個人 VPN 服務承諾為用戶流量啟用安全、加密的隧道。這些VPN 服務提供服務，通過加密互聯(lián)網連接并保護用戶的應用程序使用和瀏覽歷史隱私，從而防止其他人通過這些隧道看到內容。VPN 可繞過互聯(lián)網審查，然而，凡事有利必有弊，在實踐中，攻擊者利用VPN或 Tor 瀏覽器這些加密措施掩蓋了攻擊。

　　出于多種原因，網絡可見性很重要，包括通過策略實施提高安全性、減少影子 IT 以及快速檢測惡意或可疑活動，它可以增強企業(yè)的應用程序分析并幫助做出明智的決策。

　　企業(yè)經常使用諸如 Palo Alto Networks Next-Generation Firewalls 等工具來獲得對網絡流量的巨大可見性。企業(yè)可能會嘗試獲得深入到數據包、應用程序和用戶級別的可見性。

　　此時，我們評估個人 VPN 應用程序及其對企業(yè)內網絡可見性的風險和威脅。我們將討論這些應用程序和服務如何繞過防火墻以繞過安全和策略執(zhí)行機制。

　　Palo Alto Networks 客戶可以通過使用下一代防火墻 App-ID 來保持完整的網絡可見性，這有助于識別和清理網絡中的個人 VPN。

　　在企業(yè)網絡上使用個人 VPN的主要風險

　　通過VPN，用戶可以訪問一些無法訪問的網絡資源。VPN 的開發(fā)是為了允許不同地方的公司通過互聯(lián)網加密通道連接其內部網絡。它們通常用于工作場所，為沒有物理連接到公司網絡的用戶（如遠程工作者）提供對資產和設備的訪問。但是，現(xiàn)在每個人都可以輕松使用 VPN。盡管如此，普通用戶通常不會考慮在公司設備上使用個人 VPN 的風險。

　　關于 VPN 的數據安全和隱私，在大多數情況下，用戶必須簡單地信任他們的 VPN 提供商，因為網絡隧道是由提供商運營的。此外，提供商可以查看用戶訪問了哪些網站，包括未加密的數據，以及他們訪問的頻率。該數據可以被存儲，其中一些對廣告和營銷公司來說是有價值的，他們利用上網行為將廣告?zhèn)鬟f給正確的目標受眾。VPN提供商可以從用戶那里收取訂閱費，并將用戶的網絡消費數據出售給廣告業(yè)，從而使用戶和企業(yè)翻倍。在更極端的情況下，他們甚至可能向政府當局提供用戶數據。

　　攻擊者不斷掃描易受攻擊的網絡以尋找攻擊機會。如果攻擊者成功入侵企業(yè)中的一臺計算機，則整個網絡都可能面臨風險。企業(yè)使用其域名系統(tǒng) （DNS）、企業(yè)數據丟失防護 （DLP） 和代理服務器作為對策，它們在保護用戶、數據和通信方面發(fā)揮著重要作用，忽略其中任何一項都會降低網絡可見性并危及企業(yè)。

　　代理服務器的主要用途之一是防止員工訪問不合適和不安全的網站，并監(jiān)控流量。此外，代理服務器保護企業(yè)終端免受與惡意命令和控制（C2）服務器的通信。但是，通過VPN，用戶可以繞過這一保護。例如，如果員工的計算機在使用VPN時受到感染，網絡安全團隊將無法看到發(fā)送到C2服務器的數據。

　　內部威脅對企業(yè)安全構成的風險幾乎與外部入侵者一樣嚴重。私人或個人 VPN 允許員工繞過網絡安全團隊設置的安全措施和權限。VPN 會使在線活動容易受到黑客的攻擊。此外，IT團隊失去了對員工活動的完全可見性，例如，當用戶瀏覽不安全或被禁止的網站時，他們會隱藏起來。

　　已知的 VPN 漏洞

　　2021年第一季度，針對Fortinet的SSL-VPN攻擊增加了1916%、Pulse Connect Secure VPN的攻擊增加了1527%。這些漏洞幫助攻擊者訪問企業(yè)網絡，一旦他們進入，就可以竊取信息并部署勒索軟件。

