VPN(虚拟专用网络).

VPN 在两个端点之间建立受密码学保护的隧道,使穿越不可信网络的流量保持机密性、完整性并经过认证。各种实现各不相同:IPsec(RFC 4301)工作在第 3 层,使用 IKEv2 密钥交换;SSL/TLS VPN 通过 HTTPS 进行隧道传输,实现无客户端的浏览器访问;OpenVPN 使用基于 TLS 的自定义协议;而 WireGuard 自 5.6 版起进入 Linux 主线内核,采用固定的现代密码学原语——Curve25519、ChaCha20-Poly1305、BLAKE2s——以实现小巧而快速的代码库。

VPN 集中器是高价值目标,因为它们位于边界处,并代理对内部网络的访问。CVE-2019-11510 是 Pulse Connect Secure 中的一个预认证任意文件读取漏洞(CVSS 10.0),它让攻击者得以收集明文凭据,并被用于针对医院和政府机构部署 REvil/Sodinokibi 勒索软件。CVE-2018-13379 是 Fortinet FortiOS SSL-VPN 中的一个路径遍历漏洞,泄露了包含明文凭据的会话文件;2020 年 11 月,约 50,000 台设备的凭据被公开转储。这两个漏洞在补丁发布很久之后仍持续遭到利用。

防御措施:及时为集中器打补丁,在隧道处强制实施抗钓鱼的 MFA,在策略要求全量检查时限制分流隧道,并监控会话日志以发现不可能的位移和凭据复用。越来越多的组织正用零信任应用网关取代广义的网络级 VPN 访问,从而实现按应用而非按网络的授权范围。

flowchart LR
  C["客户端 / 端点"] -->|"1. 认证 + IKE/TLS 密钥交换"| G["VPN 网关"]
  C -->|"2. 跨互联网的加密 ESP/TLS 隧道"| G
  G -->|"3. 解密并转发"| R["内部资源"]
  A["窃听者"] -. "只能看到密文" .-> C