作為互聯(lián)網(wǎng)技術(shù)和通信需求迅猛發(fā)展的產(chǎn)物， VPN技術(shù)在互聯(lián)網(wǎng)發(fā)展中的地位越發(fā)突顯。隨著“十二五”期間新一輪企業(yè)信息化進(jìn)程的開啟，越來越多的移動辦公用戶、企業(yè)分支機(jī)構(gòu)開始選擇VPN技術(shù)進(jìn)行安全遠(yuǎn)程訪問，甚至許多大型跨國公司、政府部門也開始利用廉價的公用基礎(chǔ)設(shè)施構(gòu)建自己的專用廣域網(wǎng)絡(luò)，進(jìn)行內(nèi)部數(shù)據(jù)的安全傳輸。由于VPN技術(shù)的核心和基礎(chǔ)仍是互聯(lián)網(wǎng)，因此VPN技術(shù)發(fā)展所面臨的安全問題也不容忽視。具體情況如下：

一、基本情況

VPN（virtual private network），即虛擬專用網(wǎng)或虛擬私用網(wǎng)，是指利用開放的公共網(wǎng)絡(luò)資源建立專用網(wǎng)絡(luò)的一種技術(shù)。它是內(nèi)部網(wǎng)的擴(kuò)展，通過特殊的加密通訊協(xié)議在互聯(lián)網(wǎng)上位于不同地方的兩個或多個內(nèi)部網(wǎng)之間建立一條專有的虛擬通訊線路，且并不需要重新鋪設(shè)光纜之類的物理設(shè)備，主要應(yīng)用于內(nèi)部數(shù)據(jù)傳輸和通過高速服務(wù)器代理服務(wù)實現(xiàn)網(wǎng)絡(luò)加速。

（一）VPN的主要特點

一是成本低廉。VPN用戶實際上不需要搭建一個獨立專用的網(wǎng)絡(luò)，且不必投入大量的人力和物力去維護(hù)廣域網(wǎng)設(shè)備和遠(yuǎn)程訪問設(shè)備。二是方便靈活。如果一個VPN節(jié)點存在問題，可以替換一個新的節(jié)點繞過它，從而避免維護(hù)和修理；如果用戶想要與另一用戶進(jìn)行安全的信息傳輸，只需雙方通過VPN配置安全連接信息即可。三是控制能力強。VPN能夠提供細(xì)粒度的訪問控制，可以對用戶權(quán)限、用戶組權(quán)限、資源、服務(wù)、文件等訪問，做到基于單個用戶的精細(xì)控制；同時，用戶能夠完全掌握自己的網(wǎng)絡(luò)控制權(quán)，對VPN的本地安全設(shè)置、網(wǎng)絡(luò)配置等都可以自己管理。

（二）常見的三種VPN技術(shù)

一是IPSec VPN。IPSec協(xié)議是為了保障IP通信而提供的一系列協(xié)議族，主要針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計的一整套隧道加密和認(rèn)證方案。IPSec VPN是指基于IPSec協(xié)議，通過包封裝技術(shù)，能夠利用路由地址封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實現(xiàn)異地網(wǎng)絡(luò)的互通的虛擬專用網(wǎng)絡(luò)。這類VPN的優(yōu)點是世界公認(rèn)的安全性，但是它的運行和長期維護(hù)需要大量技術(shù)支持，管理成本很高。

二是SSL VPN。SSL協(xié)議是套接層協(xié)議，是為了保障基于Web的通信安全而提供的加密認(rèn)證協(xié)議。SSL VPN指的是使用者利用瀏覽器內(nèi)建的SSL封包處理功能，用瀏覽器連接SSL VPN服務(wù)器，然后通過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)的虛擬專用網(wǎng)絡(luò)。相對于IPSec VPN，在保證安全性的前提下減少了操作的復(fù)雜性。

三是MPLS VPN。MPLS是多協(xié)議標(biāo)簽交換技術(shù)，通過將路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)分開，由標(biāo)簽來規(guī)定一個分組通過網(wǎng)絡(luò)的路徑，同時具有靈活多變的路由功能和較高的轉(zhuǎn)發(fā)效率。MPLS VPN是利用MPLS技術(shù)，監(jiān)護(hù)核心路由器的路由選擇方式，利用傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的虛擬專用網(wǎng)絡(luò)。這類VPN具有很高的效率和靈活性，備受業(yè)界關(guān)注，在中國網(wǎng)通、鐵通等全國骨干網(wǎng)的網(wǎng)絡(luò)建設(shè)中得到了實踐部署。

