摘要:越來越多的移動辦公用戶、企業分支機構開始選擇VPN技術進行安全遠程訪問,利用廉價的公用基礎設施構建自己的專用廣域網絡,進行內部數據的安全傳輸。由於VPN技術的核心和基礎仍是互聯網,因此VPN技術發展所面臨的安全問題也不容忽視。
作者:來源:e-works | 2014年09月18日 11:28:06
關鍵字:vpn技術 安全分析 安全訪問 遠程安全
作為互聯網技術和通信需求迅猛發展的產物, VPN技術在互聯網發展中的地位越發突顯。隨著 十二五 期間新一輪企業信息化進程的開啟,越來越多的移動辦公用戶、企業分支機構開始選擇VPN技術進行安全遠程訪問,甚至許多大型跨國公司、政府部門也開始利用廉價的公用基礎設施構建自己的專用廣域網絡,進行內部數據的安全傳輸。由於VPN技術的核心和基礎仍是互聯網,因此VPN技術發展所面臨的安全問題也不容忽視。具體情況如下:
一、基本情況
VPN(virtual private network),即虛擬專用網或虛擬私用網,是指利用開放的公共網絡資源建立專用網絡的一種技術。它是內部網的擴展,通過特殊的加密通訊協議在互聯網上位於不同地方的兩個或多個內部網之間建立一條專有的虛擬通訊線路,且並不需要重新鋪設光纜之類的物理設備,主要應用於內部數據傳輸和通過高速服務器代理服務實現網絡加速。
(一)VPN的主要特台中申請商標費用點
一是成本低廉。VPN用戶實際上不需要搭建一個獨立專用的網絡,且不必投入大量的人力和物力去維護廣域網設備和遠程訪問設備。二是方便靈活。如果一個VPN節點存在問題,可以替換一個新的節點繞過它,從而避免維護和修理;如果用戶想要與另一用戶進行安全的信息傳輸,隻需雙方通過VPN配置安全連接信息即可。三是控制能力強。VPN能夠提供細粒度的訪問控制,可以對用戶權限、用戶組權限、資源、服務、文件等訪問,做到基於單個用戶的精細控制;同時,用戶能夠完全掌握自己的網絡控制權,對VPN的本地安全設置、網絡配置等都可以自己管理。
(二)常見的三種VPN技術
一是IPSec VPN。IPSec協議是為瞭保障IP通信而提供的一系列協議族,主要針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計的一整套隧道加密和認證方案。IPSec VPN是指基於IPSec協議,通過包封裝技術,能夠利用路由地址封裝內部網絡的IP地址,實現異地網絡的互通的虛擬專用網絡。這類VPN的優點是世界公認的安全性,但是它的運行和長期維護需要大量技術支持,管理成本很高。
二是SSL VPN。SSL協議是套接層協議,是為瞭保障基於Web的通信安全而提供的加密認證協議。SSL VPN指的是使用者利用瀏覽器內建的SSL封包處理功能,用瀏覽器連接SSL VPN服務器,然後通過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據的虛擬專用網絡。相對於IPSec VPN,在保證安全性的前提下減少瞭操作的復雜性。
三是MPLS VPN。MPLS是多協議標簽交換技術,通過將路由選擇和數據轉發分開,由標簽來規定一個分組通過網絡的路徑,同時具有靈活多變的路由功能和較高的轉發效率。MPLS VPN是利用MPLS技術,監護核心路由器的路由選擇方式,利用傳統路由技術的標記交換實現的虛擬專用網絡。這類VPN具有很高的效率和靈活性,備受業界關註,在中國網通、鐵通等全國骨幹網的網絡建設中得到瞭實踐部署。
二、VPN面臨的安全問題
從技術架構上來說,VPN可以分為客戶端、傳輸端以及服務端。不同的VPN技術,所面臨的安全隱患也不同。具體情況如下:
(一)IPSec VPN安全問題
IPSec VPN在通信協議和加密算法方面具有很強的安全性,它所面臨的安全威脅主要來源於對客戶端的攻擊。
