作為互聯(lián)網(wǎng)技術(shù)和通信需求迅猛發(fā)展的產(chǎn)物, VPN技術(shù)在互聯(lián)網(wǎng)發(fā)展中的地位越發(fā)突顯。隨著“十二五”期間新一輪企業(yè)信息化進(jìn)程的開(kāi)啟,越來(lái)越多的移動(dòng)辦公用戶、企業(yè)分支機(jī)構(gòu)開(kāi)始選擇VPN技術(shù)進(jìn)行安全遠(yuǎn)程訪問(wèn),甚至許多大型跨國(guó)公司、政府部門也開(kāi)始利用廉價(jià)的公用基礎(chǔ)設(shè)施構(gòu)建自己的專用廣域網(wǎng)絡(luò),進(jìn)行內(nèi)部數(shù)據(jù)的安全傳輸。由于VPN技術(shù)的核心和基礎(chǔ)仍是互聯(lián)網(wǎng),因此VPN技術(shù)發(fā)展所面臨的安全問(wèn)題也不容忽視。具體情況如下:
一、基本情況
VPN(virtual private network),即虛擬專用網(wǎng)或虛擬私用網(wǎng),是指利用開(kāi)放的公共網(wǎng)絡(luò)資源建立專用網(wǎng)絡(luò)的一種技術(shù)。它是內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)特殊的加密通訊協(xié)議在互聯(lián)網(wǎng)上位于不同地方的兩個(gè)或多個(gè)內(nèi)部網(wǎng)之間建立一條專有的虛擬通訊線路,且并不需要重新鋪設(shè)光纜之類的物理設(shè)備,主要應(yīng)用于內(nèi)部數(shù)據(jù)傳輸和通過(guò)高速服務(wù)器代理服務(wù)實(shí)現(xiàn)網(wǎng)絡(luò)加速。
(一)VPN的主要特點(diǎn)
一是成本低廉。VPN用戶實(shí)際上不需要搭建一個(gè)獨(dú)立專用的網(wǎng)絡(luò),且不必投入大量的人力和物力去維護(hù)廣域網(wǎng)設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備。二是方便靈活。如果一個(gè)VPN節(jié)點(diǎn)存在問(wèn)題,可以替換一個(gè)新的節(jié)點(diǎn)繞過(guò)它,從而避免維護(hù)和修理;如果用戶想要與另一用戶進(jìn)行安全的信息傳輸,只需雙方通過(guò)VPN配置安全連接信息即可。三是控制能力強(qiáng)。VPN能夠提供細(xì)粒度的訪問(wèn)控制,可以對(duì)用戶權(quán)限、用戶組權(quán)限、資源、服務(wù)、文件等訪問(wèn),做到基于單個(gè)用戶的精細(xì)控制;同時(shí),用戶能夠完全掌握自己的網(wǎng)絡(luò)控制權(quán),對(duì)VPN的本地安全設(shè)置、網(wǎng)絡(luò)配置等都可以自己管理。
(二)常見(jiàn)的三種VPN技術(shù)
一是IPSec VPN。IPSec協(xié)議是為了保障IP通信而提供的一系列協(xié)議族,主要針對(duì)數(shù)據(jù)在通過(guò)公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問(wèn)題設(shè)計(jì)的一整套隧道加密和認(rèn)證方案。IPSec VPN是指基于IPSec協(xié)議,通過(guò)包封裝技術(shù),能夠利用路由地址封裝內(nèi)部網(wǎng)絡(luò)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通的虛擬專用網(wǎng)絡(luò)。這類VPN的優(yōu)點(diǎn)是世界公認(rèn)的安全性,但是它的運(yùn)行和長(zhǎng)期維護(hù)需要大量技術(shù)支持,管理成本很高。
