隨著COVID-19的大流行，許多IT企業(yè)發(fā)現(xiàn)，由于多數(shù)員工選擇（或被強(qiáng)制）在家工作，他們自己不得不倉(cāng)促地應(yīng)對(duì)VPN流量的突然激增。遺憾的是，這也為惡意攻擊者通過(guò)對(duì)企業(yè)VPN基礎(chǔ)架構(gòu)本身發(fā)起各類(lèi)攻擊來(lái)破壞目標(biāo)提供了絕佳機(jī)會(huì)。

　　多數(shù)企業(yè)采用的是陳舊過(guò)時(shí)的遠(yuǎn)程VPN應(yīng)用和運(yùn)行在星型連接架構(gòu)中的集線器。這是因?yàn)閂PN一直被視為IT基礎(chǔ)架構(gòu)中“填補(bǔ)空白”的部分，適合出差的員工或在非工作時(shí)間訪問(wèn)公司資源的人使用。預(yù)計(jì)通過(guò)VPN訪問(wèn)的流量只占IT總流量的一小部分。

　　事實(shí)上，Radware在制藥行業(yè)的一個(gè)重要客戶(hù)已經(jīng)為應(yīng)對(duì)當(dāng)前這種情況做好了準(zhǔn)備。他們預(yù)料到了多數(shù)員工不得不在家辦公這種情況，并圍繞這一設(shè)想設(shè)計(jì)了DDoS防御措施。不僅如此，他們還雇傭了外部的DDoS測(cè)試公司攻擊VPN基礎(chǔ)架構(gòu)，衡量不同組件的彈性。

　　以下就是他們?cè)趯?duì)VPN基礎(chǔ)架構(gòu)的DDoS攻擊中得到的經(jīng)驗(yàn)教訓(xùn)。

　　即使是低容量攻擊，也可以輕易耗盡VPN集線器和防火墻中的資源。

　　即使攻擊容量低至1 Mbps，經(jīng)過(guò)優(yōu)化的TCP混合攻擊依然能夠讓網(wǎng)絡(luò)防火墻處于無(wú)法處理更多新連接的狀態(tài)，在這些攻擊中，攻擊者可以發(fā)送少量帶有SYN標(biāo)志的TCP數(shù)據(jù)包、另一批次的帶有ACK標(biāo)志的TCP數(shù)據(jù)包、另一組URG數(shù)據(jù)包等。由于沒(méi)有觸發(fā)容量閾值，因此多數(shù)DDoS防御措施也不會(huì)被觸發(fā)。

　　為了防御這類(lèi)攻擊，企業(yè)需要調(diào)整主機(jī)、防火墻和DDoS策略。許多網(wǎng)絡(luò)防火墻都有“SYN防御”或“初始連接”功能，可以防御SYN洪水。針對(duì)DDoS策略，可以采用能夠進(jìn)行失靈數(shù)據(jù)包檢測(cè)和預(yù)防功能。

　　遭受到攻擊時(shí)，與基于云的DDoS服務(wù)相比，本地DDoS緩解設(shè)備通常有更多的優(yōu)化選項(xiàng)，因?yàn)檫@些策略完全由客戶(hù)控制，不會(huì)與云中的其他客戶(hù)共享。最后，如果企業(yè)采用了速率限制，最好設(shè)置與期望的VPN連接數(shù)相匹配的閾值；許多緩解設(shè)備也都會(huì)有一些不適合VPN應(yīng)用的缺省參數(shù)。

　　SSL VPN很容易遭受SSL洪水攻擊，Web服務(wù)器也一樣。

　　其中兩個(gè)DDoS測(cè)試就是SSL洪水攻擊的變體。第一個(gè)攻擊是高容量的SSL連接洪水。此攻擊會(huì)嘗試?yán)�用高容量的SSL握手請(qǐng)求來(lái)耗盡服務(wù)器資源。

　　為了防御這種攻擊，就必須仔細(xì)監(jiān)控防火墻、VPN集線器和負(fù)載均衡器等狀態(tài)設(shè)備的TCP會(huì)話和狀態(tài)。此外，創(chuàng)建基線并設(shè)置針對(duì)此基線的預(yù)警將有助于在實(shí)際攻擊中排除故障。

