隨著無線網絡的進步,很多出差在外的商務人士通過機場或者咖啡館的熱站就可以與企業網絡實現無線連接。而在幾年前,在這種環境下企業網通訊被偶然或者頻繁的偷窺還是困擾大傢的夢魘。因此,虛擬專用網絡(VPN)的普及成為無線網絡傳輸過程中的必然產物。 但是VPN的安全幾何呢?答案看來是 不像你想象的那樣安全 。
美國俄勒岡州的培訓提供商CBT Nuggets的安全指導顧問兼思科出版社撰稿人Jeremy Cioara表示 人們試圖在虛擬個人網絡中關註隱私這個字眼。他們總是習慣在筆記本上來工作和上網,因為他們認為使用的VPN是安全的,但事實並非如此 。
因此CIO或CSO該如何選擇安全的VPN呢?為瞭保障VPN的安全該如何對其進行配置和管理?VPN的技術層面和安全設置是否會影響到整個網絡連接的安全?隨著通過VPN無線連接企業網絡的遠程通訊用戶數量不斷攀升,這些問題的嚴峻性就日益凸顯。我們關註的底線並非VPN本身,而是攻擊所在站點棲身的無線上網環境。
提及VPN的選擇,就有很多不同的價位可供選擇。舉例來說,有免費的VPN、開源VPN,號稱每月有15萬下載量和300萬用戶的OpenVPN。微軟公司的Microsoft Windows XP操作系統中也有自帶的免費VPN,它執行的是點對點的PPTP協議。
美國紐約的Castle Brands使用也是遵循PPTP協議的VPN絡,日前發展迅速,已經超過瞭開源和所有權VPN。
Brands的IT總監Andre Preoteasa表示 我們盡力在不影響安全的前提下控制成本,目前某些VPN前端的成本,額外的硬件設備,軟件許可證授權費用和每年的技術支持費用都迅猛增長。如果你使用的是Windows XP操作系統,有瞭PPTP就能節省很多 。
Preoteasa解釋說,最初訪問網絡是以密碼為基礎的,後來開始以Microsoft Active Directory的形式用服務器上的認證規則進行訪問控制 人們足不出戶就能領略世界;即使銷售人員不在,財務人員也能進行賬目訪問 。
安全認證公司SCIPP International的創始人兼信息安全專傢Winn Schwartau表示,但PPTP作為VPN並非毫無瑕疵,這就是為什麼市場上存在如此眾多的商用單機版VPN。他強調說,與以操作系統為基礎的VPN不同,以用戶為基礎的VPN能向用戶提供更好的管理性和靈活性,當然價格上也是如此。
Schwartau解釋說 PPTP並非理想之選,但也聊勝於無。除非你有國傢級機密需要保護,否則PPTP就足夠防范多數非法攻擊瞭。在機場臨時想要投機取巧的人員會去窺視你的無線連接,看它是否已經采取瞭加密措施再進行下一步行動。事實上仍然有很多可以輕易得手的漏洞,比如那些沒有加密的連接就給這些人提供瞭可趁之機 。
無線VPN的復雜性
但是當用戶評估商用級別的VPN時,面臨的復雜性就會成倍增加。技術考量在VPN的選擇過程中扮演著至關重要的角色。舉例來說,在美國密蘇裡州Joplin市的五旬節天主教堂,IT總監東.艾倫介紹說,教堂高管使用的是運行64位Vista操作系統的筆記本電腦,但他們青睞德國NCP工程公司的N rnberg的VPN產品。
但是教堂現有的思科PIX路由器防火墻過於陳舊無法與VPN兼容,這個發現促使他首先向思科的客戶支持求助,但是沒有得到滿意的解決方案,然後他又向微軟求助,微軟推薦的解決方案是:單一廠商NCP的VPN能為他提供與64位Vista操作系統兼容的產品。
艾倫介紹說 我下載瞭一個測試版,跟NCP公司溝通後我給他們發送瞭200MB的截屏。第二天我收到一封電子郵件,要求我更改路由器上的某項設置,將文件復制到每臺筆記本電腦上。這樣它就能直接工作瞭,我購買瞭他們的許可證授權。我們又再次擁有瞭安全通訊,這比購買一臺新的路由器要便宜太多瞭。如今,教堂的管理人員在出差時也能像平常一樣訪問網絡。這確實是個不錯的解決方案 。
目前的桌面系統都帶有企業的標識和應用軟件,用戶在存在安全隱患的互聯網上遊蕩的可能性就有所降低。安全協議又進一步降低瞭這種風險。通行的防病毒軟件和防木馬程序會自動開啟並進行病毒偵測,連接到企業網絡的VPN連接隻有在類似措施被及時更新後才能使用。強制授權措施也應該適當應用:不僅是使用密碼,還應該上傳授權證書,令牌網或者其他雙重身份認證。
位於倫敦的法律公司Lawrence Graham使用的是令牌網和雙重身份認證技術相結合的方式來保障遠程VPN無線訪問的安全。公司的IT總監Jason Petrucci介紹說 當律師用筆記本電腦遠程登錄公司系統時,他們要經過三重認證:一項是他們的用戶名,一項是要求他們的登錄密碼,最後一項是他們的個人PIN代碼和通行證。公司使用SecurEnvoy通過在文本文件中預先裝載三個一次性通行證來管理和交付這個通行證,然後再傳遞給用戶的黑莓手機 。
Graham解釋說 被使用的通行證會自動更換傳遞到每位律師的黑莓手機上,我們的律師無論去哪都攜帶著黑莓手機。物理令牌網在筆記本被盜或者丟失時也不可避免的面臨風險 。
位於美國西雅圖的IT安全公司ESET的技術總監蘭蒂.艾佈拉姆警告說,同時運行多重網絡連接,無論是無線連接還是有線連接都意味著風險。舉例來說,使用兩個開放式連接,筆記本電腦就成為企業網絡的橋梁。攻擊者就會通過VPN的連接入侵電腦。
艾佈拉姆曾經遇到過用戶通過加密的VPN下載安全的企業文檔,然後再通過公共互聯網轉發給沒有加密的網絡電子郵件帳戶這樣的案例。更糟的是,瀏覽器助手在瀏覽器上下載時隻是例行公事的進行提醒,某些包含惡意病毒的對象並沒有被之前的木馬偵測程序檢測到,於是在瀏覽器下載時就會立即被激活。解決方案就是:在VPN開始連接時,就立即采取非常堅決和強硬的有線協議來切斷並行網絡連接。
即使是並行加密的VPN也不是絕對安全。將提供這種並行連接的VPN通道分離開是VPN用戶非常普遍的做法。美國明尼阿波利斯市的安全咨詢機構NetSPI的首席技術總監賽斯.彼得警告說 這種想法是將一個通道連接到企業網絡上,另外一個是連接到公共互聯網上。我們推薦用戶關閉第二條通道,這樣連接互聯網唯一的方式就是通過企業網。但問題是,我們看到多數用戶都沒有這麼做 。
需要考慮的因素如此繁復,那麼在實際應用中該如何對無線VPN進行選擇,管理和運行呢?
