無(wú)線虛擬專用網(wǎng)絡(luò)的安全保障如何

責(zé)任編輯:Eva

2011-06-30 08:57:14

摘自:zdnet

隨著無(wú)線網(wǎng)絡(luò)的進(jìn)步,很多出差在外的商務(wù)人士通過(guò)機(jī)場(chǎng)或者咖啡館的熱站就可以與企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)線連接。

隨著無(wú)線網(wǎng)絡(luò)的進(jìn)步,很多出差在外的商務(wù)人士通過(guò)機(jī)場(chǎng)或者咖啡館的熱站就可以與企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)線連接。而在幾年前,在這種環(huán)境下企業(yè)網(wǎng)通訊被偶然或者頻繁的偷窺還是困擾大家的夢(mèng)魘。因此,虛擬專用網(wǎng)絡(luò)(VPN)的普及成為無(wú)線網(wǎng)絡(luò)傳輸過(guò)程中的必然產(chǎn)物。

但是VPN的安全幾何呢?答案看來(lái)是"不像你想象的那樣安全"。

美國(guó)俄勒岡州的培訓(xùn)提供商CBT Nuggets的安全指導(dǎo)顧問(wèn)兼思科出版社撰稿人Jeremy Cioara表示"人們?cè)噲D在虛擬個(gè)人網(wǎng)絡(luò)中關(guān)注隱私這個(gè)字眼。他們總是習(xí)慣在筆記本上來(lái)工作和上網(wǎng),因?yàn)樗麄冋J(rèn)為使用的VPN是安全的,但事實(shí)并非如此"。

因此CIO或CSO該如何選擇安全的VPN呢?為了保障VPN的安全該如何對(duì)其進(jìn)行配置和管理?VPN的技術(shù)層面和安全設(shè)置是否會(huì)影響到整個(gè)網(wǎng)絡(luò)連接的安全?隨著通過(guò)VPN無(wú)線連接企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程通訊用戶數(shù)量不斷攀升,這些問(wèn)題的嚴(yán)峻性就日益凸顯。我們關(guān)注的底線并非VPN本身,而是攻擊所在站點(diǎn)棲身的無(wú)線上網(wǎng)環(huán)境。

提及VPN的選擇,就有很多不同的價(jià)位可供選擇。舉例來(lái)說(shuō),有免費(fèi)的VPN、開(kāi)源VPN,號(hào)稱每月有15萬(wàn)下載量和300萬(wàn)用戶的OpenVPN。微軟公司的Microsoft Windows XP操作系統(tǒng)中也有自帶的免費(fèi)VPN,它執(zhí)行的是點(diǎn)對(duì)點(diǎn)的PPTP協(xié)議。

美國(guó)紐約的Castle Brands使用也是遵循PPTP協(xié)議的VPN絡(luò),日前發(fā)展迅速,已經(jīng)超過(guò)了開(kāi)源和所有權(quán)VPN。

Brands的IT總監(jiān)Andre Preoteasa表示"我們盡力在不影響安全的前提下控制成本,目前某些VPN前端的成本,額外的硬件設(shè)備,軟件許可證授權(quán)費(fèi)用和每年的技術(shù)支持費(fèi)用都迅猛增長(zhǎng)。如果你使用的是Windows XP操作系統(tǒng),有了PPTP就能節(jié)省很多"。

Preoteasa解釋說(shuō),最初訪問(wèn)網(wǎng)絡(luò)是以密碼為基礎(chǔ)的,后來(lái)開(kāi)始以Microsoft Active Directory的形式用服務(wù)器上的認(rèn)證規(guī)則進(jìn)行訪問(wèn)控制"人們足不出戶就能領(lǐng)略世界;即使銷售人員不在,財(cái)務(wù)人員也能進(jìn)行賬目訪問(wèn)"。

安全認(rèn)證公司SCIPP International的創(chuàng)始人兼信息安全專家Winn Schwartau表示,但PPTP作為VPN并非毫無(wú)瑕疵,這就是為什么市場(chǎng)上存在如此眾多的商用單機(jī)版VPN。他強(qiáng)調(diào)說(shuō),與以操作系統(tǒng)為基礎(chǔ)的VPN不同,以用戶為基礎(chǔ)的VPN能向用戶提供更好的管理性和靈活性,當(dāng)然價(jià)格上也是如此。

Schwartau解釋說(shuō)"PPTP并非理想之選,但也聊勝于無(wú)。除非你有國(guó)家級(jí)機(jī)密需要保護(hù),否則PPTP就足夠防范多數(shù)非法攻擊了。在機(jī)場(chǎng)臨時(shí)想要投機(jī)取巧的人員會(huì)去窺視你的無(wú)線連接,看它是否已經(jīng)采取了加密措施再進(jìn)行下一步行動(dòng)。事實(shí)上仍然有很多可以輕易得手的漏洞,比如那些沒(méi)有加密的連接就給這些人提供了可趁之機(jī)"。

無(wú)線VPN的復(fù)雜性

但是當(dāng)用戶評(píng)估商用級(jí)別的VPN時(shí),面臨的復(fù)雜性就會(huì)成倍增加。技術(shù)考量在VPN的選擇過(guò)程中扮演著至關(guān)重要的角色。舉例來(lái)說(shuō),在美國(guó)密蘇里州Joplin市的五旬節(jié)天主教堂,IT總監(jiān)東.艾倫介紹說(shuō),教堂高管使用的是運(yùn)行64位Vista操作系統(tǒng)的筆記本電腦,但他們青睞德國(guó)NCP工程公司的Nürnberg的VPN產(chǎn)品。