　　針對(duì)防火墻，可以采用“并發(fā)連接限制”之類(lèi)的功能，減少?zèng)]有任何數(shù)據(jù)包連接時(shí)的會(huì)話超時(shí)。針對(duì)DDoS策略，可以從給定的源IP地址并發(fā)建立數(shù)量有限的連接。此外，減少會(huì)話超時(shí)來(lái)釋放防火墻中的連接表。

　　最后，Radware提供了兩個(gè)有助于解決本地和云端SSL洪水的專(zhuān)利防御機(jī)制：DefenseSSL可以利用行為分析識(shí)別可疑流量，隨后激活盒裝式SSL模塊進(jìn)行解密。通過(guò)一系列僅用于可疑流量的質(zhì)詢(xún)響應(yīng)機(jī)制，可以識(shí)別并緩解攻擊。如果客戶(hù)通過(guò)了所有質(zhì)詢(xún)，就允許后續(xù)的HTTPS請(qǐng)求直接到達(dá)受保護(hù)服務(wù)器，從而在客戶(hù)端和受保護(hù)服務(wù)器之間創(chuàng)建新的TLS/SSL會(huì)話。

　　這一獨(dú)特的部署模型使得解決方案可以實(shí)現(xiàn)和平時(shí)期的零延遲，并在遭到攻擊時(shí)將延遲降到最低——僅限于每個(gè)客戶(hù)端的第一個(gè)HTTPS會(huì)話。針對(duì)無(wú)法使用證書(shū)解密的情況，可以采用行為SSL保護(hù)。這可以在不解密SSL連接的情況下防御SSL洪水。

　　第二個(gè)SSL攻擊是SSL重新協(xié)商洪水。SSL/TLS重新協(xié)商攻擊利用了在服務(wù)器端協(xié)商安全TLS連接所需的處理能力。它向服務(wù)器發(fā)送虛假數(shù)據(jù)，或不斷請(qǐng)求重新協(xié)商TLS連接，超出服務(wù)器極限之后就會(huì)耗盡服務(wù)器資源。

　　為了防御這種攻擊，請(qǐng)禁用服務(wù)器上的SSL重新協(xié)商。還應(yīng)該禁用弱密碼套件。另一個(gè)選擇就是采用SSL卸載，利用高容量的外部負(fù)載均衡器釋放防火墻或VPN集線器資源。Radware可以在本地和基于云的部署中防御這類(lèi)攻擊。

　　VPN很容易遭受UDP洪水攻擊。

　　其中兩個(gè)攻擊場(chǎng)景都包括UDP洪水。一個(gè)是隨機(jī)UDP洪水，第二個(gè)是IKE洪水。IKE可以用在IPSec VPN中，用于身份驗(yàn)證和加密。

　　由于UDP端口數(shù)是隨機(jī)的，可以采用基于行為的DDoS防御機(jī)制，如Radware的BDoS，能夠利用實(shí)時(shí)特征碼生成檢測(cè)UDP洪水。

　　必須進(jìn)行監(jiān)控和預(yù)警。

　　緩解多個(gè)攻擊需要對(duì)DDoS策略、網(wǎng)絡(luò)防火墻和VPN集線器的實(shí)時(shí)可見(jiàn)性并調(diào)整調(diào)整其參數(shù)。為了準(zhǔn)確調(diào)整閾值，就必須全面了解企業(yè)正常的VPN流量，包括容量（以Mbps或Gbps計(jì)）和預(yù)期的正常連接數(shù)。利用SIEM可以更容易監(jiān)控不同設(shè)備上的連接。此外，如果了解正常基線，減少會(huì)話超時(shí)和速率限制等實(shí)時(shí)措施是最好的。

　　雖然上述經(jīng)驗(yàn)教訓(xùn)來(lái)自于一個(gè)可控的DDoS測(cè)試，但測(cè)試中使用的多個(gè)攻擊矢量都與人們可以預(yù)期的來(lái)自惡意實(shí)體的攻擊矢量類(lèi)似。當(dāng)企業(yè)爭(zhēng)相增加VPN容量來(lái)支持越來(lái)越多的遠(yuǎn)程員工時(shí)，切記不要忘記部署DDoS防護(hù)措施。

　　確保企業(yè)安然無(wú)恙——希望企業(yè)在安全加密鏈路的另一端也變得更強(qiáng)大。