《企業(yè)網(wǎng)D1Net》3月19日訊
隨著VPN應用的逐漸深入,人們對VPN越來越以來,然而,部署VPN需要考慮很多因素,要確保萬無一失。某些VPN部署可以為遠程訪問網(wǎng)絡提供更好的安全性。需要注意的是,不同的供應商產(chǎn)品都提供了不同的特定功能。
確保使用強大的加密設置
所有VPN產(chǎn)品都允許對使用的加密密碼套件進行配置。對于IPSec部署,這可能是3DES(數(shù)據(jù)加密標準)或高級加密標準(AES),而安全套接字層(SSL)VPN則有更多選擇,包括流加密(例如RC4)。IPSec讓加密更簡單, 因為客戶端將被預配置為使用特定算法,從而確保了兼容性。而在另一方面,SSL VPN則需要考慮瀏覽器加密支持。由于SSL和傳輸層安全(TLS)漏洞的普及,特別是最近的BEAST和CRIME攻擊,筆者強烈建議使用TLS 1.2等強大的密碼,即使客戶端需要驗證瀏覽器兼容性。對于完整性哈希,安全哈希算法(SHA)-1優(yōu)于MD5。加密密鑰長度應該要適當,最少256位密鑰(AES)或168位(3DES),1024位密鑰用于密鑰交換算法(例如RSA),而512位密鑰用于哈希算法(例如SHA-1)。
審查終端安全政策
不同的供應商提供不同的端點安全政策,包括操作系統(tǒng)和瀏覽器檢查、反惡意軟件檢查、瀏覽器緩存和注銷后cookie清除,以及客戶端多因素身份驗證(包括智能卡、USB令牌等)。站點到站點VPN則沒有這種類型的政策。
設置會話超時
所有VPN部署都允許會話超時設置,這種會話超時應被設置為你可以接受的盡可能短的時間。根據(jù)不同的業(yè)務需求,10到15分鐘的會話超時已經(jīng)足夠,SSL VPN通常還支持自動關(guān)閉瀏覽器窗口。
確保建立安全的IPsec設置
IPsec有大量配置選項。然而,很多企業(yè)會下意識地選擇便利性和簡潔性,而不 會考慮安全性。例如,很多IPsec部署利用VPN網(wǎng)關(guān)已知的“共享秘密”,并將其包括在身份驗證配置中。對此,筆者建議為每個端點使用不同的共享秘密, 這并不難設置。另外,企業(yè)應該使用從內(nèi)部證書頒發(fā)機構(gòu)部署的證書,雖然這需要更多工作,但這樣做更加安全。此外,用于建立IPsec安全關(guān)聯(lián)的Internet密鑰交換協(xié)議通常因為便利性和性能而被配置為使用Aggressive Mode,但這是更薄弱的交互方法,企業(yè)應該使用Main Mode。
使用強大的多因素身份驗證
所有VPN都應該支持某種形式的多因素身份驗證,這是非常重要的工具,特別是對于遠程訪問配置??蛻舳俗C書和智能卡,以及雙因素令牌和發(fā)送到移動設備的一次性密碼,都是比較受歡迎的驗證方法,這都比單靠用戶名和密碼要更安全。
修復和升級設備或軟件
所有VPN軟件和設備都需要不定期更新。確保這些系統(tǒng)集成到你現(xiàn)有的漏洞管理戰(zhàn)略中,以避免暴露的漏洞或可用性問題。
當然,這些還只是起點,為特定應用程序和用戶創(chuàng)建訪問控制將需要更多的規(guī)劃工作。一些VPN還支持到虛擬桌面基礎(chǔ)設施和其他內(nèi)部資源的訪問,以幫助 遠程客戶端簡化和加強安全連接。由于所有供應商提供不同的配置選項,企業(yè)需要了解所有這些可用的安全設置,并根據(jù)性能、可用性和安全性,從中選出最佳解決 方案。
D1Net評論:
VPN的部署會面臨很多安全威脅,如何確保萬無一失,成為用戶面臨的最大難題,綜合考量以上幾個因素,可以幫助用戶在部署VPN過程中提高安全性,隨著VPN應用范圍的擴大,未來VPN的部署會面臨更高的要求。