VPN 连接真的安全吗？

你好，
我在家工作的时候，用的桌子是一盒爱媛柑橘🍊
来自系统解决方案部的，很可爱。

渐渐地开始感觉像冬天了。
当天气寒冷或恶劣时，我也倾向于远程工作并呆在家里。
虽然现在有回归办公室的趋势，但相信自新冠疫情以来，仍有不少企业引入或推广远程办公。
因此，我认为在家远程访问 VPN 的使用有所增加，但首先使用它们安全吗？

在这篇文章中，我想写一下远程访问VPN的机制和问题。

远程访问VPN的优点和缺点

首先，我们总结一下远程访问 VPN 的基本优点/缺点。

远程访问 VPN 的主要目的是在家中或在旅途中安全地连接到办公室。

接下来，我认为在咖啡馆和其他地方使用不安全的无线标准（例如 WPA）连接到公共 Wi-Fi 时，可以确保安全（尽管在这种情况下，理想的选择是首先不连接...... ）。
（还有Evil Twins攻击 *关于无线连接使用的协议类型，
请参见下面卡巴斯基简洁详细的文章： //www.kaspersky.co.jp/resource-center/definitions/wep- vs-水帕

■优点
主要优点是
数据加密使用VPN，即使您使用咖啡馆等公共网络，与VPN服务器（内部路由器等）的通信也会被加密，因此可以降低被拦截的风险。

此外，如上所述，安全地访问位于办公室内的本地文件服务器和内部系统，并从几乎任何地方获取工作所需的信息。
此外，根据路由设置，即使从外部使用办公室 IP 作为源也可以连接到受 IP 限制的环境（所谓的零路由）。方便。

■缺点
然而，您必须记住的一个缺点，即使您使用 VPN 连接，也不是一切都是安全的。

另一方面， VPN 仅加密从您家到办公室的路由。
超过该点后，即使通过 VPN 访问互联网也将不安全，除非使用 HTTPS 等单独加密。

人们还担心通信速度和连接稳定性。
由于 VPN 连接涉及加密通信和绕行路线，因此连接可能比平常更不稳定。
对加密数据包添加解密/重新加密处理会增加充当 VPN 服务器的路由器的负载，并且在某些情况下，本地 Internet 连接也可能会受到影响。

远程访问 VPN 的工作原理和类型

远程访问 VPN 的方法有多种，每种方法都有不同的优点和缺点。
本段简单介绍一下最常用的。
（每个方法名称都有一个指向“SE Guidepost”文章的超链接。如果您想了解更多信息，请查看。）

[
IPsec/L2TP ] IPsec（Internet 协议安全架构或 Internet 协议安全）是一种对数据包进行身份验证和加密的协议，与 L2TP（第二层隧道协议）结合使用。

身份验证方法：预共享密钥或证书
优点：提供高安全性，并得到许多操作系统的标准支持。
缺点：加密处理对 NAT 环境中的连接有限制，因此根据环境的不同，配置可能会很困难。

从行为上来说，它首先使用L2TP封装数据包，并起到数据链路层隧道的作用。
由于L2TP没有加密功能，其本身不够安全，因此通过IPsec保护该数据包来确保机密性/完整性，并使用AH和ESP等IP协议进行加密/认证。

[
SSL VPN ] SSL VPN 是一种使用 HTTPS 创建 VPN 隧道的方法。
它可以从 Web 浏览器使用，并使用 SSL/TLS 协议加密数据。

身份验证方式：ID/密码、一次性密码、证书等。
优点：可与标准网络浏览器配合使用，即使在 NAT 环境中也能轻松连接。
缺点：依赖网络流量，可能会限制应用程序。

很简单，因为一般都可以使用TCP/443。此外，与 IPsec/L2TP 相比，它需要的处理更少，并且有望具有更稳定的通信速度。
请注意，如果它与其他服务重叠，您将需要更改端口号。

