虛擬私有網絡( VPN)保安
主頁 > 
虛擬私有網絡( VPN)保安
< 返回

虛擬私有網絡( VPN)保安

虛擬私有網絡(VPN)保安現今,由遙距網絡接達到內聯網的需求日漸增加,員工經常需要從家裡、酒店、機場或其它外部網絡經互聯網(互聯網基本上是不安全的)接達到內部私有網絡。當員工或業務伙伴經常由不安全的外部網絡接連到內部網絡,保安便成為重要的考慮因素。

虛擬私有網絡(Virutal Private Network, VPN)技術是保護在互聯網傳送資訊的方法之一。用戶可利用該技術與內部網絡建立一條虛擬私有隧道,通過不安全的網絡如互聯網,卻能夠安全地進入內部網絡,接達內部的資源、數據及進行通訊。

本文將提供有關 VPN 的概述和 VPN 核心技術,並探討可能涉及的保安風險,以及建立 VPN 時應注意的保安事項。

VPN 的用途
機構和企業使用 VPN 的主要用途如下:
1.
遠程接達 VPN:這是供家庭用戶和流動資訊產品用戶,從遠距離地點連接機構私有網絡的接駁功能,這類 VPN 讓機構私有網絡與遠程用戶之間建立穩妥的加密網絡聯繫。
2.
內聯網 VPN:這類 VPN 將多個固定地點(例如分支辦事處)連接起來,這種局部區域網之間的連接系統將多個遠距離地點連接起來,成為單一的私有網絡。
3.
外聯網 VPN:這類 VPN 用來連接供應商與客戶等業務夥伴,外聯網 VPN 使 有關各方能夠在一個共用的環境下工作。
4.
替代寬廣區域網絡:VPN 提供了另類寬廣區域網絡(Wide Area Networks, WANs)的選擇,這類 VPN 比使用租用線路的傳統私有網絡有更強的延展性,所需的費用和管理也少於寬廣區域網絡。
然而,VPN 網絡的可靠性和性能可 能較弱,特別是在互聯網經隧道傳輸數據及連接的時候。
VPN 產品種類
VPNs 大致可分為以下各種類:
1.
基於防火牆的 VPN 是兼具防火牆和 VPN 功能,利用防火牆的保安機制限制接達內部網絡,這類產品提供網址轉換、用戶身份認證、實時警報和記錄大量資料等功能。
2.
基於硬件的 VPN 由於毋須承受處理器的損耗,所以網絡通過量最高,性能較佳、較可靠。
3.
基於軟件的 VPN提供最高彈性的網絡通訊管理,特別是當 VPN 終點由另一方控制,而且使用不同的防火牆和路由器的情況下適用,這類 VPN 可與硬件加密加速器同時使用以提高性能。
4.
SSL VPN讓用戶使用互聯網瀏覽器便可以連接 VPN 裝置,互聯網瀏覽器與 SSL VPN 裝置之間會使用 SSL(保密插口層)規約或 TLS(保密插口層)規約來加密通訊。使用 SSL VPNs 的其中一個好處是方便易用,因為所有標準的互聯網瀏覽器均支援 SSL 規約,所以用戶毋須安裝或配置任何軟件。
VPN 的風險和限制

入侵者攻擊

客戶電腦可能成為攻擊目標,或成為入侵者攻擊相連網絡的跳板。入侵者可能針對客戶電腦的保安漏洞或錯誤配置,甚至利用入侵工具發起攻擊。攻擊的種類包括 VPN 劫持或中間人攻擊
1.
VPN 劫持即未經授權從遠程客戶劫持已建立的 VPN 連接,並在相連的網絡中偽冒該客戶。
2.
中間人攻擊指影響通訊各方之間的信息往來,包括截取、介入、刪除、竄改信息、將信息寄返寄件人、重放舊信息及轉發信息。

用戶身份認證

雖然應該只有經認證的用戶才能夠連接 VPN,但基本上,VPN 沒有提供或實施強化預設的用戶認證。如果認證強度不足而未能遏止未經授權的接達,未經授權人士便有可能接達已連接的網絡和資源。部份 VPN 推行方案只提供有限度的認證方法,例如用於 PPTP 的 PAP 以純文字傳輸用戶名稱和密碼,讓第三者能夠竊取資料並用來接達網絡。

客戶方風險

家庭用戶的 VPN 客戶電腦可能使用分隔隧道,一邊用 VPN 連接私有網絡,同時以寬頻 連接互聯網,這樣便會令已連接的私有網絡構成風險。
用戶可能同時與保安意識薄弱的使用者共用同一部電腦,另外,流動用戶可能使用手提電腦在酒店連接無線 LAN、在機場或經其它外國網絡連接互聯網。然而,上述大部份地點的保安保護並不足夠。VPN 客戶電腦不論在連接前,還是連接後被破解,都可能對相連接的網絡構成威脅

惡意軟件感染

當客戶端受到惡意軟件感染,相連接的網絡便有機會受影響。客戶電腦如果受到惡意軟件感染,則有可能向攻擊者發放連接 VPN 的密碼。就內聯網或外聯網 VPN 連接而言,如果抗惡意軟件保護系統失效,而其中一個網絡受到電腦病毒感染,便有可能迅速地向 其它網絡散播惡意軟件。

不恰當的網絡接達權

部份客戶及/或相連接網絡獲授予的接達權可能已超出所需。

互用性

互用性是另一個值得注意的問題。舉例說,由兩個不同供應商提供的 IPsec 兼容軟件不 一定可以一起使用。