某些VPN部署可以為遠程訪問網絡提供更好的安全性。需要注意的是,不同的供應商產品都提供了不同的特定功能。
確保使用強大的加密設置。所有VPN產品都允許對使用的加密密碼套件進行配置。對于IPSec部署,這可能是 3DES(數據加密標準)或高級加密標準(AES),而安全套接字層(SSL)VPN則有更多選擇,包括流加密(例如RC4)。IPSec讓加密更簡單, 因為客戶端將被預配置為使用特定算法,從而確保了兼容性。而在另一方面,SSL VPN則需要考慮瀏覽器加密支持。由于SSL和傳輸層安全(TLS)漏洞的普及,特別是最近的BEAST和CRIME攻擊,筆者強烈建議使用TLS 1.2等強大的密碼,即使客戶端需要驗證瀏覽器兼容性。對于完整性哈希,安全哈希算法(SHA)-1優于MD5。加密密鑰長度應該要適當,最少256位密鑰(AES)或168位(3DES),1024位密鑰用于密鑰交換算法(例如RSA),而512位密鑰用于哈希算法(例如SHA-1)。
審查終端安全政策。不同的供應商提供不同的端點安全政策,包括操作系統和瀏覽器檢查、反惡意軟件檢查、瀏覽器緩存和注銷后cookie清除,以及客戶端多因素身份驗證(包括智能卡、USB令牌等)。站點到站點VPN則沒有這種類型的政策。
設置會話超時。所有VPN部署都允許會話超時設置,這種會話超時應被設置為你可以接受的盡可能短的時間。根據不同的業務需求,10到15分鐘的會話超時已經足夠,SSL VPN通常還支持自動關閉瀏覽器窗口。
確保建立安全的IPsec設置。IPsec有大量配置選項。然而,很多企業會下意識地選擇便利性和簡潔性,而不 會考慮安全性。例如,很多IPsec部署利用VPN網關已知的“共享秘密”,并將其包括在身份驗證配置中。對此,筆者建議為每個端點使用不同的共享秘密, 這并不難設置。另外,企業應該使用從內部證書頒發機構部署的證書,雖然這需要更多工作,但這樣做更加安全。此外,用于建立IPsec安全關聯的 Internet密鑰交換協議通常因為便利性和性能而被配置為使用Aggressive Mode,但這是更薄弱的交互方法,企業應該使用Main Mode。
使用強大的多因素身份驗證。所有VPN都應該支持某種形式的多因素身份驗證,這是非常重要的工具,特別是對于遠程訪問配置。客戶端證書和智能卡,以及雙因素令牌和發送到移動設備的一次性密碼,都是比較受歡迎的驗證方法,這都比單靠用戶名和密碼要更安全。
修復和升級設備或軟件。所有VPN軟件和設備都需要不定期更新。確保這些系統集成到你現有的漏洞管理戰略中,以避免暴露的漏洞或可用性問題。
當然,這些還只是起點,為特定應用程序和用戶創建訪問控制將需要更多的規劃工作。一些VPN還支持到虛擬桌面基礎設施和其他內部資源的訪問,以幫助 遠程客戶端簡化和加強安全連接。由于所有供應商提供不同的配置選項,企業需要了解所有這些可用的安全設置,并根據性能、可用性和安全性,從中選出最佳解決 方案。
京公網安備 11010502049343號