[
IKEv2 ] IKEv2 与 IPsec 结合使用时可提供特别适合移动环境的 VPN。

认证方式：证书认证、EAP（可扩展认证协议）
优点：快速重新建立连接，移动时连接牢固。
缺点：与其他方法相比，很多设备不支持。

VPN真的安全吗？ ～以分层防御的思路～

简介很长，但这是主要部分。

VPN 是提高远程访问安全性的一种选择，但它本身并不能提供完整的保护。
为了保护重要数据和系统，需要融入零信任概念的多层/多层防御

新发现的漏洞（CVE-2024-3661）
2024 年 5 月左右，报告了一种攻击方法，即使连接到 VPN 也会毒害路由表并阻止通信通过隧道。
详细信息： https
该方法使用 DHCP 选项 121，虽然它要求攻击者在网络中拥有恶意的 DHCP 服务器，但
直到现在它还没有被认为是安全的。作为一种威胁以前使用的内网的攻击方法而成为热门话题。

■实际VPN设备成为入口点的案例
另一个我记忆犹新的例子是2022年发生在大阪急症综合医疗中心的事件。
这次攻击导致医院系统关闭，一切都必须手动处理，大约花了一年时间才完全恢复。

根据调查报告， https://www.gh.opho.jp/pdf/report_v01.pdf

这次的入侵路线是通过E连学校午餐中心进行供应链攻击。入侵途径
尚未更新，确认
另外，医院按照C公司的要求，
始终将防火墙Y与E公司的信息系统进行RDP通信（端口号：3389），随后未能检查或改善运行状况
去医院。

以上是报告中“4.2.3.技术因素总结”的引述，但我认为这个案例表明，总部并不是唯一的切入点。
这就是所谓的供应链攻击，从分支机构和关联公司的VPN设备渗透并通过封闭网络扩展到总部的案例经常发生。
这就凸显了一点，
无论你如何加强入口，内网一旦被渗透，都是极其脆弱的因此，即使首先使用远程访问 VPN 对通信进行加密，如果连接客户端已经被感染，则 VPN 也毫无用处。

■零信任概念
零信任基于“不信任”原则（糟糕的理论）验证和验证所有通信、设备和访问网络的用户的概念。
除了 VPN 连接之外，我们还通过结合访问控制、通信确认和双因素身份验证来最大限度地降低风险。

一种具体的解决方案是利用 Azure Active Directory (Azure AD) 等身份验证服务。
使用Azure AD，您可以为每个用户的设备/应用程序设置身份验证策略，并详细控制来自公司外部的访问。
详细信息： https://learn.microsoft.com/ja-jp/azure/security/fundamentals/zero-trust

■除了端点保护和检测之外
，无论您如何保护身份验证和前端部分，不幸的是都不可能完全防止恶意软件入侵客户端，例如PC。
因此，为了应对不太可能发生的入侵或感染事件，使用资产管理软件收集和监控日志并安装端点安全产品几乎变得至关重要
*过去的文章介绍了端点安全的概述▼

・简单的端点安全故事

简单的端点安全故事

概括

VPN 确实方便且功能强大，但认为使用 VPN 就安全的想法是危险的。
远程访问 VPN 仅加密从您家到办公室路由器的通信，但不保护该点之外的互联网通信。
为了确保适当的安全性，重要的是要有一个灵活的设计，融合深度防御、零信任和身份验证基础设施的概念。

顺便说一下，一个有趣的举动是，微软发表了一篇文章
，表示未来将弃用 PPTP 和 L2TP 方式 *PPTP一开始就太脆弱了，所以最好不要使用它，
将来可能会转向SSTP（本文不介绍）以及前面提到的IKEv2。
https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/pptp-and-l2tp-deprecation-a-new-era-of-secure-connectivity/4263956
https://ascii.jp/elem/000/004/227/4227428/#:~:text=%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3 %82%BD%E3%83%95%E3%8 3%88%E3%81%AF%E3%80%812024%E5%B9%B410,%E3%82%92%E6%8E%A8%E5%A5%A8%E3%81%97%E3%81 %A6%E3%81%84%E3%81%8F%E3%80%82

完全的