個人 VPN 服務(wù)承諾為用戶流量啟用安全、加密的隧道。這些VPN 服務(wù)提供服務(wù)，通過加密互聯(lián)網(wǎng)連接并保護用戶的應(yīng)用程序使用和瀏覽歷史隱私，從而防止其他人通過這些隧道看到內(nèi)容。VPN 可繞過互聯(lián)網(wǎng)審查，然而，凡事有利必有弊，在實踐中，攻擊者利用VPN或 Tor 瀏覽器這些加密措施掩蓋了攻擊。

　　出于多種原因，網(wǎng)絡(luò)可見性很重要，包括通過策略實施提高安全性、減少影子 IT 以及快速檢測惡意或可疑活動，它可以增強企業(yè)的應(yīng)用程序分析并幫助做出明智的決策。

　　企業(yè)經(jīng)常使用諸如 Palo Alto Networks Next-Generation Firewalls 等工具來獲得對網(wǎng)絡(luò)流量的巨大可見性。企業(yè)可能會嘗試獲得深入到數(shù)據(jù)包、應(yīng)用程序和用戶級別的可見性。

　　此時，我們評估個人 VPN 應(yīng)用程序及其對企業(yè)內(nèi)網(wǎng)絡(luò)可見性的風(fēng)險和威脅。我們將討論這些應(yīng)用程序和服務(wù)如何繞過防火墻以繞過安全和策略執(zhí)行機制。

　　Palo Alto Networks 客戶可以通過使用下一代防火墻 App-ID 來保持完整的網(wǎng)絡(luò)可見性，這有助于識別和清理網(wǎng)絡(luò)中的個人 VPN。

　　在企業(yè)網(wǎng)絡(luò)上使用個人 VPN的主要風(fēng)險

　　通過VPN，用戶可以訪問一些無法訪問的網(wǎng)絡(luò)資源。VPN 的開發(fā)是為了允許不同地方的公司通過互聯(lián)網(wǎng)加密通道連接其內(nèi)部網(wǎng)絡(luò)。它們通常用于工作場所，為沒有物理連接到公司網(wǎng)絡(luò)的用戶（如遠(yuǎn)程工作者）提供對資產(chǎn)和設(shè)備的訪問。但是，現(xiàn)在每個人都可以輕松使用 VPN。盡管如此，普通用戶通常不會考慮在公司設(shè)備上使用個人 VPN 的風(fēng)險。

　　關(guān)于 VPN 的數(shù)據(jù)安全和隱私，在大多數(shù)情況下，用戶必須簡單地信任他們的 VPN 提供商，因為網(wǎng)絡(luò)隧道是由提供商運營的。此外，提供商可以查看用戶訪問了哪些網(wǎng)站，包括未加密的數(shù)據(jù)，以及他們訪問的頻率。該數(shù)據(jù)可以被存儲，其中一些對廣告和營銷公司來說是有價值的，他們利用上網(wǎng)行為將廣告?zhèn)鬟f給正確的目標(biāo)受眾。VPN提供商可以從用戶那里收取訂閱費，并將用戶的網(wǎng)絡(luò)消費數(shù)據(jù)出售給廣告業(yè)，從而使用戶和企業(yè)翻倍。在更極端的情況下，他們甚至可能向政府當(dāng)局提供用戶數(shù)據(jù)。

　　攻擊者不斷掃描易受攻擊的網(wǎng)絡(luò)以尋找攻擊機會。如果攻擊者成功入侵企業(yè)中的一臺計算機，則整個網(wǎng)絡(luò)都可能面臨風(fēng)險。企業(yè)使用其域名系統(tǒng) （DNS）、企業(yè)數(shù)據(jù)丟失防護 （DLP） 和代理服務(wù)器作為對策，它們在保護用戶、數(shù)據(jù)和通信方面發(fā)揮著重要作用，忽略其中任何一項都會降低網(wǎng)絡(luò)可見性并危及企業(yè)。

　　代理服務(wù)器的主要用途之一是防止員工訪問不合適和不安全的網(wǎng)站，并監(jiān)控流量。此外，代理服務(wù)器保護企業(yè)終端免受與惡意命令和控制（C2）服務(wù)器的通信。但是，通過VPN，用戶可以繞過這一保護。例如，如果員工的計算機在使用VPN時受到感染，網(wǎng)絡(luò)安全團隊將無法看到發(fā)送到C2服務(wù)器的數(shù)據(jù)。

　　內(nèi)部威脅對企業(yè)安全構(gòu)成的風(fēng)險幾乎與外部入侵者一樣嚴(yán)重。私人或個人 VPN 允許員工繞過網(wǎng)絡(luò)安全團隊設(shè)置的安全措施和權(quán)限。VPN 會使在線活動容易受到黑客的攻擊。此外，IT團隊失去了對員工活動的完全可見性，例如，當(dāng)用戶瀏覽不安全或被禁止的網(wǎng)站時，他們會隱藏起來。

　　已知的 VPN 漏洞

　　2021年第一季度，針對Fortinet的SSL-VPN攻擊增加了1916%、Pulse Connect Secure VPN的攻擊增加了1527%。這些漏洞幫助攻擊者訪問企業(yè)網(wǎng)絡(luò)，一旦他們進入，就可以竊取信息并部署勒索軟件。

