云端的VPN安全問(wèn)題并不少見(jiàn)，但是只要采取一系列簡(jiǎn)單的措施，這些問(wèn)題即可以輕松避免。專家Dejan Lukan將為大家解釋如何做到這點(diǎn)。

[[132217]]

虛擬專用網(wǎng)絡(luò)(VPN)允許不同的私有網(wǎng)絡(luò)被連接到一個(gè)公有網(wǎng)絡(luò)中。由于VPN端點(diǎn)之間的通信會(huì)經(jīng)過(guò)一個(gè)公有網(wǎng)絡(luò)，因此需要被妥善保護(hù)，防止竊聽(tīng)發(fā)生。

使用一個(gè)VPN服務(wù)有很多益處。其中一個(gè)好處就是能夠在不在辦公室的時(shí)候訪問(wèn)公司的內(nèi)網(wǎng)，或者將兩個(gè)物理上分散的內(nèi)網(wǎng)連接到一個(gè)統(tǒng)一的內(nèi)網(wǎng)上。另外，還有多種可用的VPN協(xié)議的實(shí)現(xiàn)，最廣泛使用的是互聯(lián)網(wǎng)安全協(xié)議(IPsec)和傳輸層安全協(xié)議(SSL/TLS)。其他可用的實(shí)現(xiàn)還包括DTLS，MPPE，SSTP等。

盡管VPN具有以上這些優(yōu)點(diǎn)，也有一些嚴(yán)重的風(fēng)險(xiǎn)，企業(yè)必須做到心中有數(shù)。本文將重點(diǎn)討論如何減輕SSL VPN的安全性問(wèn)題。

如何檢查VPN安全

取決于滲透測(cè)試期間所檢查的VPN的類型，有不同的流程可以遵循。不管使用哪種VPN類型，基本的測(cè)試步驟包括：

偵查：決定使用的VPN類型和VPN進(jìn)程監(jiān)聽(tīng)的端口。這可以通過(guò)端口掃描工具如Nmap做到。根據(jù)不同的VPN類型，服務(wù)有時(shí)候監(jiān)聽(tīng)在UDP端口500上(IPSec)，TCP端口1723，TCP端口443(SSL VPN)，UDP端口1194(OpenVPN)或者其他非默認(rèn)的端口上。

溢出：在成功的識(shí)別出VPN關(guān)聯(lián)哪個(gè)端口后，可以通過(guò)Ike掃描工具確定具體的廠商和守護(hù)進(jìn)程的版本。然后檢查該廠商是否包含任何已有的CVE漏洞，可以被Metasploit框架中的已有exploit或者新寫的exploit利用。

認(rèn)證：監(jiān)聽(tīng)傳入連接的守護(hù)進(jìn)程必須正確檢查客戶遞交的口令。不要只是依賴于用戶名、密碼和使用安全證書來(lái)提高VPN服務(wù)的整體安全。應(yīng)該有恰當(dāng)?shù)拿艽a政策確保強(qiáng)密碼和證書一起使用來(lái)限制暴力攻擊。

強(qiáng)化VPN安全來(lái)防止問(wèn)題

要強(qiáng)化OpenVPN的安全，請(qǐng)編輯它的配置文件。配置文件通常在VPN守護(hù)進(jìn)程運(yùn)行參數(shù)上加上“--config”命令行選項(xiàng)。如果你使用“ps --ef”命令加grep查看所有的OpenVPN進(jìn)程信息，就可以找到這個(gè)配置文件的位置并據(jù)此來(lái)查看文件內(nèi)容。

結(jié)論

當(dāng)VPN服務(wù)被引入到網(wǎng)絡(luò)中，需要遵守某些建議以確保VPN服務(wù)的安全性。有了這些安全措施，攻擊者將不再容易的穿透內(nèi)網(wǎng)。即使在零時(shí)差漏洞的情況下，也存在一些安全實(shí)踐可以限制攻擊者，甚至是在系統(tǒng)已經(jīng)被成功的攻破后。

VPN守護(hù)進(jìn)程的配置的重要部分是要在低權(quán)限的用戶帳號(hào)下運(yùn)行守護(hù)進(jìn)程，這防止攻擊者對(duì)目標(biāo)系統(tǒng)執(zhí)行破壞性的活動(dòng)。在VPN進(jìn)程里遵從和實(shí)施恰當(dāng)?shù)陌踩胧┮苍S正是企業(yè)減少VPN安全問(wèn)題和保護(hù)自己免受網(wǎng)絡(luò)攻擊所需要的。