但是教堂現(xiàn)有的思科PIX路由器防火墻過(guò)于陳舊無(wú)法與VPN兼容,這個(gè)發(fā)現(xiàn)促使他首先向思科的客戶支持求助,但是沒(méi)有得到滿意的解決方案,然后他又向微軟求助,微軟推薦的解決方案是:?jiǎn)我粡S商N(yùn)CP的VPN能為他提供與64位Vista操作系統(tǒng)兼容的產(chǎn)品。

艾倫介紹說(shuō)"我下載了一個(gè)測(cè)試版,跟NCP公司溝通后我給他們發(fā)送了200MB的截屏。第二天我收到一封電子郵件,要求我更改路由器上的某項(xiàng)設(shè)置,將文件復(fù)制到每臺(tái)筆記本電腦上。這樣它就能直接工作了,我購(gòu)買了他們的許可證授權(quán)。我們又再次擁有了安全通訊,這比購(gòu)買一臺(tái)新的路由器要便宜太多了。如今,教堂的管理人員在出差時(shí)也能像平常一樣訪問(wèn)網(wǎng)絡(luò)。這確實(shí)是個(gè)不錯(cuò)的解決方案"。

目前的桌面系統(tǒng)都帶有企業(yè)的標(biāo)識(shí)和應(yīng)用軟件,用戶在存在安全隱患的互聯(lián)網(wǎng)上游蕩的可能性就有所降低。安全協(xié)議又進(jìn)一步降低了這種風(fēng)險(xiǎn)。通行的防病毒軟件和防木馬程序會(huì)自動(dòng)開(kāi)啟并進(jìn)行病毒偵測(cè),連接到企業(yè)網(wǎng)絡(luò)的VPN連接只有在類似措施被及時(shí)更新后才能使用。強(qiáng)制授權(quán)措施也應(yīng)該適當(dāng)應(yīng)用:不僅是使用密碼,還應(yīng)該上傳授權(quán)證書(shū),令牌網(wǎng)或者其他雙重身份認(rèn)證。

位于倫敦的法律公司Lawrence Graham使用的是令牌網(wǎng)和雙重身份認(rèn)證技術(shù)相結(jié)合的方式來(lái)保障遠(yuǎn)程VPN無(wú)線訪問(wèn)的安全。公司的IT總監(jiān)Jason Petrucci介紹說(shuō)"當(dāng)律師用筆記本電腦遠(yuǎn)程登錄公司系統(tǒng)時(shí),他們要經(jīng)過(guò)三重認(rèn)證:一項(xiàng)是他們的用戶名,一項(xiàng)是要求他們的登錄密碼,最后一項(xiàng)是他們的個(gè)人PIN代碼和通行證。公司使用SecurEnvoy通過(guò)在文本文件中預(yù)先裝載三個(gè)一次性通行證來(lái)管理和交付這個(gè)通行證,然后再傳遞給用戶的黑莓手機(jī)"。

Graham解釋說(shuō)"被使用的通行證會(huì)自動(dòng)更換傳遞到每位律師的黑莓手機(jī)上,我們的律師無(wú)論去哪都攜帶著黑莓手機(jī)。物理令牌網(wǎng)在筆記本被盜或者丟失時(shí)也不可避免的面臨風(fēng)險(xiǎn)"。

位于美國(guó)西雅圖的IT安全公司ESET的技術(shù)總監(jiān)蘭蒂.艾布拉姆警告說(shuō),同時(shí)運(yùn)行多重網(wǎng)絡(luò)連接,無(wú)論是無(wú)線連接還是有線連接都意味著風(fēng)險(xiǎn)。舉例來(lái)說(shuō),使用兩個(gè)開(kāi)放式連接,筆記本電腦就成為企業(yè)網(wǎng)絡(luò)的橋梁。攻擊者就會(huì)通過(guò)VPN的連接入侵電腦。

艾布拉姆曾經(jīng)遇到過(guò)用戶通過(guò)加密的VPN下載安全的企業(yè)文檔,然后再通過(guò)公共互聯(lián)網(wǎng)轉(zhuǎn)發(fā)給沒(méi)有加密的網(wǎng)絡(luò)電子郵件帳戶這樣的案例。更糟的是,瀏覽器助手在瀏覽器上下載時(shí)只是例行公事的進(jìn)行提醒,某些包含惡意病毒的對(duì)象并沒(méi)有被之前的木馬偵測(cè)程序檢測(cè)到,于是在瀏覽器下載時(shí)就會(huì)立即被激活。解決方案就是:在VPN開(kāi)始連接時(shí),就立即采取非常堅(jiān)決和強(qiáng)硬的有線協(xié)議來(lái)切斷并行網(wǎng)絡(luò)連接。

即使是并行加密的VPN也不是絕對(duì)安全。將提供這種并行連接的VPN通道分離開(kāi)是VPN用戶非常普遍的做法。美國(guó)明尼阿波利斯市的安全咨詢機(jī)構(gòu)NetSPI的首席技術(shù)總監(jiān)賽斯.彼得警告說(shuō)"這種想法是將一個(gè)通道連接到企業(yè)網(wǎng)絡(luò)上,另外一個(gè)是連接到公共互聯(lián)網(wǎng)上。我們推薦用戶關(guān)閉第二條通道,這樣連接互聯(lián)網(wǎng)唯一的方式就是通過(guò)企業(yè)網(wǎng)。但問(wèn)題是,我們看到多數(shù)用戶都沒(méi)有這么做"。

需要考慮的因素如此繁復(fù),那么在實(shí)際應(yīng)用中該如何對(duì)無(wú)線VPN進(jìn)行選擇,管理和運(yùn)行呢? 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)