二、VPN面臨的安全問題

從技術(shù)架構(gòu)上來說，VPN可以分為客戶端、傳輸端以及服務(wù)端。不同的VPN技術(shù)，所面臨的安全隱患也不同。具體情況如下：

（一）IPSec VPN安全問題

IPSec VPN在通信協(xié)議和加密算法方面具有很強的安全性，它所面臨的安全威脅主要來源于對客戶端的攻擊。

一是中間人攻擊。主要發(fā)生在客戶端通過無線或有線局域網(wǎng)訪問互聯(lián)網(wǎng)時（例如公用的WIFI、旅店內(nèi)部局域網(wǎng)）。攻擊者可以通過技術(shù)手段在內(nèi)部網(wǎng)絡(luò)虛擬放置一臺受控制的計算機(jī)來窺探通信內(nèi)容，造成信息泄露。二是本地安全配置不完善。由于VPN客戶端的本地安全配置是由用戶自己掌控的，可能由于人為因素而存在安全隱患。例如將許可證書保存在本地設(shè)備等。一旦攻擊者控制了這些設(shè)備，就可以繞過身份驗證，甚至連登錄口令都不需要就能打開VPN通道。三是竊取VPN安全信息。攻擊者可以通過發(fā)送惡意郵件等社會工程學(xué)的方法竊取VPN的安全信息。這些安全信息包括VPN客戶端的IP地址、配置參數(shù)和用戶許可證書等等。利用這些安全信息，攻擊者可以偽造通訊身份，從而對VPN的安全造成威脅。四是VPN內(nèi)部安全防范薄弱。VPN在成功連通之后，對受信任用戶的安全防范要求較低，普遍缺少隧道內(nèi)的攻擊防范策略，增加了VPN內(nèi)部的安全風(fēng)險。一旦攻擊者成功入侵客戶端主機(jī)，或者通過合法程序申請到客戶端，就可以通過一些允許訪問的主機(jī)或服務(wù)的應(yīng)用層協(xié)議漏洞進(jìn)行滲透，獲取訪問權(quán)限，進(jìn)而獲得內(nèi)部的信息；或者利用客戶端主機(jī)對內(nèi)部網(wǎng)絡(luò)和VPN服務(wù)器發(fā)起拒絕服務(wù)攻擊、端口掃描等網(wǎng)絡(luò)攻擊，從而造成網(wǎng)絡(luò)癱瘓或服務(wù)器配置信息外泄。

（二）SSL VPN安全問題

由于SSL VPN并不需要特殊的客戶端軟件，而是用Web瀏覽器代替，因此SSL VPN的安全威脅主要集中在瀏覽器和服務(wù)端。

一是不正確的系統(tǒng)操作引發(fā)的安全問題。例如用戶不是關(guān)閉SSL VPN瀏覽器和服務(wù)器兩端的進(jìn)程來退出系統(tǒng)，而是直接關(guān)閉瀏覽器來代替退出登錄，這可能導(dǎo)致SSL VPN服務(wù)器的進(jìn)程并沒有關(guān)閉（取決于SSL VPN的本地配置）。攻擊者可以利用這種行為繞過身份驗證而訪問VPN，從而給VPN系統(tǒng)帶來較大的安全威脅。二是針對身份認(rèn)證的惡意攻擊。SSL VPN允許用戶在任何地點通過瀏覽器登錄VPN系統(tǒng)，因此用戶在公共場合登錄時泄露登錄口令等安全信息的危險增加。三是病毒通過隧道感染內(nèi)部網(wǎng)絡(luò)。SSL VPN的遠(yuǎn)程用戶可以使用任何地點的任何客戶端遠(yuǎn)程登錄企業(yè)內(nèi)部網(wǎng)絡(luò)，一旦這些客戶端存在病毒，且連上內(nèi)部網(wǎng)絡(luò)，病毒文件就能夠利用SSL VPN隧道入侵內(nèi)部網(wǎng)絡(luò)。同時，由于內(nèi)部網(wǎng)絡(luò)邊界防火墻的局限性，不能有效防止感染了病毒的軟件或文件的傳播，因此病毒能夠通過隧道感染內(nèi)部網(wǎng)絡(luò)。四是Web服務(wù)器自身的安全隱患。大部分SSL VPN系統(tǒng)使用Web服務(wù)器作為其底層平臺，這樣，Web服務(wù)器的任何安全隱患，例如后門或越權(quán)漏洞等，都將給SSL VPN系統(tǒng)帶來嚴(yán)重的安全問題。

（三）MPLS VPN安全問題

作為當(dāng)今國內(nèi)大型運營商的主流VPN技術(shù)，MPLS VPN采用了嚴(yán)格的路由信息隔離機(jī)制，同時采用面向連接的方式在運營商邊界設(shè)備（網(wǎng)絡(luò)接入層設(shè)備）之間建立標(biāo)記交換隧道來傳送用戶信息，在一定程度上保證了用戶信息傳送的安全性。但作為基于IP通信的技術(shù)，且并未對傳輸?shù)男畔⑦M(jìn)行加密和認(rèn)證，因此MPLS VPN仍然存在一些安全問題。

一是針對VPN路由設(shè)備的攻擊。這種攻擊通常在路由信息發(fā)布階段進(jìn)行。例如攻擊者偽裝成某個邊緣設(shè)備與服務(wù)端設(shè)備建立會話連接并交換路由信息（版本信息、LAN口狀態(tài)等），造成VPN內(nèi)部路由信息的泄露；或者攻擊者通過偽造或篡改路由信息，使用戶的數(shù)據(jù)流傳往錯誤的方向，以便竊聽和分析用戶的內(nèi)部信息。二是針對網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊。由于網(wǎng)絡(luò)上的用戶數(shù)據(jù)包和路由協(xié)議包是共享帶寬傳送的，因此過多的用戶業(yè)務(wù)流有可能造成網(wǎng)絡(luò)和設(shè)備資源被耗盡，導(dǎo)致對邊緣設(shè)備或路由器的拒絕服務(wù)攻擊，影響和破壞路由信息的正常傳送。三是來自互聯(lián)網(wǎng)的安全威脅。同之前來自內(nèi)部網(wǎng)絡(luò)的安全攻擊不同，在用戶通過MPLS VPN訪問互聯(lián)網(wǎng)的情況下，攻擊者可以通過IP源地址欺騙、會話劫持、種植木馬等傳統(tǒng)的攻擊手段發(fā)起攻擊，對用戶數(shù)據(jù)流進(jìn)行非法的查看、修改、偽造、刪除等操作。