你用SSL VPN要小心 它仍有安全漏洞
你使用的安全套接安協議層(SSL)VPN可能仍不如你想象的來得安全;如果你的用戶不是始終通過貴公司發放的筆記本電腦來訪問網絡,那更是如此。
專家們表示,一旦SSL VPN用戶通過外部機器來上網瀏覽或者收閱電子郵件,他們就會留下敏感數據,或者容易受到中間人攻擊(man-in-the-middle attack)和擊鍵記錄程序的攻擊。受到感染的自助服務終端(kiosk)也會感染你的網絡。所以,即使這些SSL VPN使用起來可能比IPSec VPN來得更方便(在沒有客戶軟件的任何地方,瀏覽器照樣可以使用SSL),但如果你在部署這些VPN時不慎重,就會遇到意想不到的局面。
SSL VPN在沒有IT資源來支持需要大量管理工作的IPSec VPN的企業當中非常流行,而IPSec VPN需要客戶軟件。不像IPSec在服務器端和客戶機端都使用數字證書,SSL VPN基本上只在服務器端使用數字證書。Gartner公司的副總裁John Pescatore說:“由于SSL基本上采用這種單向方式來部署,所以會導致你面臨中間人攻擊。”
SSL VPN產品在過去幾年取得了長足發展。Pescatore表示,比方說,許多產品隨帶的特性和功能可以防止下載文件或者ActiveX或Java小應用程序。
但這完全取決于你如何配置SSL VPN。Matasano安全公司的研究人員Dino Dai Zovi說:“SSL VPN解決不了真正的問題。雖然它能保護傳輸中的信息,卻阻止不了端點設備被人控制。”
不過Dino Dai Zovi表示,如果遠程用戶的機器連接到網絡上,SSL VPN其實比IPSec VPN來得安全。他說:“如果使用IPSec VPN,遠程用戶的機器完全連接到遠程網絡。蠕蟲及其他惡意軟件就可以通過VPN鏈路直接連接到公司網絡上的主機。如果使用SSL VPN,在遠程用戶機器上運行的軟件卻無法直接接入到公司網絡。”
要求任何電腦在任何地方都要接入VPN的命令通常來自公司上層,比如CEO想在辦公室外頭收閱電子郵件。Pescatore說:“基本問題就是,企業受到了來自業務部門的壓力,要求允許大家可以從任何電腦來處理任務――無論是家庭個人電腦、服務網點的個人電腦,還是貿易展銷會上的個人電腦。”
但從家庭或者承包商的終端設備或者貿易展銷會上的自助服務終端來接入SSL VPN會導致用戶留下痕跡。Dai Zovi表示,最好不要允許用戶使用自助服務終端來處理谷歌搜索之外的任何事務。他說:“使用自助服務終端來進行敏感通信面臨很高的風險。你會在網絡瀏覽器和高速緩存器里面留下大量痕跡,而通過取證手法能夠恢復這些痕跡。”
研究人員Dan Kaminsky表示,你還根本無法通過任何手段來保護互聯網自助服務終端的安全。他說:“人們老是試圖采取種種手段來避開限制。要保護自助服務終端的安全,行不通。”
現在市面上有些產品可以清除用戶在自助服務終端留下的任何痕跡。比方說,思科公司的WebVPN解決方案具有Secure Desktop功能,這項功能就能消除用戶可能無意中留下的敏感數據的任何痕跡。它采用了會話“定位”機制,可以在VPN會話(即連接)結束后,清除所有cookie、臨時文件和下載內容。可以在思科Catalyst交換機上運行WebVPN的Secure Desktop。
安全專家們表示,你應當對進行遠程訪問的所有用戶實行強驗證(strong authentication)。Gartner公司的Pescatore表示,如果用戶沒法攜帶筆記本電腦,可能會使用其他設備,比如USB拇指驅動器(如Route1公司的MobiKey),而這種設備里面含有小型的用戶PC硬盤驅動器,其中包含操作系統。
Dai Zovi強調,但這種類型的設備只是比較方便,并不代表很安全。他說,一種比較安全的方法就是iPod大小的、基于VMware的小型硬盤驅動器,它們可以插入第三方機器,把一切內容都留在這個設備上。
Consilium1公司的業務技術顧問Sean Kelly表示,與此同時,大多數實現的SSL仍只采用128位加密技術,這種加密技術并非萬無一失。
【編輯推薦】
