如何避免VPN安全漏洞

責任編輯:xdong

2011-12-11 12:39:09

摘自:TechTarget中國

對廣域網的遠程用戶而言,虛擬專網(VPN)應該是安全的連接,但是因為許多明顯的漏洞,致使許多企業(yè)質疑VPN的安全性。

對廣域網的遠程用戶而言,虛擬專網(VPN)應該是安全的連接,但是因為許多明顯的漏洞,致使許多企業(yè)質疑VPN的安全性。Rainer Enders是NCP engineering在美洲地區(qū)負責VPN安全的CTO,在本篇對他的采訪報道中,大家將會了解到VPN安全漏洞是如何產生的,如何消除這種風險。

VPN安全漏洞通常如何產生?

Rainer Enders:盡管VPN號稱是一種安全的技術,但是我認為許多方法會破壞其安全性。

一種常見的方式是中間人攻擊,主要發(fā)生在人們訪問無線或有線局域網(或廣域網)的時候。黑客可以通過內部訪問來窺探連接、收集該連接的信息。同時,如果他能夠獲得許可證書的話,還可以利用它發(fā)起攻擊。

第二種潛在的漏洞可能來自于物理訪問或監(jiān)聽支持VPN的設備。如果有人遺失了他們的筆記本電腦或移動設備,同時這些設備支持VPN的話,這種情況就有可能發(fā)生。VPN客戶端可能配置為非最佳模式,將許可證書保存在設備本地,而黑客所需要做的僅僅是點擊“連接”,甚至可能連密碼都不需要輸入就可以打開VPN通道。

獲取VPN的安全信息是第三種可能破壞VPN安全性的方式。這些安全信息包括VPN終端的IP地址、配置參數(shù)和用戶許可證書等等。獲取這些信息 的途徑可能來自于了解VPN具體情況的內部人士,例如從公司離職或被開除的人員等等。大部分網絡都不會頻繁地變化更改,VPN連接會長時間保持一種狀態(tài), 因此離開公司的人員有許多機會可以獲知訪問VPN的具體方法。此外,通過其他一些社會工程學的方法也能夠獲取這些安全信息,例如利用惡意郵件或電話讓用戶 提供信息等,類似情況也已經多次發(fā)生。

第四種破壞VPN安全性的方式是利用身份驗證系統(tǒng)的漏洞或缺陷。固件本身可能存在的缺陷,或是身份驗證系統(tǒng)的一些其他缺點都有可能被利用,比如惡意欺騙或重做SSL授權認證。黑客甚至會利用VPN集中器上眾所周知的漏洞來使身份驗證系統(tǒng)崩潰,從而入侵目標系統(tǒng)。

為什么黑客想要破壞VPN?他們通常尋找哪些信息呢?

Enders:黑客通常分為四大類:

內部人員——那些因為遷怒于公司而離職的前公司成員,他們想要讓公司蒙受損失。

覬覦財務信息的人——他們對信用卡卡號或銀行賬戶等能夠用于銀行轉賬的信息很感興趣。

有政治企圖的人——他們僅僅想要以某種形式來表達其政治立場。

被稱為“腳本少年”的黑客——他們是數(shù)量最多的一類,主要利用VPN的漏洞來滿足他們的好奇心,測驗某種理論或是驗證某個概念。更有甚者僅僅想要弄清楚某些東西,證明某個漏洞的存在或是某個系統(tǒng)可以被攻破。

總而言之,壞消息是的確有許多方式可以破壞VPN系統(tǒng),而好消息是黑客們一般不會以竊取信息為目的。如果真的以竊取信息為目的的話,財務信息最有可能成為被竊目標。例如,竊取信用卡信息進行網絡欺騙交易。

何種類型的VPN(例如SSL、IPsec等)最有可能受到安全破壞的威脅呢?

Enders: 不存在100%安全的VPN技術。每項技術都會面臨著某種特定的挑戰(zhàn)。但是,對于時下普遍采用的兩種VPN技術——SSL和IPsec,我認為IPsec要更加安全一些,這是由它們的技術本質所決定的。

作為IETF的一項標準,IPsec擁有安全的內核,技術也相對成熟。此外,在具體應用中,特定的客戶端會控制和關聯(lián)IPsec。相比之下,SSL的控制和關聯(lián)僅僅通過網絡瀏覽器實現(xiàn)。眾所周知,網絡瀏覽器存在許多漏洞,有許多攻擊專門針對這些漏洞,因此SSL的安全模型頗受質疑。另外,VPN的三個關鍵特性包括保密性、完整性和可靠性。由于對身份認證控制不嚴,SSL的可靠性也飽受質疑。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號