　　我們根據(jù) PC Magazine 的報告列出了 2021 年最佳 VPN 產(chǎn)品，并檢查了它們在過去幾年中存在的已知漏洞數(shù)量，如下圖 所示。

　　PC Magazine評選的 2021 年最佳 VPN 產(chǎn)品，這些服務(wù)中的已知漏洞數(shù)量以及 CVE 和嚴(yán)重性信息

　　VPN 應(yīng)用程序如何繞過防火墻？

　　考慮到它們可能會在企業(yè)的網(wǎng)絡(luò)中引入漏洞，VPN應(yīng)用程序的功能包括試圖繞過防火墻，這是令人擔(dān)憂的。VPN不能使在線連接完全匿名，然而，VPN通常通過隧道進入其他協(xié)議并使用加密技術(shù)。VPN服務(wù)提供商可以使用IPsec （Internet Protocol Security）、SSL/TLS （Transport Layer Security）、DTLS （data agram Transport Layer Security）、MPPE （Point-to-Point Encryption）、SSTP （secure Socket Tunneling Protocol）、SSH/OpenSSH （secure Shell VPN）、OpenVPN和WireGuard等安全的VPN協(xié)議。然而，這些都是合法使用VPN的安全且定義良好的協(xié)議，這對個人 VPN 服務(wù)提供商而言是不利的。因為這些都是已知的協(xié)議，它們很容易被企業(yè)或政府屏蔽，這與VPN提供商向客戶承諾的100%安全連接和可用性相矛盾。

　　VPN提供商盡其所能在網(wǎng)絡(luò)中保持不被發(fā)現(xiàn)，利用使用諸如交換端口或服務(wù)器或從協(xié)議跳轉(zhuǎn)等方法。例如，基于OpenVPN的VPN服務(wù)讓用戶可以選擇將傳輸協(xié)議更改為傳輸控制協(xié)議（TCP）或用戶數(shù)據(jù)報協(xié)議（UDP）。然而，在保持完全可用性以服務(wù)客戶的同時保持不被發(fā)現(xiàn)的需求遠(yuǎn)不止于此。一些VPN公司專門為繞過企業(yè)或政府的封鎖而設(shè)計他們的專有協(xié)議。

　　接下來，我們將回顧一些 VPN 產(chǎn)品使用的繞過技術(shù)。

　　自簽名證書

　　下圖說明了 Hotspot Shield（VPN軟件） 如何使用偽造的自簽名證書來繞過防火墻的流量。但是，它可以通過檢查 TLS 密碼套件信息、端口號和觀察與正版證書不同的模式等方法來識別。

　　Hotspot Shield 使用偽造的自簽名證書來繞過防火墻

　　通過HTTP 流量繞過防火墻

　　一些 VPN 應(yīng)用程序試圖通過發(fā)送看似簡單的 HTTP 流量的流量來繞過防火墻。然而，只需要通過仔細(xì)檢查，可以識別它們的特征，例如身份驗證標(biāo)頭或編碼、HTTP 請求方法或端口號，以及請求標(biāo)頭中的其他不同信息，這些可用于識別此類應(yīng)用程序。

　　下圖顯示擁有超過 200 萬用戶的 SetupVPN 使用 HTTP 代理授權(quán)標(biāo)頭向其服務(wù)器驗證用戶身份。解密標(biāo)頭提供了有關(guān) SetupVPN 應(yīng)用程序的有用信息。

　　SetupVPN 使用 HTTP 代理授權(quán)標(biāo)頭向其服務(wù)器驗證用戶身份

　　模仿通用協(xié)議

　　VPN 應(yīng)用程序使用眾所周知的端口發(fā)送通信以繞過防火墻并導(dǎo)致防火墻實施的錯誤識別以通過防火墻。例如，擁有超過 1000 萬用戶的 Thunder VPN 使用 UDP 端口 53（以用于 DNS 著稱）和 TCP 端口 443（以用于基于 TLS/SSL 的 HTTP 協(xié)議而聞名）。

　　Thunder VPN 通過使用端口和握手類型來模擬 SSL 流量

　　從上圖可以看出，Wireshark將Thunder VPN發(fā)送的443端口的流量誤識別為SSL。Thunder VPN通過使用相同的端口和握手類型來模擬SSL流量。

　　Thunder VPN 還使用端口 53 來繞過使用所有網(wǎng)絡(luò)中通常允許的默認(rèn) DNS 端口的流量。此外，DNS 保留標(biāo)志 Z 并設(shè)置為 1，在此應(yīng)用程序發(fā)起的流量中的所有 DNS 查詢和響應(yīng)中，該標(biāo)志必須為零。通過Thunder VPN發(fā)送的53端口UDP流量如下圖所示。

　　端口 53 上的 Thunder VPN UDP 流量，DNS 保留標(biāo)志 Z 設(shè)置為 1

　　總結(jié)

　　如今大多數(shù)公司采用遠(yuǎn)程工作，網(wǎng)絡(luò)安全團隊已經(jīng)認(rèn)識到個人 VPN 使用帶來的潛在威脅，并相應(yīng)地調(diào)整安全策略。