IPSec VPN和SSL VPN:對比兩種VPN的安全風險
虛擬專用網絡(VPN)已經成為了公司合作伙伴或員工遠程安全訪問公司資源的事實標準。在本文中,我們將試圖解釋兩種特定的VPN類型,即IPSec VPN和SSL VPN,以及這兩種類型應該如何選擇。
然而,在深入研究這兩個不同類型之前,需要首先對VPN技術進行一個簡要的概述。VPN是指有利于遠程訪問公司資源的一系列技術。這種技術的主要用戶,是試圖在家或者其他公共場所訪問公司資源的公司雇員,以及在公司的基礎架構內支持各種系統的合作伙伴或第三方。VPN一般通過在遠程站點和公司網絡之間建立一個加密通道的方式,利用公共長途IP網絡來進行數據傳輸,這些遠程站點包括雇員的筆記本電腦或者第三方系統。
關鍵技術
當前,最為普及的兩種VPN技術分別是基于傳統網絡安全協議(IPsec)的VPN技術和安全套接字層(SSL)VPN技術,前者主要作用于網絡層,而后者主要作用于應用層。它們的不同之處在于:使用的底層技術不同,所服務的功能不同,以及潛在的VPN安全風險不同。
IPsec最初的設計是提供點到點的,在遠程站點和中央辦公室資源之間進行不間斷的連接。在這種情況下,客戶端可以是分公司或者供應商。這個協議被設計為工作在網絡堆棧的更底層(第3層,網絡層),并可以用來傳輸任何基于IP的協議報文,而不用理會應用程序所產生的流量。隨著移動辦公時代的到來,IPsec已經得到擴展,用戶通過使用一個安裝在移動設備上的專用VPN應用程序(客戶端)就可以進行遠程訪問。
另一方面,SSL VPN在設計時就考慮到了移動辦公。它的預期目標是提供一個無縫連接的、無客戶端的遠程訪問方式。這樣,SSL VPN可以被看做一個應用程序代理,遠程用戶使用瀏覽器就可以以某種粒度訪問公司的特定資源,而不再需要安裝客戶端。
優勢與劣勢
IPsec的關鍵優勢在于它在站點之間提供一個永久連接的能力。工作在網絡層(網絡堆棧的第3層)也使其與應用程序無關:任何基于IP的協議都能夠通過它進行傳輸。這使得IPsec相對于那些昂貴的租用線路或者專用線路,是一個相當有吸引力的替代品。它也可以作為一個備份鏈路,即在連接遠程站點和中央辦公室的主租用線路或專用線路崩潰時起作用。
然而,IPsec中與應用程序無關的設計也是它的弱點。雖然它提供了認證、授權和加密,同時還基本上把公司網絡拓展到任何遠程用戶,但是它沒有能在一定粒度級別上限制對資源的訪問。一旦隧道建立,遠程用戶通常可以訪問公司的任何資源,就像他們是直接連接到公司網絡一樣。因為移動辦公需要允許諸如智能手機和家用電腦等非托管的IT設備訪問公司資源,所以這些安全問題顯得更加嚴重。IT部門對這些設備沒有任何可視性和控制權,而且不能保證這些設備符合通常在托管設備上實施的安全水平。
另外,IPsec也需要更多的維護。除了需要建立終止通道的設備,還需要額外的配置和維護來支持遠程用戶群。在公司使用網絡地址解析(NAT)的情況下,還需要特殊的配置確保IPsec與NAT設置充分協調。
相比之下,SSL VPNs從設計的一開始就支持遠程訪問。它們不需要安裝任何特別的軟件。遠程訪問是通過一個基于瀏覽器的使用安全套接層(SSL)的會話實現的。SSL VPNs還為企業提供粒度級訪問控制的能力。特定的身份驗證和訪問應用程序的授權方案可以被限定在一個特定的用戶群。內置的日志記錄和審核能力能處理各種合規要求。SSL VPNs還具備在連接到企業的遠程設備上運行主機合規性檢查的能力,以驗證它們配置了合適的安全軟件,并安裝了最新的補丁。
但這并非意味著SSL VPNs就是所有IPsec缺點的靈丹妙藥。當一個遠程站點需要與主辦公室建立不間斷連接時,SSL VPN不是合適的解決方案。與應用程序無關的IPsec能以最小的代價支持大量傳統的協議和傳統客戶/服務應用程序。這與圍繞基于Web應用構建的SSL VPNs是不同的。許多SSL VPNs通過在遠程設備上安裝一個Java或者基于ActiveX的代理控件來解決這個缺點。通常情況下,在遠程設備成功通過SSL VPN設備的驗證后,相關的安裝會準確無誤的實現,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,這也是攻擊者通常試圖利用的一點。
IPsec VPN還是SSL VPN?
在企業中,每種VPN方案都有其用處。理想情況下,因為SSL和IPsec VPNs服務于不同的目的且具有優勢互補的特點,所以它們都應該被采用。IPsec應該在需要與遠程辦公地點或者合作伙伴/供應商建立不間斷連接時使用。這種情況下,粒度訪問控制限制和缺失的主機檢查能力應該通過一個網絡訪問控制系統來增加,這就可以確保只有通過驗證的遠程主機才能連接到企業。在粒度訪問控制能力,審核和日志記錄,以及安全策略控制等因素至關重要的移動辦公情況下,企業應該主要使用SSL VPNs作為遠程訪問方案。但是請記住,不管你的VPN選擇或特定需要如何,一個VPN必須更新,測試并進行性能檢測,而且它是作為利用綜合性策略和各種網絡安全技術的深度防護戰略的一部分。
