隨著COVID-19的大流行，許多IT企業(yè)發(fā)現(xiàn)，由于多數(shù)員工選擇（或被強(qiáng)制）在家工作，他們自己不得不倉促地應(yīng)對VPN流量的突然激增。遺憾的是，這也為惡意攻擊者通過對企業(yè)VPN基礎(chǔ)架構(gòu)本身發(fā)起各類攻擊來破壞目標(biāo)提供了絕佳機(jī)會。

　　多數(shù)企業(yè)采用的是陳舊過時(shí)的遠(yuǎn)程VPN應(yīng)用和運(yùn)行在星型連接架構(gòu)中的集線器。這是因?yàn)閂PN一直被視為IT基礎(chǔ)架構(gòu)中“填補(bǔ)空白”的部分，適合出差的員工或在非工作時(shí)間訪問公司資源的人使用。預(yù)計(jì)通過VPN訪問的流量只占IT總流量的一小部分。

　　事實(shí)上，Radware在制藥行業(yè)的一個重要客戶已經(jīng)為應(yīng)對當(dāng)前這種情況做好了準(zhǔn)備。他們預(yù)料到了多數(shù)員工不得不在家辦公這種情況，并圍繞這一設(shè)想設(shè)計(jì)了DDoS防御措施。不僅如此，他們還雇傭了外部的DDoS測試公司攻擊VPN基礎(chǔ)架構(gòu)，衡量不同組件的彈性。

　　以下就是他們在對VPN基礎(chǔ)架構(gòu)的DDoS攻擊中得到的經(jīng)驗(yàn)教訓(xùn)。

　　即使是低容量攻擊，也可以輕易耗盡VPN集線器和防火墻中的資源。

　　即使攻擊容量低至1 Mbps，經(jīng)過優(yōu)化的TCP混合攻擊依然能夠讓網(wǎng)絡(luò)防火墻處于無法處理更多新連接的狀態(tài)，在這些攻擊中，攻擊者可以發(fā)送少量帶有SYN標(biāo)志的TCP數(shù)據(jù)包、另一批次的帶有ACK標(biāo)志的TCP數(shù)據(jù)包、另一組URG數(shù)據(jù)包等。由于沒有觸發(fā)容量閾值，因此多數(shù)DDoS防御措施也不會被觸發(fā)。

　　為了防御這類攻擊，企業(yè)需要調(diào)整主機(jī)、防火墻和DDoS策略。許多網(wǎng)絡(luò)防火墻都有“SYN防御”或“初始連接”功能，可以防御SYN洪水。針對DDoS策略，可以采用能夠進(jìn)行失靈數(shù)據(jù)包檢測和預(yù)防功能。

　　遭受到攻擊時(shí)，與基于云的DDoS服務(wù)相比，本地DDoS緩解設(shè)備通常有更多的優(yōu)化選項(xiàng)，因?yàn)檫@些策略完全由客戶控制，不會與云中的其他客戶共享。最后，如果企業(yè)采用了速率限制，最好設(shè)置與期望的VPN連接數(shù)相匹配的閾值；許多緩解設(shè)備也都會有一些不適合VPN應(yīng)用的缺省參數(shù)。

　　SSL VPN很容易遭受SSL洪水攻擊，Web服務(wù)器也一樣。

　　其中兩個DDoS測試就是SSL洪水攻擊的變體。第一個攻擊是高容量的SSL連接洪水。此攻擊會嘗試?yán)�用高容量的SSL握手請求來耗盡服務(wù)器資源。

　　為了防御這種攻擊，就必須仔細(xì)監(jiān)控防火墻、VPN集線器和負(fù)載均衡器等狀態(tài)設(shè)備的TCP會話和狀態(tài)。此外，創(chuàng)建基線并設(shè)置針對此基線的預(yù)警將有助于在實(shí)際攻擊中排除故障。

　　針對防火墻，可以采用“并發(fā)連接限制”之類的功能，減少沒有任何數(shù)據(jù)包連接時(shí)的會話超時(shí)。針對DDoS策略，可以從給定的源IP地址并發(fā)建立數(shù)量有限的連接。此外，減少會話超時(shí)來釋放防火墻中的連接表。

　　最后，Radware提供了兩個有助于解決本地和云端SSL洪水的專利防御機(jī)制：DefenseSSL可以利用行為分析識別可疑流量，隨后激活盒裝式SSL模塊進(jìn)行解密。通過一系列僅用于可疑流量的質(zhì)詢響應(yīng)機(jī)制，可以識別并緩解攻擊。如果客戶通過了所有質(zhì)詢，就允許后續(xù)的HTTPS請求直接到達(dá)受保護(hù)服務(wù)器，從而在客戶端和受保護(hù)服務(wù)器之間創(chuàng)建新的TLS/SSL會話。

　　這一獨(dú)特的部署模型使得解決方案可以實(shí)現(xiàn)和平時(shí)期的零延遲，并在遭到攻擊時(shí)將延遲降到最低——僅限于每個客戶端的第一個HTTPS會話。針對無法使用證書解密的情況，可以采用行為SSL保護(hù)。這可以在不解密SSL連接的情況下防御SSL洪水。

　　第二個SSL攻擊是SSL重新協(xié)商洪水。SSL/TLS重新協(xié)商攻擊利用了在服務(wù)器端協(xié)商安全TLS連接所需的處理能力。它向服務(wù)器發(fā)送虛假數(shù)據(jù)，或不斷請求重新協(xié)商TLS連接，超出服務(wù)器極限之后就會耗盡服務(wù)器資源。

　　為了防御這種攻擊，請禁用服務(wù)器上的SSL重新協(xié)商。還應(yīng)該禁用弱密碼套件。另一個選擇就是采用SSL卸載，利用高容量的外部負(fù)載均衡器釋放防火墻或VPN集線器資源。Radware可以在本地和基于云的部署中防御這類攻擊。

　　VPN很容易遭受UDP洪水攻擊。

　　其中兩個攻擊場景都包括UDP洪水。一個是隨機(jī)UDP洪水，第二個是IKE洪水。IKE可以用在IPSec VPN中，用于身份驗(yàn)證和加密。

　　由于UDP端口數(shù)是隨機(jī)的，可以采用基于行為的DDoS防御機(jī)制，如Radware的BDoS，能夠利用實(shí)時(shí)特征碼生成檢測UDP洪水。

　　必須進(jìn)行監(jiān)控和預(yù)警。

　　緩解多個攻擊需要對DDoS策略、網(wǎng)絡(luò)防火墻和VPN集線器的實(shí)時(shí)可見性并調(diào)整調(diào)整其參數(shù)。為了準(zhǔn)確調(diào)整閾值，就必須全面了解企業(yè)正常的VPN流量，包括容量（以Mbps或Gbps計(jì)）和預(yù)期的正常連接數(shù)。利用SIEM可以更容易監(jiān)控不同設(shè)備上的連接。此外，如果了解正常基線，減少會話超時(shí)和速率限制等實(shí)時(shí)措施是最好的。

　　雖然上述經(jīng)驗(yàn)教訓(xùn)來自于一個可控的DDoS測試，但測試中使用的多個攻擊矢量都與人們可以預(yù)期的來自惡意實(shí)體的攻擊矢量類似。當(dāng)企業(yè)爭相增加VPN容量來支持越來越多的遠(yuǎn)程員工時(shí)，切記不要忘記部署DDoS防護(hù)措施。

　　確保企業(yè)安然無恙——希望企業(yè)在安全加密鏈路的另一端也變得更強(qiáng)大。