020真的不一樣了，VPN突然紅了，拜疫情所賜全球展開超大規模的**在家工作(Work From Home)**的防疫對策，所有居家隔離或遠距辦公者仰賴VPN連線回公司存取系統資源，疫情前系統乘載頂多30~50 concurrent user，一夕之間上來300~500人甚至更多，防疫優先嘛~。
基本上，VPN的連線視同內網的延伸，在辦公室的時候由於有線無線網路接受到FW等網段架構設備的保護，在外用VPN連線時成為內網資源存取點，現在居家工作使用VPN，時間變長、用戶變多、流量變高的新常態，VPN的風險也隨之放大了，駭客集團盯上居家使用的弱點，各種對VPN的攻擊、竊密、破解紛紛出籠，使得VPN成為重大破口，常見有:

• 1.VPN帳號被破解:員工在使用VPN時，其密碼設定的很薄弱(弱密碼)，或是該組帳號密碼跟他的FB/xx購物/yahoo mail的是一樣的，透過這些外洩、猜測使得密碼被解，攻擊者變用這組帳號密碼透過VPN入侵企業內網。
• 2.VPN系統有漏洞:不論是J牌/P牌/F牌/C牌的VPN設備作業系統，都有被發現安全性漏洞，漏洞被發現不是新鮮事可是沒有被修補就是你的事了，攻擊者可藉由這些漏洞取得控制權，使得員工使用時被入侵。
• 3.VPN連線的裝置有問題: 在家工作，用自己的私人電腦聽起來好像再自然不過，這些家用裝置/家用網路安全嗎?這情況下端點上的防護、更新、盜版軟體、惡意程式、使用成員...等等是公司IT無法掌控風險的部分，用這些不乾淨的端點連線VPN進入內網辦公，有如木馬屠城哩，很精彩。
• 4.VPN使用者缺乏安全意識:在家辦公，主管不在身邊，順便上個論壇看看HUB，老司機我上車啦，咦?怎這網站我抽哀鳳11一下就中獎?在家手氣就是不一樣，來去填資料領獎領獎。(釣到大魚上鉤)
• 5.離職員工權限仍在:當年，某A專員離開公司時，基於同事情分仍答應有需要時一通電話可VPN連回來幫忙解圍，事實上A也真的夠義氣離開三個月內多次幫忙，然而這個權限就這麼開著.....直到10年後A仍可進去。
• 6.供應商/外部廠商使用狀況不明: 供應商持有我方VPN帳號的人不知道換了幾手、登入也使用萬年密碼流通著，廠商都終止合作了帳號還開著
  

基於這麼多的狀況，VPN的安全破口真的堪憂阿，筆者近兩年也整頓了手邊的VPN系統，讓上述問題逐步收斂，其相關改善對策有:

• 1.VPN帳號被破解:對每一個帳號，強制啟用多因子認證機制，綁定手機一人一帳號，用OTP每分鐘都變換密碼的特性增加防護。
• 2.VPN系統有漏洞:Patch Update!發布停機公告，將系統版本徹底更新到最新版並保持，再用弱掃系統驗證。
• 3.VPN連線的裝置有問題:啟用VPN設備上的功能，限定只能是公司派發的NB連線進入，運用公發電腦特有特徵(有加入公司網域或有安裝公司版本防毒 或CA憑證或MAC綁定)的方式，防止不乾淨的電腦連入。
• 4.VPN使用者缺乏安全意識:使用的是教育訓練和管理機制，一來發放使用規範、安全守則、公告、居家工作懶人包等強化宣導，二來透過系統監看使用者的流量、特性，將違規者提報出來警示與行為約束。
• 5.離職員工權限仍在:請全面盤點一次VPN的帳號，以及所隸屬的群組/網段。
• 6.供應商/外部廠商使用狀況不明:(同第1、5項，MFA+帳號綁定+定期盤點)
• 6.連線網段:VPN連線進來後不應暢行無阻，風險等級高，要限定可用的範圍做分區管控，若是IT操作應統一採用跳板機(含操作稽核錄影、特權帳號代換等功能)，不建議直接RDP到系統主機上。

參考資料與延伸閱讀:
遠距工作的資安注意事項
美國國安局公布VPN安全指南
在家辦公挑戰網路邊界防護舊觀念
在家工作嗎? 請先做好安全設定
近期臺灣資安業者揭露的SSL VPN漏洞
勒索軟體衝擊！全臺醫療院所資安拉警報
(圖片來源:ITHOME)