位於美國賓夕法尼亞州Pottsville市的帝國教育集團旗下有多個美容學校。公司的88傢學校的職員在差旅途中都是使用思傑的VPN來與公司的企業網連接。在網絡上,思傑訪問網關(Citrix Access Gateway)會向他們開放經過批準的應用軟件,比如Word, Outlook和記錄瞭班級和人員信息的班級數據庫。
管理協議可以拒絕用戶進行本地存儲,強迫他們在網絡上進行存儲。帝國教育集團的IT副總裁約瑟夫.坦迪斯表示 用戶隻能看見對他們公開的驅動,而不是他們本地硬件系統上的文件。從安全角度來說,如果筆記本電腦被盜也不是問題,因為上面根本沒有信息。用戶必須習慣在網絡上存儲 。
坦迪斯補充說,有趣的是,互聯網瀏覽器從網上也是對用戶公開的,它能允許公司來控制員工通過筆記本訪問的網站,網站清單不止包括瞭公司自己的網站,還有微軟和提供支持的站點。這樣遭遇木馬攻擊的可能性就大大降低瞭 。
同時,財富50強的保險公司MetLife也非常重視數據泄露的問題,特別是對用戶信息的保護在遠程無線訪問中顯得至關重要。公司企業安全助理副總裁Jesus Montano表示 我們面臨的挑戰是運用整體安全要求來調劑用戶的訪問需求,然後和用戶共同找出不會危及系統安全的有效解決方案 。
對於來自機場和咖啡館的無線訪問,他解釋說通過VPN廠商Check Point訪問可以與MetLife的筆記本電腦隔離,通過RSA的令牌網,雙重身份認證來實施登錄保護。除瞭在VPN中內置加密措施外,所有筆記本電腦上的數據都進行瞭保護。
Stresses Montano強調說 所有的無線流量都是加密的。使用防火墻對設備進行加密。我們認為努力掌控遠程訪問中最明顯的缺陷,去制定相應的解決方案 。
責編:微信掃一掃實時瞭解行業動態微信掃一掃分享本文給好友收藏到暢享 打印全文復制鏈接添加到收藏投稿郵箱
分享到: 新浪微博 騰訊微博 發表評論姓名:郵箱:驗證碼: 看不清,換一個
著作權聲明:暢享網文章著作權分屬暢享網、網友和合作夥伴,部分非原創文章作者信息可能有所缺失,如需補充或修改請與我們聯系,工作人員會在1個工作日內配合處理。
通過咨詢項目或年度顧問方式,幫助您架起業務和IT的橋梁,解決業務和IT創新融合、現有系統取舍難、IT架構、建設路徑、IT治理、IT支出優化等IT策略問題。台中商標註冊類別
通過電話,與您交流信息化現狀及要解決的管理問題,幫助您確定IT建設的基本思路,回答您在IT規劃方面的常見困惑。
與您簽訂總包或三方合同,幫您解決業務和IT規劃落地走樣、IT詳細設計缺失、難以尋覓靠譜的技術供應商、多個供應商協調難、維護升級服務保障難等棘手問題。
為您推薦與企業需求、預算相匹配的靠譜服務商、產品商,解決產品選型沒有底、服務商質量難保障的問題。
與您簽訂監理合同,以裡程碑專傢評審、項目變更協調、風險控制研討、供應商關系協調、CIO智力網絡等為主要服務內容,與甲乙方一起實現上線成功。台灣商標申請
通過電話,交流您IT建設的現狀及面臨的問題,在IT建設路徑、供應商選擇、IT項目棘手問題處理等方面提供智力和資源支持。
暢享IT幫助尋找可靠的、性價比高的開發力量,簽訂外包合同或三方合同,為企業提供可信賴的開發量,為IT供應商解決開發力量不足的問題。
暢享IT幫助尋找靠譜的台中申請商標代辦、性價比高的維護力量,簽訂外包合同,對客戶滿意度負責,為客戶解決維護運營服務保障難的問題。
文章標籤
全站熱搜
留言列表
