疫情期间利用OpenVPN开展医院IT远程运维

来源：HIT专家网       作者：湖北省咸宁市中心医院计算机中心  熊卫星

1、需求背景

新型冠状病毒肺炎（简称：新冠肺炎，COVID-19）疫情来势汹汹，打乱了节后正常复工的节奏。IT企业人员无法正常复工，对于高度集成的医院信息系统的运维保障造成一定程度的风险，给医院各项业务工作也会造成一些不便。

战“疫”时刻，减少人员流动是行之有效的阻止疫情扩散手段，但医院信息系统的业务特点是要求信息系统保持连续性。在长时间的应急模式下，如何兼顾工程师安全和疫情救治现场信息系统的维护？远程服务成为抗击疫情的重要举措。

TeamViewer、向日葵等商业远程软件，在无人值守模式下，需要医院提供多台有外网的电脑，也会带来网络安全风险。同时这些商业软件在无人值守的固定密码情况下，会被判断为商业用途，远程时会被阻止。

2、解决方案

在防范疫情的同时，如何实现安全高效的远程沟通、远程运维、远程访问内网应用等不同业务场景，给疫情救治工作提供信息系统的支撑保障，以下是可以考虑的远程运维技术方案。

2.1 OpenVPN软件简介

OpenVPN 是一款开源、跨平台的VPN软件服务程序，是基于 OpenSSL 库的应用层 VPN。与传统VPN相比，它的优点是简单易用。^[1]OpenVPN允许参与建立VPN的单点使用共享金钥、电子证书、或者用户名/密码来进行身份验证。它大量使用OpenSSL加密库中的SSLv3/TLSv1 协议函式库。OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows上运行，并包含许多安全性的功能。

2.2 OpenVPN软件服务部署

在此仅以Ubuntu 18.04为宿主操作系统举例，介绍服务部署过程。Ubuntu宿主操作系统可以是物理机，也可以基于虚拟环境的虚拟机部署。具体安装过程不在此赘述，以下是OpenVPN服务的简便、快速部署方式的操作过程：

Setp 1：安装git

sudo apt-get update

sudo apt-get install git

Setp 2：从github上下载OpenVPN安装脚本

sudo git clone https://github.com/Nyr/openvpn-install.git

Setp 3：运行安装脚本并配置参数

cd openvpn-install/

sudo chmod +x openvpn-install.sh

sudo ./openvpn-install.sh

安装脚本程序时，会检测系统及网络环境。配置参数中OpenVPN连接协议选择UDP、监听端口1194、DNS选择系统当前默认，如图1所示。安装VPN完成随后生成首个电子证书，证书名称如：client。

最后，使用vim编辑器打开配置文件编辑参数。

Sudo vim /etc/openvpn/server.conf

在文件中新增内网访问域IP地址路由，使其连接后可访问对应IP地址资源，如下示例内容，将192.168.20.0/24的IP段资源设置可访问。同理，可继续配置需要访问内网中的资源。

push “route 192.168.20.0 255.255.255.0”

Setp 4：映射外网UDP 1194端口

chain=dstnat action=dst-nat to-addresses=192.168.*.* to-ports=1194 protocol=udp dst-address=58.52.*.* dst-port=1194

为了IP地址的安全起见，将部分内容替换成*号，在部署时可参照自身网络情况替换，其它防火墙或路由器设备可参照以上方式进行端口映射。

Setp 5：证书的发布和维护

sudo ./openvpn-install.sh

第1、2选项可以对电子证书新增、删除等维护功能，完成证书的发布和回收操作，如图2所示。

2.3 OpenVPN软件客户端安装

OpenVPN是个开源、跨平台的软件。下面以Windows平台为例，介绍其客户端的下载、安装、配置过程，其它平台可参照。Windows平台OpenVPN客户端下载地址：

https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.7-I601.exe

双击下载好的程序，打开OpenVPN客户端安装向导，点击下一步即可完成程序的安装，如图3所示。

安装完成后，导入电子证书后，即可完成VPN连接。连接成功后，此时的电脑终端如同在医院内网，在权限内即可进行内网访问，满足了远程运维所需的网络支撑能力。需要注意的是，在向远程运维工程师发送电子证书时，建议采用WinRAR等软件先将电子证书压缩成带密码的压缩包进行传送，然后通过电话方式告之解压密码，以免造成证书泄露的风险。另外，建议与信息系统运维公司签订信息系统保密协议。

3、总结及建议

OpenVPN具备快速、安全的服务部署特点，同时还可以管理内网的访问权限，满足远程办公的业务需求，使医院业务系统正常运行得到有效保障。同时，远程办公用可以减少人员外出，对疫情扩散也是最有效的阻止手段。

另外，实现访问医院内网数据，VNC、Remote Desktop manager等工具无审计、日志记录功能，具有不合规的风险。此时，建立安全的传输通道和运维通道非常关键。建议在使用OpenVPN 的基础上与堡垒机相结合。

通过更改OpenVPN的push route参数限制，仅访问内网域的堡垒机IP地址路由，通过堡垒机对远程访问资源进行授权，监控访问资源操作过程及执行命令进行录像，结合堡垒机Authentication身份认证、Account账号管理、Authorization授权控制、Audit安全审计（4A）的功能，保障远程接入和远程运维安全性。

对于堡垒机的选择也可以选用开源免费的堡垒机系统，如基于Python / Django 进行开发的Jumpserver开源堡垒机，功能强大、构建也很方便，同时还是符合4A的专业运维审计系统。

参考文献

[1]陶利军．构建虚拟专用通道——OpenVPN服务器详解与架设指南（基于Linux） ：清华大学出版社，2012-8-1

【责任编辑：封诚】