大型内网安全风险与应对策略浅析

前言
大型内网在国民生活与生产中广泛存在，主流技术是使用光纤、VPN路由器、交换机的方式组网，现行IP技术以IPv4为主，IP地址冲突时辅以NAT方式。这些技术让许多问题得以解决，创造了大量价值，但由于人为与技术两方面因素，安全事故仍然不绝于耳，本文希望对工作中遇到的常见问题进行分类，让读者了解安全风险以及应对策略。
此外全球与国内政府都在积极推行IPv6，虽然解决了NAT问题，但仍然会面临大型内网的精细化管理问题，这个在本文中也会简单涉及。

一、什么是大型内网？
大型内网：基于应用服务、资源共享与通信等需求，将多个局域网连接为一个大型的局域网。局域网（LAN，Local Area Network）是指在某一区域内由多台计算机互联成的计算机组，组网目的是为了能够让用户计算机连接在一起，共享局域网内的资源与服务。狭义上指有限物理空间的内部网络，由于通信技术的发展，广义上的局域网本质还是局域网，只不过用户与计算机数量更多，可连接多个地方的局域网形成大型内网，本文所指内网均为此。
第一种是多个C类局域网通过多种交换机、光纤网络组成B类或A类局域网；
第二种是本地有C类甚至B类局域网，并且数量众多，通过VPN技术与光纤技术与总部网络相连，组成一个大型跨地区的局域网，网络中存在多个相同IP时，需经过路由器NAT（Network Address Translation）进行端口映射。

二、大型内网的作用
大型内网应用广泛，作用较多，下面列举几项常见的作用：
数据传输：主要是从底层设备数据向上面节点传输；
应用服务：ERP、CRM、OA、邮件等IT应用、MES、PLM、SCADA等工业应用；
资源共享：内网的所有计算机资源、文件系统、服务器资源、带宽资源；
保密性高：仅为授权用户提供服务，确保内网资料与信息处于安全状态。

三、谁在使用大型内网？
大型局域网由多个局域网组成，这些局域网由于业务特点、历史原因等多方面因素，物理上并不在一个地方，因此通常需要通过光纤、Internet与VPN组成大型局域网。这个需求广泛存在于生产生活中，本文主要涉及以下几种。
企业：由总部搭建内网核心，分部与在外出差的员工，他们可通过IPSec或OpenSSL VPN客户端接入总部局域网，接入企业的ERP、OA、CRM、邮件系统；
集团工厂：大型制造企业的工厂分布在各地的情况越来越多，总部与分厂之间应用服务，如ERP、MES等信息必须同步，这不仅涉及到办公网络（Office LAN），还包括工厂网络（Factory LAN）。
公共事业：水、燃气、电力等与民生紧密相关的行业应用，这些行业的设备处于高度分散的状态，范围从街道、区、市、省、全国甚至全球。基层节点、关键节点、总部需要构建网络共享信息与资源。
其他：银行、政府等，本文不展开讲述。

四、大型内网的技术特点
内网的搭建可使用许多技术，本文主要描述目前最常用的方法，总部搭建VPN服务器，分部通过光纤、VPN的方法接入总部网络，底层设备经过NAT内网IP到上级所使用的地址接入网络。对于需要临时开放访问需求，又不想去总部申请开发VPN权限的，通过DDNS、QQ与Teamviewer的方式临时开放内网资源。总部也希望加强监管，通过VLAN的方式设置关键区域的准入，但其他区域由于节点众多，平时需求也频繁则无法精细化管理。大体的结构可参考下图。

