如何避免VPN安全漏洞(一)

日期: 2011-12-04 作者:Tessa Parmenter翻译:郑斌 来源:TechTarget中国 英文

对广域网的远程用户而言,虚拟专网(VPN)应该是安全的连接,但是因为许多明显的漏洞,致使许多企业质疑VPN的安全性。Rainer Enders是NCP engineering在美洲地区负责VPN安全的CTO,在本篇对他的采访报道中,大家将会了解到VPN安全漏洞是如何产生的,如何消除这种风险。   VPN安全漏洞通常如何产生?   Rainer Enders:尽管VPN号称是一种安全的技术,但是我认为许多方法会破坏其安全性。   一种常见的方式是中间人攻击,主要发生在人们访问无线或有线局域网(或广域网)的时候。

黑客可以通过内部访问来窥探连接、收集该连接的信息。同时,如果他能够获得许可证书的话,还……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

对广域网的远程用户而言,虚拟专网(VPN)应该是安全的连接,但是因为许多明显的漏洞,致使许多企业质疑VPN的安全性。Rainer Enders是NCP engineering在美洲地区负责VPN安全的CTO,在本篇对他的采访报道中,大家将会了解到VPN安全漏洞是如何产生的,如何消除这种风险。

  VPN安全漏洞通常如何产生?

  Rainer Enders:尽管VPN号称是一种安全的技术,但是我认为许多方法会破坏其安全性。

  一种常见的方式是中间人攻击,主要发生在人们访问无线或有线局域网(或广域网)的时候。黑客可以通过内部访问来窥探连接、收集该连接的信息。同时,如果他能够获得许可证书的话,还可以利用它发起攻击。

  第二种潜在的漏洞可能来自于物理访问或监听支持VPN的设备。如果有人遗失了他们的笔记本电脑或移动设备,同时这些设备支持VPN的话,这种情况就有可能发生。VPN客户端可能配置为非最佳模式,将许可证书保存在设备本地,而黑客所需要做的仅仅是点击“连接”,甚至可能连密码都不需要输入就可以打开VPN通道。

  获取VPN的安全信息是第三种可能破坏VPN安全性的方式。这些安全信息包括VPN终端的IP地址、配置参数和用户许可证书等等。获取这些信息的途径可能来自于了解VPN具体情况的内部人士,例如从公司离职或被开除的人员等等。大部分网络都不会频繁地变化更改,VPN连接会长时间保持一种状态,因此离开公司的人员有许多机会可以获知访问VPN的具体方法。此外,通过其他一些社会工程学的方法也能够获取这些安全信息,例如利用恶意邮件或电话让用户提供信息等,类似情况也已经多次发生。

  第四种破坏VPN安全性的方式是利用身份验证系统的漏洞或缺陷。固件本身可能存在的缺陷,或是身份验证系统的一些其他缺点都有可能被利用,比如恶意欺骗或重做SSL授权认证。黑客甚至会利用VPN集中器上众所周知的漏洞来使身份验证系统崩溃,从而入侵目标系统。

  为什么黑客想要破坏VPN?他们通常寻找哪些信息呢?

  Enders:黑客通常分为四大类:

  内部人员——那些因为迁怒于公司而离职的前公司成员,他们想要让公司蒙受损失。

  觊觎财务信息的人——他们对信用卡卡号或银行账户等能够用于银行转账的信息很感兴趣。

  有政治企图的人——他们仅仅想要以某种形式来表达其政治立场。

  被称为“脚本少年”的黑客——他们是数量最多的一类,主要利用VPN的漏洞来满足他们的好奇心,测验某种理论或是验证某个概念。更有甚者仅仅想要弄清楚某些东西,证明某个漏洞的存在或是某个系统可以被攻破。

  总而言之,坏消息是的确有许多方式可以破坏VPN系统,而好消息是黑客们一般不会以窃取信息为目的。如果真的以窃取信息为目的的话,财务信息最有可能成为被窃目标。例如,窃取信用卡信息进行网络欺骗交易。

  何种类型的VPN(例如SSL、IPsec等)最有可能受到安全破坏的威胁呢?

  Enders: 不存在100%安全的VPN技术。每项技术都会面临着某种特定的挑战。但是,对于时下普遍采用的两种VPN技术——SSL和IPsec,我认为IPsec要更加安全一些,这是由它们的技术本质所决定的。

  作为IETF的一项标准,IPsec拥有安全的内核,技术也相对成熟。此外,在具体应用中,特定的客户端会控制和关联IPsec。相比之下,SSL的控制和关联仅仅通过网络浏览器实现。众所周知,网络浏览器存在许多漏洞,有许多攻击专门针对这些漏洞,因此SSL的安全模型颇受质疑。另外,VPN的三个关键特性包括保密性、完整性和可靠性。由于对身份认证控制不严,SSL的可靠性也饱受质疑。

  本文介绍了四种VPN攻击方式和黑客,《如何避免VPN安全漏洞(二)》将为你介绍MPLS VPN的安全性;企业应当如何建设合适的VPN来保障信息安全以及企业应当如何平衡VPN的易用性和安全性等内容。

翻译

郑斌
郑斌

相关推荐

  • VPN技术的发展将如何改变远程访问?

    VPN(虚拟专用网络)已经存在一段时间了。在过去二十年中,随着VPN的发展,这项技术已经从方便远程访问的点对点连接技术,转变成为基于复杂安全性的多点连接。

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

  • 不暴露才安全:飞鱼星视频监控安全解决之道

    我们不能抑制企业远程访问内网的需求,也不能指望一串复杂密码保卫一切,那么,最行之有效的方法就是不给企业信息暴露在互联网的机会,要做到这点,企业只需采用具有VPN功能的网络设备。

  • IP网络安全的基石——IPSec协议

    IPSec(IP Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。