一是中間人攻擊。主要發生在客戶端通過無線或有線局域網訪問互聯網時(例如公用的WIFI、旅店內部局域網)。攻擊者可以通過技術手段在內部網絡虛擬放置一臺受控制的計算機來窺探通信內容,造成信息泄露。二是本地安全配置不完善。由於VPN客戶端的本地安全配置是由用戶自己掌控的,可能由於人為因素而存在安全隱患。例如將許可證書保存在本地設備等。一旦攻擊者控制瞭這些設備,就可以繞過身份驗證,甚至連登錄口令都不需要就能打開VPN通道。三是竊取VPN安全信息。攻擊者可以通過發送惡意郵件等社會工程學的方法竊取VPN的安全信息。這些安全信息包括VPN客戶端的IP地址、配置參數和用戶許可證書等等。利用這些安全信息,攻擊者可以偽造通訊身份,從而對VPN的安全造成威脅。四是VPN內部安全防范薄弱。VPN在成功連通之後,對受信任用戶的安全防范要求較低,普遍缺少隧道內的攻擊防范策略,增加瞭VPN內部的安全風險。一旦攻擊者成功入侵客戶端主機,或者通過合法程序申請到客戶端,就可以通過一些允許訪問的主機或服務的應用層協議漏洞進行滲透,獲取訪問權限,進而獲得內部的信息;或者利用客戶端主機對內部網絡和VPN服務器發起拒絕服務攻擊、端口掃描等網絡攻擊,從而造成網絡癱瘓或服務器配置信息外泄。
(二)SSL VPN安全問題
由於SSL VPN並不需要特殊的客戶端軟件,而是用Web瀏覽器代替,因此SSL VPN的安全威脅主要集中在瀏覽器和服務端。
一是不正確的系統操作引發的安全問題。例如用戶不是關閉SSL VPN瀏覽器和服務器兩端的進程來退出系統,而是直接關閉瀏覽器來代替退出登錄,這可能導致SSL VPN服務器的進程並沒有關閉(取決於SSL VPN的本地配置)。攻擊者可以利用這種行為繞過身份驗證而訪問VPN,從而給VPN系統帶來較大的安全威脅。二是針對身份認證的惡意攻擊。SSL VPN允許用戶在任何地點通過瀏覽器登錄VPN系統,因此用戶在公共場合登錄時泄露登錄口令等安全信息的危險增加。三是病毒通過隧道感染內部網絡。SSL VPN的遠程用戶可以使用任何地點的任何客戶端遠程登錄企業內部網絡,一旦這些客戶端存在病毒,且連上內部網絡,病毒文件就能夠利用SSL VPN隧道入侵內部網絡。同時,由於內部網絡邊界防火墻的局限性,不能有效防止感染瞭病毒的軟件或文件的傳播,因此病毒能夠通過隧道感染內部網絡。四是Web服務器自身的安全隱患。大部分SSL VPN系統使用Web服務器作為其底層平臺,這樣,Web服務器的任何安全隱患,例如後門或越權漏洞等,都將給SSL VPN系統帶來嚴重的安全問題。
(三)MPLS台中商標註冊流程 VPN安全問題
作為當今國內大型運營商的主流VPN技術,MPLS VPN采用瞭嚴格的路由信息隔離機制,同時采用面向連接的方式在運營商邊界設備(網絡接入層設備)之間建立標記交換隧道來傳送用戶信息,在一定程度上保證瞭用戶信息傳送的安全性。但作為基於IP通信的技術,且並未對傳輸的信息進行加密和認證,因此MPLS VPN仍然存在一些安全問題。
一是針對VPN路由設備的攻擊。這種攻擊通常在路由信息發佈階段進行。例如攻擊者偽裝成某個邊緣設備與服務端設備建立會話連接並交換路由信息(版本信息、LAN口狀態等),造成VPN內部路由信息的泄露;或者攻擊者通過偽造或篡改路由信息,使用戶的數據流傳往錯誤的方向,以便竊聽和分析用戶的內部信息。二是針對網絡設備的拒絕服務攻擊。由於網絡上的用戶數據包和路由協議包是共享帶寬傳送的,因此過多的用戶業務流有可能造成網絡和設備資源被耗盡,導致對邊緣設備或路由器的拒絕服務攻擊,影響和破壞路由信息的正常傳送。三是來自互聯網的安全威脅。同之前來自內部網絡的安全攻擊不同,在用戶通過MPLS VPN訪問互聯網的情況下,攻擊者可以通過IP源地址欺騙、會話劫持、種植木馬等傳統的攻擊手段發起攻擊,對用戶數據流進行非法的查看、修改、偽造、刪除等操作。
vpn技術安全分析
文章標籤
全站熱搜
留言列表