二是SSL VPN。SSL協(xié)議是套接層協(xié)議,是為了保障基于Web的通信安全而提供的加密認(rèn)證協(xié)議。SSL VPN指的是使用者利用瀏覽器內(nèi)建的SSL封包處理功能,用瀏覽器連接SSL VPN服務(wù)器,然后通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)的虛擬專用網(wǎng)絡(luò)。相對(duì)于IPSec VPN,在保證安全性的前提下減少了操作的復(fù)雜性。
三是MPLS VPN。MPLS是多協(xié)議標(biāo)簽交換技術(shù),通過(guò)將路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)分開(kāi),由標(biāo)簽來(lái)規(guī)定一個(gè)分組通過(guò)網(wǎng)絡(luò)的路徑,同時(shí)具有靈活多變的路由功能和較高的轉(zhuǎn)發(fā)效率。MPLS VPN是利用MPLS技術(shù),監(jiān)護(hù)核心路由器的路由選擇方式,利用傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的虛擬專用網(wǎng)絡(luò)。這類VPN具有很高的效率和靈活性,備受業(yè)界關(guān)注,在中國(guó)網(wǎng)通、鐵通等全國(guó)骨干網(wǎng)的網(wǎng)絡(luò)建設(shè)中得到了實(shí)踐部署。
二、VPN面臨的安全問(wèn)題
從技術(shù)架構(gòu)上來(lái)說(shuō),VPN可以分為客戶端、傳輸端以及服務(wù)端。不同的VPN技術(shù),所面臨的安全隱患也不同。具體情況如下:
(一)IPSec VPN安全問(wèn)題
IPSec VPN在通信協(xié)議和加密算法方面具有很強(qiáng)的安全性,它所面臨的安全威脅主要來(lái)源于對(duì)客戶端的攻擊。
一是中間人攻擊。主要發(fā)生在客戶端通過(guò)無(wú)線或有線局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)時(shí)(例如公用的WIFI、旅店內(nèi)部局域網(wǎng))。攻擊者可以通過(guò)技術(shù)手段在內(nèi)部網(wǎng)絡(luò)虛擬放置一臺(tái)受控制的計(jì)算機(jī)來(lái)窺探通信內(nèi)容,造成信息泄露。二是本地安全配置不完善。由于VPN客戶端的本地安全配置是由用戶自己掌控的,可能由于人為因素而存在安全隱患。例如將許可證書保存在本地設(shè)備等。一旦攻擊者控制了這些設(shè)備,就可以繞過(guò)身份驗(yàn)證,甚至連登錄口令都不需要就能打開(kāi)VPN通道。三是竊取VPN安全信息。攻擊者可以通過(guò)發(fā)送惡意郵件等社會(huì)工程學(xué)的方法竊取VPN的安全信息。這些安全信息包括VPN客戶端的IP地址、配置參數(shù)和用戶許可證書等等。利用這些安全信息,攻擊者可以偽造通訊身份,從而對(duì)VPN的安全造成威脅。四是VPN內(nèi)部安全防范薄弱。VPN在成功連通之后,對(duì)受信任用戶的安全防范要求較低,普遍缺少隧道內(nèi)的攻擊防范策略,增加了VPN內(nèi)部的安全風(fēng)險(xiǎn)。一旦攻擊者成功入侵客戶端主機(jī),或者通過(guò)合法程序申請(qǐng)到客戶端,就可以通過(guò)一些允許訪問(wèn)的主機(jī)或服務(wù)的應(yīng)用層協(xié)議漏洞進(jìn)行滲透,獲取訪問(wèn)權(quán)限,進(jìn)而獲得內(nèi)部的信息;或者利用客戶端主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)和VPN服務(wù)器發(fā)起拒絕服務(wù)攻擊、端口掃描等網(wǎng)絡(luò)攻擊,從而造成網(wǎng)絡(luò)癱瘓或服務(wù)器配置信息外泄。
(二)SSL VPN安全問(wèn)題
由于SSL VPN并不需要特殊的客戶端軟件,而是用Web瀏覽器代替,因此SSL VPN的安全威脅主要集中在瀏覽器和服務(wù)端。
