避免VPN安全漏洞详解

楼主^#

更多发布于：2011-12-06 14:17

[] 1


	如何避免VPN安全漏洞（一）　　对广域网的远程用户而言，虚拟专网(VPN)应该是安全的连接，但是因为许多明显的漏洞，致使许多企业质疑VPN的安全性。Rainer Enders是NCP engineering在美洲地区负责VPN安全的CTO，在本篇对他的采访报道中，大家将会了解到VPN安全漏洞是如何产生的，如何消除这种风险。　　VPN安全漏洞通常如何产生？　　Rainer Enders:尽管VPN号称是一种安全的技术，但是我认为许多方法会破坏其安全性。　　一种常见的方式是中间人攻击，主要发生在人们访问无线或有线局域网(或广域网)的时候。黑客可以通过内部访问来窥探连接、收集该连接的信息。同时，如果他能够获得许可证书的话，还可以利用它发起攻击。　　第二种潜在的漏洞可能来自于物理访问或监听支持VPN的设备。如果有人遗失了他们的笔记本电脑或移动设备，同时这些设备支持VPN的话，这种情况就有可能发生。VPN客户端可能配置为非最佳模式，将许可证书保存在设备本地，而黑客所需要做的仅仅是点击“连接”，甚至可能连密码都不需要输入就可以打开VPN通道。　　获取VPN的安全信息是第三种可能破坏VPN安全性的方式。这些安全信息包括VPN终端的IP地址、配置参数和用户许可证书等等。获取这些信息的途径可能来自于了解VPN具体情况的内部人士，例如从公司离职或被开除的人员等等。大部分网络都不会频繁地变化更改，VPN连接会长时间保持一种状态，因此离开公司的人员有许多机会可以获知访问VPN的具体方法。此外，通过其他一些社会工程学的方法也能够获取这些安全信息，例如利用恶意邮件或电话让用户提供信息等，类似情况也已经多次发生。　　第四种破坏VPN安全性的方式是利用身份验证系统的漏洞或缺陷。固件本身可能存在的缺陷，或是身份验证系统的一些其他缺点都有可能被利用，比如恶意欺骗或重做SSL授权认证。黑客甚至会利用VPN集中器上众所周知的漏洞来使身份验证系统崩溃，从而入侵目标系统。　　为什么黑客想要破坏VPN？他们通常寻找哪些信息呢？　　Enders:黑客通常分为四大类：　　内部人员——那些因为迁怒于公司而离职的前公司成员，他们想要让公司蒙受损失。　　觊觎财务信息的人——他们对信用卡卡号或银行账户等能够用于银行转账的信息很感兴趣。　　有政治企图的人——他们仅仅想要以某种形式来表达其政治立场。　　被称为“脚本少年”的黑客——他们是数量最多的一类，主要利用VPN的漏洞来满足他们的好奇心，测验某种理论或是验证某个概念。更有甚者仅仅想要弄清楚某些东西，证明某个漏洞的存在或是某个系统可以被攻破。　　总而言之，坏消息是的确有许多方式可以破坏VPN系统，而好消息是黑客们一般不会以窃取信息为目的。如果真的以窃取信息为目的的话，财务信息最有可能成为被窃目标。例如，窃取信用卡信息进行网络欺骗交易。　　何种类型的VPN(例如SSL、IPsec等)最有可能受到安全破坏的威胁呢？　　Enders: 不存在100%安全的VPN技术。每项技术都会面临着某种特定的挑战。但是，对于时下普遍采用的两种VPN技术——SSL和IPsec，我认为IPsec要更加安全一些，这是由它们的技术本质所决定的。　　作为IETF的一项标准，IPsec拥有安全的内核，技术也相对成熟。此外，在具体应用中，特定的客户端会控制和关联IPsec。相比之下，SSL的控制和关联仅仅通过网络浏览器实现。众所周知，网络浏览器存在许多漏洞，有许多攻击专门针对这些漏洞，因此SSL的安全模型颇受质疑。另外，VPN的三个关键特性包括保密性、完整性和可靠性。由于对身份认证控制不严，SSL的可靠性也饱受质疑。　　本文介绍了四种VPN攻击方式和黑客，《如何避免VPN安全漏洞(二)》将为你介绍MPLS VPN的安全性;企业应当如何建设合适的VPN来保障信息安全以及企业应当如何平衡VPN的易用性和安全性等内容。如何避免VPN安全漏洞（二）　　在《如何避免VPN安全漏洞(一)》中介绍了四种VPN攻击方式和黑客，本文将继续为你介绍MPLS VPN的安全性;企业应当如何建设合适的VPN来保障信息安全以及企业应当如何平衡VPN的易用性和安全性等内容。　　MPLS VPN可以被攻破吗？　　Enders: MPLS VPN是一种不错的VPN技术。当然，针对VPN的那些常见攻击方式对于MPLS VPN同样可以构成威胁，比如借助社会工程学的攻击与内部攻击等。　　企业应当如何建设合适的VPN来保障信息安全？　　Enders:网络与信息安全是一种内容涵盖广泛而又复杂的体系，技术措施仅仅是整个问题的一部分。一个全面的安全模型必须囊括技术措施、安全策略与交流培训三个方面，每一方面都会保障信息安全，增强安全意识。　　企业应该选择善于跟踪记录安全访问方面的VPN技术，IPsec无疑是最佳选择。它拥有可管理的客户端与防火墙，还有集成的、与身份管理系统紧密结合的VPN系统，能够提供最大限度的保护。另外，VPN的部署实施也是非常重要的。　　当企业寻求VPN解决方案时，价格越高越安全吗？　　Enders: 网络管理员应当将注意力放在VPN系统的整体成本上，包括运维成本和处理潜在安全漏洞的成本。此外，网络管理员还应当考虑升级代价和解决方案的可扩展性，考虑是否支持桌面设备和移动设备等大范围应用平台，确保其所拥有的技术可以涵盖各个方面。因为我们经常遇到的情况是公司部署了大量不同的技术应用，网络工程师必须要学习更多的技术知识来满足公司的需求。而更多的技术知识意味着更多的复杂性，更多的复杂性通常意味着更多的错误可能，更多错误可能则意味着错误即将发生，最终意味着企业的安全级别较低。如果用户端被迫使用不同的客户端或不同的访问技术的话，那么将会有更多的错误可能，这也就意味着整个企业会面临更高的复杂性和更少的安全性。这个道理非常简单。　　所以我真诚地建议大家从整体角度考虑，看一看运维成本和处理潜在安全漏洞的成本。弄清楚到底需要采取何种级别的安全措施，针对所暴露出的各种问题选择最适合的技术，并且采取适当的方式予以实现。　　企业应当如何平衡VPN的易用性和安全性？　　Enders: 易用性被忽视过太多次了。低易用性导致的用户错误或是更为糟糕的用户行为会影响解决方案整体的安全级别。　　VPN的易用性对终端用户和网络工程师都会产生重要影响。高易用性使他们可以在实际管理VPN方面花费更少的时间，从而有更多的精力从事其他重要的相关任务，比如管理防火墙规则、监视网络访问、研究正在开展的安全专题等等。此外，整个解决方案的管理应当是简单的、易管理的，这一点也往往容易被忽视。易管理性可以提高方案的可接受程度，增加易用性。一般而言，它也可以减少错误的发生，在整体上提高解决方案的安全性。相关文章技巧：通过防火墙堵住VPN安全漏洞http://www.atcpu.com/bbs/read-htm-tid-15136.html