隨著無線網絡的進步,很多出差在外的商務人士通過機場或者咖啡館的熱站就可以與企業網絡實現無線連接。而在幾年前,在這種環境下企業網通訊被偶然或者頻繁的偷窺還是困擾大家的夢魇。因此,虛擬專用網絡(VPN)的普及成為無線網絡傳輸過程中的必然產物。
但是VPN的安全幾何呢答案看來是”不像你想象的那樣安全”。
美國俄勒岡州的培訓提供商CBTNuggets的安全指導顧問兼思科出版社撰稿人JeremyCioara表示”人們試圖在虛擬個人網絡中關注隱私這個字眼。他們總是習慣在筆記本上來工作和上網,因為他們認為使用的VPN是安全的,但事實並非如此”。
因此CIO或CSO該如何選擇安全的VPN呢為了保障VPN的安全該如何對其進行配置和管理VPN的技術層面和安全設置是否會影響到整個網絡連接的安全隨著通過VPN無線連接企業網絡的遠程通訊用戶數量不斷攀升,這些問題的嚴峻性就日益凸顯。我們關注的底線並非VPN本身,而是攻擊所在站點棲身的無線上網環境。
提及VPN的選擇,就有很多不同的價位可供選擇。舉例來說,有免費的VPN、開源VPN,號稱每月有15萬下載量和300萬用戶的OpenVPN。微軟公司的MicrosoftWindowsXP操作系統中也有自帶的免費VPN,它執行的是點對點的PPTP協議。
美國紐約的CastleBrands使用也是遵循PPTP協議的VPN絡,日前發展迅速,已經超過了開源和所有權VPN。
Brands的IT總監AndrePreoteasa表示”我們盡力在不影響安全的前提下控制成本,目前某些VPN前端的成本,額外的硬件設備,軟件許可證授權費用和每年的技術支持費用都迅猛增長。如果你使用的是WindowsXP操作系統,有了PPTP就能節省很多”。
Preoteasa解釋說,最初訪問網絡是以密碼為基礎的,後來開始以MicrosoftActiveDirectory的形式用服務器上的認證規則進行訪問控制”人們足不出戶就能領略世界;即使銷售人員不在,財務人員也能進行賬目訪問”。
安全認證公司SCIPPInternational的創始人兼信息安全專家WinnSchwartau表示,但PPTP作為VPN並非毫無瑕疵,這就是為什麼市場上存在如此眾多的商用單機版VPN。他強http://.調說,與以操作系統為基礎的VPN不同,以用戶為基礎的VPN能向用戶提供更好的管理性和靈活性,當然價格上也是如此。
Schwartau解釋說”PPTP並非理想之選,但也聊勝於無。除非你有國家級機密需要保護,否則PPTP就足夠防范多數非法攻擊了。在機場臨時想要投機取巧的人員會去窺視你的無線連接,看它是否已經采取了加密措施再進行下一步行動。事實上仍然有很多可以輕易得手的漏洞,比如那些沒有加密的連接就給這些人提供了可趁之機”。
無線VPN的復雜性
但是當用戶評估商用級別的VPN時,面臨的復雜性就會成倍增加。技術考量在VPN的選擇過程中扮演著至關重要的角色。舉例來說,在美國密蘇裡(電腦自動關機)州Joplin市的五旬節天主教堂,IT總監東.艾倫介紹說,教堂高管使用的是運行64位Vista操作系統的筆記本電腦,但他們青睐德國NCP工程公司的Nürnberg的VPN產品。
但是教堂現有的思科PIX路由器防火牆過於陳舊無法與VPN兼容,這個發現促使他首先向思科的客戶支持求助,但是沒有得到滿意的解決方案,然後他又向微軟求助,微軟推薦的解決方案是:單一廠商NCP的VPN能為他提供與64位Vista操作系統兼容的產品。
艾倫介紹說”我下載了一個測試版,跟NCP公司溝通後我給他們發送了200MB的截屏。第二天我收到一封電子郵件,要求我更改路由器上的某項設置,將文件復制到每台筆記本電腦上。這樣它就能直接工作了,我購買了他們的許可證授權。我們又再次擁有了安全通訊,這比購買一台新的路由器要便宜太多了。如今,教堂的管理人員在出差時也能像平http://www.xsyzj.cn常一樣訪問網絡。這確實是個不錯的解決方案”。