　　我們根據 PC Magazine 的報告列出了 2021 年最佳 VPN 產品，并檢查了它們在過去幾年中存在的已知漏洞數量，如下圖 所示。

　　PC Magazine評選的 2021 年最佳 VPN 產品，這些服務中的已知漏洞數量以及 CVE 和嚴重性信息

　　VPN 應用程序如何繞過防火墻？

　　考慮到它們可能會在企業(yè)的網絡中引入漏洞，VPN應用程序的功能包括試圖繞過防火墻，這是令人擔憂的。VPN不能使在線連接完全匿名，然而，VPN通常通過隧道進入其他協(xié)議并使用加密技術。VPN服務提供商可以使用IPsec （Internet Protocol Security）、SSL/TLS （Transport Layer Security）、DTLS （data agram Transport Layer Security）、MPPE （Point-to-Point Encryption）、SSTP （secure Socket Tunneling Protocol）、SSH/OpenSSH （secure Shell VPN）、OpenVPN和WireGuard等安全的VPN協(xié)議。然而，這些都是合法使用VPN的安全且定義良好的協(xié)議，這對個人 VPN 服務提供商而言是不利的。因為這些都是已知的協(xié)議，它們很容易被企業(yè)或政府屏蔽，這與VPN提供商向客戶承諾的100%安全連接和可用性相矛盾。

　　VPN提供商盡其所能在網絡中保持不被發(fā)現(xiàn)，利用使用諸如交換端口或服務器或從協(xié)議跳轉等方法。例如，基于OpenVPN的VPN服務讓用戶可以選擇將傳輸協(xié)議更改為傳輸控制協(xié)議（TCP）或用戶數據報協(xié)議（UDP）。然而，在保持完全可用性以服務客戶的同時保持不被發(fā)現(xiàn)的需求遠不止于此。一些VPN公司專門為繞過企業(yè)或政府的封鎖而設計他們的專有協(xié)議。

　　接下來，我們將回顧一些 VPN 產品使用的繞過技術。

　　自簽名證書

　　下圖說明了 Hotspot Shield（VPN軟件） 如何使用偽造的自簽名證書來繞過防火墻的流量。但是，它可以通過檢查 TLS 密碼套件信息、端口號和觀察與正版證書不同的模式等方法來識別。

　　Hotspot Shield 使用偽造的自簽名證書來繞過防火墻

　　通過HTTP 流量繞過防火墻

　　一些 VPN 應用程序試圖通過發(fā)送看似簡單的 HTTP 流量的流量來繞過防火墻。然而，只需要通過仔細檢查，可以識別它們的特征，例如身份驗證標頭或編碼、HTTP 請求方法或端口號，以及請求標頭中的其他不同信息，這些可用于識別此類應用程序。

　　下圖顯示擁有超過 200 萬用戶的 SetupVPN 使用 HTTP 代理授權標頭向其服務器驗證用戶身份。解密標頭提供了有關 SetupVPN 應用程序的有用信息。

　　SetupVPN 使用 HTTP 代理授權標頭向其服務器驗證用戶身份

　　模仿通用協(xié)議

　　VPN 應用程序使用眾所周知的端口發(fā)送通信以繞過防火墻并導致防火墻實施的錯誤識別以通過防火墻。例如，擁有超過 1000 萬用戶的 Thunder VPN 使用 UDP 端口 53（以用于 DNS 著稱）和 TCP 端口 443（以用于基于 TLS/SSL 的 HTTP 協(xié)議而聞名）。

　　Thunder VPN 通過使用端口和握手類型來模擬 SSL 流量

　　從上圖可以看出，Wireshark將Thunder VPN發(fā)送的443端口的流量誤識別為SSL。Thunder VPN通過使用相同的端口和握手類型來模擬SSL流量。

　　Thunder VPN 還使用端口 53 來繞過使用所有網絡中通常允許的默認 DNS 端口的流量。此外，DNS 保留標志 Z 并設置為 1，在此應用程序發(fā)起的流量中的所有 DNS 查詢和響應中，該標志必須為零。通過Thunder VPN發(fā)送的53端口UDP流量如下圖所示。

　　端口 53 上的 Thunder VPN UDP 流量，DNS 保留標志 Z 設置為 1

　　總結

　　如今大多數公司采用遠程工作，網絡安全團隊已經認識到個人 VPN 使用帶來的潛在威脅，并相應地調整安全策略。