关键词：IPV4、VPN、NAT、DDNS、VLAN
IPv4：互联网协议（Internet Protocol，IP）的第四版，也是第一个被广泛使用，构成现今互联网技术的基础的协议。由于IPv4总共只能为全球提供43亿个公网IP地址，IPv6正处在不断发展和完善的过程中，它在不久的将来将取代目前被广泛使用的IPv4。但即使如此，内网仍存在权限精准分配的难题。
VPN：IPSec与OpenSSL技术是两种使用最广泛的VPN方案。IPSec由于对端口要求、部署时技术要求高、安全性能的特点得到许多机构的认可，例如跨国企业、银行等。Open SSL是开源技术，许多厂家基于这个技术开发了具有自身特性的VPN产品，由于防火墙友好性、部署灵活的特点深受中小型企业、公共行业青睐。
NAT：Network Address Translation，网络地址转换。主要用于两个或以上局域网通信时，将一个局域网的地址转换为另外一个局域网能通信的IP地址。当NAT的目标网络为公网时，该转换常被大家叫做映射公网IP地址。
DDNS：我们先从DNS说起，Domain Name System，域名系统是互联网的基础服务之一，由于IP地址常人难以记忆，DNS原理是将域名翻译为一个IPv4的IP给计算机处理。我们浏览网页必须输入的URL，例如www.baidu.com。 由于IP资源紧张，NAT映射后的IP地址可能是ISP运营商的内部IP或者定期会变动的公网IP，DDNS起的作用就是将一个域名与这个动态变动的内部IP或者公网IP绑定在一起，提供动态的解析服务。国际上Dyndns用得广泛，国内则是花生壳。
VLAN：当内网变得越来越大，安全风险则陡升。为了避免内部监听以及内网服务的坍塌，VLAN虚拟局域网技术应运而生，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵，同时也增加了对操作人员的技能要求。

五、安全风险及应对策略
大多数安全风险的根本因素是技术与人为两个方面，技术方面是指由于技术限制造成的漏洞与风险，人为因素指人为操作、管理疏忽对内网带来的风险。由于人为因素并不能完全通过技术的手段解决，因此通过技术与管理双管齐下才能真正解决问题。我们下面讨论最常见的可能性。
人为因素：虽然技术日渐成熟，但由于许多管理机制、权限分配与操作均由人来完成，因此这部分为内网安全中最薄弱的环节，例如缺乏意识、操作不合规、主观疏忽、管理漏洞、规避复杂行政审批环节。下面几点均是工作部署中在客户内网中发现的典型现象，有一些现象足够多，单独列出。

1.弱密码登陆
A.描述：用户名与密码的组合是权鉴方案的热门选择，只需要填写正确的用户名与密码即可，但很多用户甚至管理员并没有安全意识，用户名使用admin、Administrator等默认账号，密码有时候使用纯数字或者容易猜测的组合。此外许多的系统并未开启抵抗暴力破解的防御功能。
B.潜在风险：黑客可通过扫描端口的方式找到登陆界面，通过暴力破解的方式多次验证用户名与密码组合，达到登陆如内网的目的。
C.应对策略：
I.设置高强度的密码组合，避免设置容易猜测的用户名与密码
II.设置暴力破解次数，连续输入n次密码后将锁定该账户或者IP等方式
III.通过双因素甚至三因素权鉴（X.509证书、密码与短信）的方式，加强登陆安全，防止人为错误

2.管理机制漏洞
A.描述：有人的地方就有江湖。如果同事，甚至上级向内网管理员要求某些权限时，人情这个问题对于管理员来说是一个很难绕过去的坎。对此许多管理机制并没有甚至无法明确规定具体的操作细则，导致在内网安全管理上主观地处理问题，讲人情的情况时有发生。
B.潜在风险：这些“人情”操作容易让系统陷于风险中，让此前良好的风险管控机制形同虚设。
C.应对策略：
I.封堵管理机制漏洞：让人情无法渗入该体系；
II.精细级溯源日志：让系统自动记录所有操作的信息，当问题出现时可以快速定位问题所在，并且通过这种信息规范操作人员的行为，提高安全质量管理。VPN技术的日志只能到网关级，在此方面仍存在缺陷。

3.人为疏忽
A.描述：这种错误可能是非主观的，因为开发端口是合规的操作，但事后由于各种原因是忘记做某事。
B.潜在风险：人为疏忽有非常多的表现形式，但实际中来看是因为工作忙，遗忘等原因，将之前开放了的端口，忘记关闭了，导致该端口一直对外开放，容易被黑客通过自动扫描的方式获取，进而危险内网。
C.应对策略：
I.减少人员操作的必要：人为需要操作的地方越少越好，系统通过预设的策略运作。拿端口开放与关闭举例，通过软件或者硬件机制来确保端口开放均为自动，无需人为操作，这样系统管理员可以通过设定策略来确保安全系数。