一是不正確的系統(tǒng)操作引發(fā)的安全問(wèn)題。例如用戶不是關(guān)閉SSL VPN瀏覽器和服務(wù)器兩端的進(jìn)程來(lái)退出系統(tǒng),而是直接關(guān)閉瀏覽器來(lái)代替退出登錄,這可能導(dǎo)致SSL VPN服務(wù)器的進(jìn)程并沒(méi)有關(guān)閉(取決于SSL VPN的本地配置)。攻擊者可以利用這種行為繞過(guò)身份驗(yàn)證而訪問(wèn)VPN,從而給VPN系統(tǒng)帶來(lái)較大的安全威脅。二是針對(duì)身份認(rèn)證的惡意攻擊。SSL VPN允許用戶在任何地點(diǎn)通過(guò)瀏覽器登錄VPN系統(tǒng),因此用戶在公共場(chǎng)合登錄時(shí)泄露登錄口令等安全信息的危險(xiǎn)增加。三是病毒通過(guò)隧道感染內(nèi)部網(wǎng)絡(luò)。SSL VPN的遠(yuǎn)程用戶可以使用任何地點(diǎn)的任何客戶端遠(yuǎn)程登錄企業(yè)內(nèi)部網(wǎng)絡(luò),一旦這些客戶端存在病毒,且連上內(nèi)部網(wǎng)絡(luò),病毒文件就能夠利用SSL VPN隧道入侵內(nèi)部網(wǎng)絡(luò)。同時(shí),由于內(nèi)部網(wǎng)絡(luò)邊界防火墻的局限性,不能有效防止感染了病毒的軟件或文件的傳播,因此病毒能夠通過(guò)隧道感染內(nèi)部網(wǎng)絡(luò)。四是Web服務(wù)器自身的安全隱患。大部分SSL VPN系統(tǒng)使用Web服務(wù)器作為其底層平臺(tái),這樣,Web服務(wù)器的任何安全隱患,例如后門或越權(quán)漏洞等,都將給SSL VPN系統(tǒng)帶來(lái)嚴(yán)重的安全問(wèn)題。
(三)MPLS VPN安全問(wèn)題
作為當(dāng)今國(guó)內(nèi)大型運(yùn)營(yíng)商的主流VPN技術(shù),MPLS VPN采用了嚴(yán)格的路由信息隔離機(jī)制,同時(shí)采用面向連接的方式在運(yùn)營(yíng)商邊界設(shè)備(網(wǎng)絡(luò)接入層設(shè)備)之間建立標(biāo)記交換隧道來(lái)傳送用戶信息,在一定程度上保證了用戶信息傳送的安全性。但作為基于IP通信的技術(shù),且并未對(duì)傳輸?shù)男畔⑦M(jìn)行加密和認(rèn)證,因此MPLS VPN仍然存在一些安全問(wèn)題。
一是針對(duì)VPN路由設(shè)備的攻擊。這種攻擊通常在路由信息發(fā)布階段進(jìn)行。例如攻擊者偽裝成某個(gè)邊緣設(shè)備與服務(wù)端設(shè)備建立會(huì)話連接并交換路由信息(版本信息、LAN口狀態(tài)等),造成VPN內(nèi)部路由信息的泄露;或者攻擊者通過(guò)偽造或篡改路由信息,使用戶的數(shù)據(jù)流傳往錯(cuò)誤的方向,以便竊聽(tīng)和分析用戶的內(nèi)部信息。二是針對(duì)網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊。由于網(wǎng)絡(luò)上的用戶數(shù)據(jù)包和路由協(xié)議包是共享帶寬傳送的,因此過(guò)多的用戶業(yè)務(wù)流有可能造成網(wǎng)絡(luò)和設(shè)備資源被耗盡,導(dǎo)致對(duì)邊緣設(shè)備或路由器的拒絕服務(wù)攻擊,影響和破壞路由信息的正常傳送。三是來(lái)自互聯(lián)網(wǎng)的安全威脅。同之前來(lái)自內(nèi)部網(wǎng)絡(luò)的安全攻擊不同,在用戶通過(guò)MPLS VPN訪問(wèn)互聯(lián)網(wǎng)的情況下,攻擊者可以通過(guò)IP源地址欺騙、會(huì)話劫持、種植木馬等傳統(tǒng)的攻擊手段發(fā)起攻擊,對(duì)用戶數(shù)據(jù)流進(jìn)行非法的查看、修改、偽造、刪除等操作。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:VPN技術(shù)的安全分析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515807.html