目前的桌面系統都帶有企業的標識和應用軟件,用戶在存在安全隱患的互聯網上游蕩的可能性就有所降低。安全協議又進一步降低了這種風險。通行的防病毒軟件和防木馬程序會自動開啟並進行病毒偵測,連接到企業網絡的VPN連接只有在類似措施被及時更新後才能使用。強http://.制授權措施也應該適當應用:不僅是使用密碼,還應該上傳授權證書,令牌網或者其他雙重身份認證。
位於倫敦的法律公司LawrenceGraham使用的是令牌網和雙重身份認證技術相結合的方式來保障遠程VPN無線訪問的安全。公司的IT總監JasonPetrucci介紹說”當律師用筆記本電腦遠程登錄公司系統時,他們要經過三重認證:一項是他們的用戶名,一項是要求他們的登錄密碼,最後一項是他們的個人PIN代碼和通行證。公司使用SecurEnvoy通過在文本文件中預先裝載三個一次性通行證來管理和交付這個通行證,然後再傳遞給用戶的黑莓手機”。
Graham解釋說”被使用的通行證會自動更換傳遞到每位律師的黑莓手機上,我們的律師無論去哪都攜帶著黑莓手機。物理令牌網在筆記本被盜或者丟失時也不可避免的面臨風險”。
位於美國西雅圖的IT安全公司ESET的技術總監蘭蒂.艾布拉姆警告說,同時運行多重網絡連接,無論是無線連接還是有線連接都意味著風險。舉例來說,使用兩(電腦沒聲音)個開放式連接,筆記本電腦就成為企業網絡的橋梁。攻擊者就會通過VPN的連接入侵電腦。
艾布拉姆曾經遇到過用戶通過加密的VPN下載安全的企業文檔,然後再通過公共互聯網轉發給沒有加密的網絡電子郵件帳戶這樣的案例。更糟的是,浏覽器助手在浏覽器上下載時只是例行公事的進行提醒,某些包含惡意病毒的對象並沒有被之前的木馬偵測程序檢測到,於是在浏覽器下載時就會立即被激活。解決方案就是:在VPN開始連接時,就立即采取非常堅決和強http://.硬的有線協議來切斷並行網絡連接。
即使是並行加密的VPN也不是絕對安全。將提供這種並行連接的VPN通道分離開是VPN用戶非常普遍的做法。美國明尼阿波利斯市的安全咨詢機構NetSPI的首席技術總監賽斯.彼得警告說”這種想法是將一個通道連接到企業網絡上,另外一個是連接到公共互聯網上。我們推薦用戶關閉第二條通道,這樣連接互聯網唯一的方式就是通過企業網。但問題是,我們看到多數用戶都沒有這麼做”。
需要考慮的因素如此繁復,那麼在實際應用中該如何對無線VPN進行選擇,管理和運行呢
位於美國賓夕法尼亞州Pottsville市的帝國教育集團旗下有多個美容學校。公司的88家學校的職員在差旅途中都是使用思傑的VPN來與公司的企業網連接。在網絡上,思傑訪問網關(CitrixAccessGateway)會向他們開放經過批准的應用軟件,比如Word,Outlook和記錄了班級和人員信息的班級數據庫。
管理協議可以拒絕用戶進行本地存儲,強http://.迫他們在網絡上進行存儲。帝國教育集團的IT副總裁約瑟夫.坦迪斯表示”用戶只能看見對他們公開的驅動,而不是他們本地硬件系統上的文件。從安全角度來說,如果筆記本電腦被盜也不是問題,因為上面根本沒有信息。用戶必須習慣在網絡上存儲”。
坦迪斯補充說,有趣的是,互聯網浏覽器從網上也是對用戶公開的,它能允許公司來控制員工通過筆記本訪問的網站,網站清單不止包括了公司自己的網站,還有微軟和提供支持的站點。這樣遭遇木馬攻擊的可能性就大大降低了”。
同時,財富50強http://.的保險公司MetLife也非常重視數據洩露的問題,特別是對用戶信息的保護在遠程無線訪問中顯得至關重要。公司企業安全助理副總裁JesusMontano表示”我們面臨的挑戰是運用整體安全要求來調劑用戶的訪問需求,然後和用戶共同找出不會危及系統安全的有效解決方案”。
對於來自機場和咖啡館的無線訪問,他解釋說通過VPN廠商CheckPoint訪問可以與MetLife的筆記本電腦隔離,通過RSA的令牌網,雙重身份認證來實施登錄保護。除了在VPN中內置加密措施外,所有筆記本電腦上的數據都進行了保護。
StressesMontano強http://.調說”所有的無線流量都是加密的。使用防火牆對設備進行加密。我們認為努力掌控遠程訪問中最明顯的缺陷,去制定相應的解決方案”。
無線虛擬專用網絡VPN的安全保障