4.知识与技能要求高
A.描述：内网管理需要具备全面的知识与技能，许多操作员甚至管理员对许多问题都是一知半解，因此容易犯错。另外有些内网操作系统在设计时考虑不周，使用起来困难重重。
B.潜在风险：误操作可能会导致系统安全无法保障
C.应对策略：
I.技术友好性：选择方案时，应当选择足够的简单易用，无需专业和深入技术要求的解决方案，这样能够让大多数人快速上手使用。
II.有效的培训体系：能够让操作与管理人员实际能掌握的培训，并且定期认证确保应试型培训。

5.安全意识不足
A.描述：由于项目实施与交付更多是对功能的考核，因此对操作人员的软技能，例如安全意识，操作技能等无法做到高质量的交付，导致项目开头良好，但是随着时间推移，问题越来越多的情况。以下行为都是没有安全意识造成的：
I.开放端口：将内网IP与端口暴露在公网，让外部的人员更容易访问
II.Teamviwer或QQ的远程桌面：为了工作方便，开放此类软件，容易被黑客利用，攻陷全部内网。
III.使用盗版系统：在网上下载的Ghost或者老毛桃之类的订制系统，里面存在大量的木马程序，这样容易让内部信息泄露。
B.潜在风险：对所做操作可能产生的后果，了解不足，导致高危操作不知情。
C.应对策略：
I.安全意识培训：加强此类培训，强化不同级别的安全责任
II.权限管理机制：级别与风险对等，级别越高，承担的风险越高，并通过系统将权限集中管理起来，统一进行分配；
III.系统风险提示：在确保流程顺畅与办事效率的前提下，进行高风险操作时进行警告、二次确认等方式；
IV.管理机制：杜绝一些明显错误的行为，例如对外开放端口等。

6.内部流程繁琐：
A.描述：流程是用于控制风险的良好方式，但必须注意尺度，过于宽松与繁琐的内部流程都无法确保系统安全，过犹不及的案例比比皆是。
B.潜在风险：许多内网应用申请必须经过总经理或者层层审批才可以审批，一是难度极高，二是耗时很久。由于下属KPI的压力，有时候会“走捷径”，通过“Bypass”绕过的方式避免审批。例如管理严格的内网不允许任何外部人员接入，但是有些问题内部人员无法解决，且外部专家无法按照约定的时间前来服务，这时单独拉光纤或者在不能联网的区域打开个人手机热点让外部人员接入，这些不合规的行为造成的后果远比正常审批后得到的结果危害大，但却被无奈地当作救命稻草，且管理层并没有足够了解它的危害。
C.应对策略：
I.精细化权限分配：由于安全因素的考量，审批权限在公司高层，操作权限在IT，但这两类人都远离一线，在做判断时只能依靠下属上报的信息，另外由于并非专业范畴，有时候难以作出准确判断。建议让IT负责IT部分的权限，自动化与生产人员负责生产环节的权限，让他们各司其职，确保在问题的源头即可解决问题。
II.可追溯日志：将权力关进制度的笼子，对于权限过大的问题，如果有一套客观的Audit日志监控，将极大地提高操作行为质量管理，让权限管理有据可依。这种日志应该是无法删除的，具备客观属性。
III.建立特事特办的机制：对于特别着急的事情，应该有紧急通道，确保问题得到解决，这在危及生命或者安全的事情上尤其应该得到体现。
IV.简化流程：扁平化的结构和简化的流程让信息更快得到传递，也将提高问题解决的效率。

