就Radware安全专家而言，已经历了长达15年之久的远程办公，尽管已经不再像10年前那样依赖远程VPN客户端，但在处理许多公司资源时，仍需连接到公司的VPN上，如Radware的黑客实验室。

　　随着COVID-19的大流行，许多IT企业发现，由于多数员工选择(或被强制)在家工作，他们自己不得不仓促地应对VPN流量的突然激增。遗憾的是，这也为恶意攻击者通过对企业VPN基础架构本身发起各类攻击来破坏目标提供了绝佳机会。

　　多数企业采用的是陈旧过时的远程VPN应用和运行在星型连接架构中的集线器。这是因为VPN一直被视为IT基础架构中“填补空白”的部分，适合出差的员工或在非工作时间访问公司资源的人使用。预计通过VPN访问的流量只占IT总流量的一小部分。

　　事实上，Radware在制药行业的一个重要客户已经为应对当前这种情况做好了准备。他们预料到了多数员工不得不在家办公这种情况，并围绕这一设想设计了DDoS防御措施。不仅如此，他们还雇佣了外部的DDoS测试公司攻击VPN基础架构，衡量不同组件的弹性。

　　以下就是他们在对VPN基础架构的DDoS攻击中得到的经验教训。

　　Lesson #1

　　即使是低容量攻击，也可以轻易耗尽VPN集线器和防火墙中的资源。

　　即使攻击容量低至1 Mbps，经过优化的TCP混合攻击依然能够让网络防火墙处于无法处理更多新连接的状态，在这些攻击中，攻击者可以发送少量带有SYN标志的TCP数据包、另一批次的带有ACK标志的TCP数据包、另一组URG数据包等。由于没有触发容量阈值，因此多数DDoS防御措施也不会被触发。

　　为了防御这类攻击，企业需要调整主机、防火墙和DDoS策略。许多网络防火墙都有“SYN防御”或“初始连接”功能，可以防御SYN洪水。针对DDoS策略，可以采用能够进行失灵数据包检测和预防功能。

　　遭受到攻击时，与基于云的DDoS服务相比，本地DDoS缓解设备通常有更多的优化选项，因为这些策略完全由客户控制，不会与云中的其他客户共享。最后，如果企业采用了速率限制，最好设置与期望的VPN连接数相匹配的阈值;许多缓解设备也都会有一些不适合VPN应用的缺省参数。

　　Lesson #2

　　SSL VPN很容易遭受SSL洪水攻击，Web服务器也一样。

　　其中两个DDoS测试就是SSL洪水攻击的变体。第一个攻击是高容量的SSL连接洪水。此攻击会尝试利用高容量的SSL握手请求来耗尽服务器资源。

　　为了防御这种攻击，就必须仔细监控防火墙、VPN集线器和负载均衡器等状态设备的TCP会话和状态。此外，创建基线并设置针对此基线的预警将有助于在实际攻击中排除故障。

　　针对防火墙，可以采用“并发连接限制”之类的功能，减少没有任何数据包连接时的会话超时。针对DDoS策略，可以从给定的源IP地址并发建立数量有限的连接。此外，减少会话超时来释放防火墙中的连接表。

　　最后，Radware提供了两个有助于解决本地和云端SSL洪水的专利防御机制：DefenseSSL可以利用行为分析识别可疑流量，随后激活盒装式SSL模块进行解密。通过一系列仅用于可疑流量的质询响应机制，可以识别并缓解攻击。如果客户通过了所有质询，就允许后续的HTTPS请求直接到达受保护服务器，从而在客户端和受保护服务器之间创建新的TLS/SSL会话。

　　这一独特的部署模型使得解决方案可以实现和平时期的零延迟，并在遭到攻击时将延迟降到最低——仅限于每个客户端的第一个HTTPS会话。针对无法使用证书解密的情况，可以采用行为SSL保护。这可以在不解密SSL连接的情况下防御SSL洪水。

　　第二个SSL攻击是SSL重新协商洪水。SSL/TLS重新协商攻击利用了在服务器端协商安全TLS连接所需的处理能力。它向服务器发送虚假数据，或不断请求重新协商TLS连接，超出服务器极限之后就会耗尽服务器资源。

　　为了防御这种攻击，请禁用服务器上的SSL重新协商。还应该禁用弱密码套件。另一个选择就是采用SSL卸载，利用高容量的外部负载均衡器释放防火墙或VPN集线器资源。Radware可以在本地和基于云的部署中防御这类攻击。

　　Lesson #3

　　VPN很容易遭受UDP洪水攻击。

　　其中两个攻击场景都包括UDP洪水。一个是随机UDP洪水，第二个是IKE洪水。IKE可以用在IPSec VPN中，用于身份验证和加密。

　　由于UDP端口数是随机的，可以采用基于行为的DDoS防御机制，如Radware的BDoS，能够利用实时特征码生成检测UDP洪水。

　　Lesson #4

　　必须进行监控和预警。

　　缓解多个攻击需要对DDoS策略、网络防火墙和VPN集线器的实时可见性并调整调整其参数。为了准确调整阈值，就必须全面了解企业正常的VPN流量，包括容量(以Mbps或Gbps计)和预期的正常连接数。利用SIEM可以更容易监控不同设备上的连接。此外，如果了解正常基线，减少会话超时和速率限制等实时措施是最好的。

　　虽然上述经验教训来自于一个可控的DDoS测试，但测试中使用的多个攻击矢量都与人们可以预期的来自恶意实体的攻击矢量类似。当企业争相增加VPN容量来支持越来越多的远程员工时，切记不要忘记部署DDoS防护措施。

　　确保企业安然无恙——希望企业在安全加密链路的另一端也变得更强大。

　　责任编辑:张华