昨天提過 VPN 的安全主要是因為對於數據的加密與傳輸的數據的再封裝(也就是把原本要傳輸的東西由 VPN 包在其中),那既然 VPN 本身在傳輸的過程中不太容易被外人攔截資訊做攻擊竄改,那是不是就無敵了呢?顯然不是,今天當問題不再是 VPN 本身時,就會是使用與提供 VPN 服務的設備們了,讓我們來看看什麼意思吧。
我們先回來對焦今天的 VPN 是哪一種 VPN,簡單來說就是昨天提到了,為了訪問公司 / 住家環境的 VPN,那這種 VPN 一般來說會被維護在公司這個大內網之中,用來訪問公司內部例如公司工位的電腦,或者特定伺服器。
那一般來說這個時候會遇到哪些需要注意的點呢?
之前疫情當頭之時,很多企業都被迫執行遠距上班,那公司內部其實就是一個非常複雜的網路環境,可能有主管的網路、員工的網路、伺服器的網路等等,而現在更多了一個 VPN 的網路。
從之前的說明可以發現,今天管理我們 VPN Service 的網路是 RouterOS 這個軟路由做管理,而當今天我們在 RouterOS 上對於 VPN 可以連線的範圍沒有做好設定時,就往往會有一些問題,讓我們拿案例來說明。
撇除今天網路環境是否是由 RouterOS 做管控,一般來說終究會有一個 Router / Firewall 等管理頁面從在於相同的 Subnet 中,當我們今天由 Router 提供的 VPN 服務連線進入內網環境時,也往往有權限瀏覽這個設備的管理畫面。
但今天 Router 或者 Firewall 的相關設定是對於公司網路或者任何網路都是非常非常重要的,如果任何使用者都可以操作這個頁面,理所當然是非常危險的事情,因此這時 Firewall 針對網路的控管就非常非常重要了,還記得前幾天在設定 RouterOS 時,我們就有特別設定當今天有從 VPN 的 Interface 的流量要進入 RouterOS 時,就會全部 Drop 掉。
那除了接觸 Router 的管理頁面之外,還會有可以接束的設備的相關設定,今天 94 網段都是公司重要的 NAS Server,而 87 網段都是高階主管的設備,那一般職員的 VPN 理應就完全不應該接觸這些 Subnet,那這邊其實就可以善用 Address Lists 這個管理工具來做到,今天我們可以將一般職員的 Address 範圍做匡列,並直接使用白名單的方式在 Firewall 的部分允許流量的進入特定網段,而主管或者 IT 人員又應該依照身份/職位/備援方案等多方考量,設計可以接觸到的設備與環境,來確保不會因為員工的個人設備被攻擊後,直接當作跳板取得公司機密資訊。
這邊也有一個重點,不同層級的設備應該妥善的利用 Subnet 做切分管理,而不是將所有設備都扔到同一個網路環境中,並且需要確實監控與確認哪些設備應該接受區網內的互動,哪些不允許,這樣才能在意外發生時確實保護好重要的設備。原因是就算連線被固定了,今天 VPN 所操作到的設備也可能因為權限過大而造成更大的問題,當然這就不是純粹 VPN 的問題了。
剛剛也有提到防火牆和內網網路的相關切分,但你有沒有想過有時候 VPN 的連線設定也會有所影響?今天一個 VPN Peer 其實是可以允許設定並非單一 IP 或設備才能連線的,但這樣卻會有一個問題也就是無法良好的控管 VPN 通道建立時的連線來源與影響範圍。
在 VPN 的設定中有一個最小權限原則的概念,也就是一個 Peer 給一個人做一件事情,這是最理想的操作方式,當今天無法做到這個細緻的分配時,就更應該做到確保一個 Peer 只給一個人員,這樣當我們需要更新/移除/調整相關 VPN 連線的通道時,就能更好的管理這些資訊,而不用因為害怕無法評估影響範圍而讓一個 Peer 的資訊存留太久。
最重要的當然是定期更新相關連線需求。隨時依照人員離職與否/或者資料過期等做通道的建立刪減。
還記得在設定 VPN 的過程中,有設定幾個 VPN 本身的項目如
那其實這些部分也可以做到例如
最後,不管是網路日誌或者其他防禦性設備跟服務的採購也都應該確實執行,來確保可以守護公司或組織內部的重要網路節點。
網路世界其實非常複雜卻好玩,今天關於 VPN 的很多注意細節其實是接續著維護者/管理者對於組織網路的熟悉度和管理。但藉由 VPN 的安全探討我們也可以更加了解網路世界的安全是牽一髮而動全身的。
iThome鐵人賽
看影片追技術