7.权限过度
A.描述：由于操作繁琐，有些内网管理员并未根据要求设置VLAN、端口限制等，造成用户登录到内网可以访问整个内网的资源与应用。这种过度权限如果被人利用或者操纵，对内网安全构成根本性威胁。
B.潜在风险：非授权的人员进入内网将获得整个网络的访问权，危害巨大。大型局域网需要具备从外网访问的可能性，通常采用CA证书或者域的方式限制外部的非授权访问。由于有严格的接入标准，因此一旦接入内网后，内部的权限一般不会做太多限制，因此在具备CA证书与SSL加密的网络，此种风险尤为突出。由于该网络未做细颗粒度的权限管理，局域网的一般用户也可以访问所有设备，容易造成敏感信息暴露。
C.对应策略：
I.精细化权限分配：由于安全因素的考量，此前审批权限在公司高层，操作权限在IT，但这两类人都远离一线，在做判断时只能依靠下属上报的信息，由于不属于专业范畴，其实有时候难以作出准确的判断。建议让IT负责IT部分的权限，自动化与生产人员负责生产环节的权限，让他们各司其职，确保在问题的源头即可解决问题。
II.可追溯日志：将权力关进制度的笼子，对于权限过大的问题，如果有一套客观的Audit日志监控，将极大地提高操作行为质量管理，让权限管理有据可依。这种日志应该是无法删除的，具备客观属性。
技术因素：技术在不断发展，但有些技术的起源是为了解决某一些问题，如果希望它去解决所有的问题，那可能最终会变得四不像。VPN起源的时候是让企业总部与分公司之间形成一个安全内网，因为应用服务都比较常规，需要开通的端口也相对有限，无非是25的SMTP邮件端口，80的上网端口，3389的远程桌面端口等。但现在的内网不仅仅是企业用户，更多的工厂自动化、公共事业、政府、银行等用户，他们对安全以及技术的要求各有不同，因此要找到一个完美的方案，还需要仔细斟酌。下面列举几个常见的技术风险因素。

8.全内网监听的可能性
A.描述：局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。
B.潜在危害：黑客可通过监听的方式，窃取突破口，攻击内网中薄弱环节，进而获取更高的操作权限。
C.对应策略：可通过VLAN、MAC地址绑定、端口封锁、使能多播的方式进行；但由于内网组成一般为星形、树形等结构，攻击点偏多，需要加固的难度比集中化管理大，因此可以通过建立堡垒机或者中央服务器的方式强化安全围栏高度，让内网监听不能轻易得手。

9.没有设备级日志信息：
A.描述：VPN方案无法记录底层设备级别的痕迹，只能做到网络级别
B.潜在危害：无法知晓最底层的日志，无法定位问题的根源
C.对应策略：
I.找到支持设备级日志Audit记录的解决方案

10.LAN与WAN界面间的安全保障：
A.描述：底层设备的安全是首要考虑。一般VPN网络无法完全将LAN与WAN接口间进行隔离。有些节点通过公共网络接入内网，公共网络存在的风险和干扰很多，容易通过WAN口找到LAN口资源。
B.潜在危害： 在安全系数低的WAN口，黑客可以容易找到能够没有完全隔离的LAN口资源，并且通过这些接口获得更高权限。
C.对应策略：
I减少使用不信任网络接入点：近墨者黑，离不安全的网络远点，可以避免此类风险，但打铁还需自身硬，这只能算是安全最佳实践之一。
II.确保WAN与LAN完全隔离：通过防火墙的方式将这两个端口进行良好隔离，比较繁琐，且都是分布式的站点操作，未来实施存在不可控性风险。最好找到原生就完全隔离的解决方案。
III.减少使用NAT：由于NAT将内网的资源暴露到公网，导致这种隔离有点画蛇添足的味道，如果希望内网安全，务必能够下定决心。

结束语：
内网的应用是一个系统性工作，不是通过某种技术或者方案就能完美解决的问题，它涉及到企业管理流程、权限分配机制、奖惩规定、日常操作指南、培训计划、应急方案、日常监控运维、技术更新、外部人员接入指南等多方面，决策者应该全盘考虑，从大处着眼，小处着手，扎实地建设好大型内网，为企业运营提升效率，创造价值。
作者：彭军，广州西肯麦自动化科技有限公司