錯誤配置VPN客戶端是如何導致安全問題的？你有VPN的安全竅門來確保正確配置VPN客戶端嗎?

虛擬私有網一般運行在兩種模式下：要么建立了安全連接，要么沒有。如果安全連接沒有建立成功，它就不可能發送流量給被保護的資源。因此很少會出現安全漏洞。然而，VPN安全問題仍然可能會發生。

這里，我會著重講述IPsec VPN，這是如今VPN部署中最安全的技術。SSL VPN有很多問題，特別是使用網頁瀏覽器連接的時候。盡管存在無客戶端SSL VPN的概念，但是網頁瀏覽器是SSL VPN客戶端重要的組成部分。方便性促使瀏覽器劇增，但是瀏覽器的使用方式會導致重大安全隱患,從而引發嚴重的安全漏洞。

回到經典的客戶端式IPsec VPN，記住每個VPN連接有兩部分：VPN 客戶端和終端的VPN網關。導致安全風險的錯誤配置VPN客戶端經常發生在建立IPsec連接請求的1階段或2階段。例如，如果客戶配置成使用AES128，用戶將加密算法變成DES（假設網關允許DES為有效的安全請求），這將嚴重降低總的安全級別，因為DES加密強度弱，很容易被攻破。因此，可以在網關那頭做一些控制，禁止達不到最高級VPN安全的安全協議。

另一個可能發生的潛在安全問題是用戶隨意地更改VPN客戶端參數，比如預共享密匙。用戶通常不知道該值，這會導致客戶端沒法建立VPN連接。然后用戶會嘗試獲取正確的VPN配置參數以使客戶端正常工作。在傳送重要的安全參數中，可能會發生安全問題。比如，密匙可以通過郵件發送，甚至發到用戶的公開Yahoo,Gmail或Hotmail賬號?；蛘?，密匙可以通過電話交談偷聽到。如果VPN客戶端還包括其他安全有關的功能，例如客戶端防火墻，事情會變得更糟。改變那些本來要保護接入設備的關鍵客戶端防火墻規則會引發重大隱患。

而一個預設好、且沒法更改配置的VPN客戶端，完全可以避免這些。VPN配置鎖定將預防任何未經授權的改動。另外，完全掌控VPN客戶端讓網絡管理員可以很快的更改配置或是回到之前的配置。管理系統同時也能確保一致和有效的配置到VPN客戶端，以免一開始就錯誤配置VPN客戶端。