虚拟私有网络( VPN)保安
虚拟私有网络(VPN)保安现今,由遥距网络接达到内联网的需求日渐增加,员工经常需要从家里、酒店、机场或其它外部网络经互联网(互联网基本上是不安全的)接达到内部私有网络。当员工或业务伙伴经常由不安全的外部网络接连到内部网络,保安便成为重要的考虑因素。
虚拟私有网络(Virutal Private Network, VPN)技术是保护在互联网传送资讯的方法之一。用户可利用该技术与内部网络建立一条虚拟私有隧道,通过不安全的网络如互联网,却能够安全地进入内部网络,接达内部的资源、数据及进行通讯。
本文将提供有关 VPN 的概述和 VPN 核心技术,并探讨可能涉及的保安风险,以及建立 VPN 时应注意的保安事项。
VPN 的用途
机构和企业使用 VPN 的主要用途如下:
1.
远程接达 VPN:这是供家庭用户和流动资讯产品用户,从远距离地点连接机构私有网络的接驳功能,这类 VPN 让机构私有网络与远程用户之间建立稳妥的加密网络联系。
2.
内联网 VPN:这类 VPN 将多个固定地点(例如分支办事处)连接起来,这种 局部区域网之间的连接系统将多个远距离地点连接起来,成为单一的私有网络。
3.
外联网 VPN:这类 VPN 用来连接供应商与客户等业务伙伴,外联网 VPN 使 有关各方能够在一个共用的环境下工作。
4.
替代宽广区域网络:VPN 提供了另类宽广区域网络(Wide Area Networks, WANs)的选择,这类VPN 比使用租用线路的传统私有网络有更强的延展性,所需的费用和管理也少于宽广区域网络。
然而,VPN 网络的可靠性和性能可能较弱,特别是在互联网经隧道传输数据及连接的时候。
VPN 产品种类
VPNs 大致可分为以下各种类:
1.
基于防火墙的 VPN 是兼具防火墙和 VPN 功能,利用防火墙的保安机制限制接达内部网络,这类产品提供网址转换、用户身份认证、实时警报和记录大量资料等功能。
2.
基于硬件的 VPN 由于毋须承受处理器的损耗,所以网络通过量最高,性能较 佳、较可靠。
3.
基于软件的 VPN 提供最高弹性的网络通讯管理,特别是当 VPN 终点由另一 方控制,而且使用不同的防火墙和路由器的情况下适用,这类 VPN 可与硬件加密加速器同时使用以提高性能。
4.
SSL VPN 让用户使用互联网浏览器便可以连接 VPN 装置,互联网浏览器与 SSL VPN 装置之间会使用 SSL(保密插口层)规约或 TLS(传输层保安)规 约来加密通讯。使用 SSL VPNs 的其中一个好处是方便易用,因为所有标准的互联网浏览器均支援 SSL 规约,所以用户毋须安装或配置任何软件。
VPN 的风险和限制
入侵者攻击
客户电脑可能成为攻击目标,或成为入侵者攻击相连网络的跳板。入侵者可能针对客户电脑的保安漏洞或错误配置,甚至利用入侵工具发起攻击。攻击的种类包括 VPN 劫持或中间人攻击:
1.
中间人攻击指影响通讯各方之间的信息往来,包括截取、介入、删除、窜改信息、将信息寄返寄件人、重放旧信息及转发信息。
2.
中間人攻擊指影響通訊各方之間的信息往來,包括截取、介入、刪除、竄改信息、將信息寄返寄件人、重放舊信息及轉發信息。
用户身份认证
虽然应该只有经认证的用户才能够连接 VPN,但基本上,VPN 没有提供或实施强化预设的用户认证。如果认证强度不足而未能遏止未经授权的接达,未经授权人士便有可能 接达已连接的网络和资源。部份 VPN 推行方案只提供有限度的认证方法,例如用于 PPTP 的 PAP 以纯文字传输用户名称和密码,让第三者能够窃取资料并用来接达网络。
客户方风险
家庭用户的 VPN 客户电脑可能使用分隔隧道,一边用 VPN 连接私有网络,同时以宽频 连接互联网,这样便会令已连接的私有网络构成风险。
用户可能同时与保安意识薄弱的使用者共用同一部电脑,另外,流动用户可能使用手提 电脑在酒店连接无线 LAN、在机场或经其它外国网络连接互联网。然而,上述大部份地 点的保安保护并不足够。 VPN 客户电脑不论在连接前,还是连接后被破解,都可能对相连接的网络构成威胁。
恶意软件感染
当客户端受到恶意软件感染,相连接的网络便有机会受影响。客户电脑如果受到恶意软件感染,则有可能向攻击者发放连接 VPN 的密码。就内联网或外联网 VPN 连接而言,如果抗恶意病毒保护系统失效,而其中一个网络受到恶意软件感染,便有可能迅速地向 其它网络散播恶意软件。
不恰当的网络接达权
部份客户及/或相连接网络获授予的接达权可能已超出所需
互用性
互用性是另一个值得注意的问题。举例说,由两个不同供应商提供的 IPsec 兼容软件不 一定可以一起使用。
