對(duì)廣域網(wǎng)的遠(yuǎn)程用戶而言,虛擬專網(wǎng)(VPN)應(yīng)該是安全的連接,但是因?yàn)樵S多明顯的漏洞,致使許多企業(yè)質(zhì)疑VPN的安全性。Rainer Enders是NCP engineering在美洲地區(qū)負(fù)責(zé)VPN安全的CTO,在本篇對(duì)他的采訪報(bào)道中,大家將會(huì)了解到VPN安全漏洞是如何產(chǎn)生的,如何消除這種風(fēng)險(xiǎn)。
VPN安全漏洞通常如何產(chǎn)生?
Rainer Enders:盡管VPN號(hào)稱是一種安全的技術(shù),但是我認(rèn)為許多方法會(huì)破壞其安全性。
一種常見的方式是中間人攻擊,主要發(fā)生在人們?cè)L問無線或有線局域網(wǎng)(或廣域網(wǎng))的時(shí)候。黑客可以通過內(nèi)部訪問來窺探連接、收集該連接的信息。同時(shí),如果他能夠獲得許可證書的話,還可以利用它發(fā)起攻擊。
第二種潛在的漏洞可能來自于物理訪問或監(jiān)聽支持VPN的設(shè)備。如果有人遺失了他們的筆記本電腦或移動(dòng)設(shè)備,同時(shí)這些設(shè)備支持VPN的話,這種情況就有可能發(fā)生。VPN客戶端可能配置為非最佳模式,將許可證書保存在設(shè)備本地,而黑客所需要做的僅僅是點(diǎn)擊“連接”,甚至可能連密碼都不需要輸入就可以打開VPN通道。
獲取VPN的安全信息是第三種可能破壞VPN安全性的方式。這些安全信息包括VPN終端的IP地址、配置參數(shù)和用戶許可證書等等。獲取這些信息 的途徑可能來自于了解VPN具體情況的內(nèi)部人士,例如從公司離職或被開除的人員等等。大部分網(wǎng)絡(luò)都不會(huì)頻繁地變化更改,VPN連接會(huì)長(zhǎng)時(shí)間保持一種狀態(tài), 因此離開公司的人員有許多機(jī)會(huì)可以獲知訪問VPN的具體方法。此外,通過其他一些社會(huì)工程學(xué)的方法也能夠獲取這些安全信息,例如利用惡意郵件或電話讓用戶 提供信息等,類似情況也已經(jīng)多次發(fā)生。
第四種破壞VPN安全性的方式是利用身份驗(yàn)證系統(tǒng)的漏洞或缺陷。固件本身可能存在的缺陷,或是身份驗(yàn)證系統(tǒng)的一些其他缺點(diǎn)都有可能被利用,比如惡意欺騙或重做SSL授權(quán)認(rèn)證。黑客甚至?xí)肰PN集中器上眾所周知的漏洞來使身份驗(yàn)證系統(tǒng)崩潰,從而入侵目標(biāo)系統(tǒng)。
為什么黑客想要破壞VPN?他們通常尋找哪些信息呢?
Enders:黑客通常分為四大類:
內(nèi)部人員——那些因?yàn)檫w怒于公司而離職的前公司成員,他們想要讓公司蒙受損失。
覬覦財(cái)務(wù)信息的人——他們對(duì)信用卡卡號(hào)或銀行賬戶等能夠用于銀行轉(zhuǎn)賬的信息很感興趣。
有政治企圖的人——他們僅僅想要以某種形式來表達(dá)其政治立場(chǎng)。
被稱為“腳本少年”的黑客——他們是數(shù)量最多的一類,主要利用VPN的漏洞來滿足他們的好奇心,測(cè)驗(yàn)?zāi)撤N理論或是驗(yàn)證某個(gè)概念。更有甚者僅僅想要弄清楚某些東西,證明某個(gè)漏洞的存在或是某個(gè)系統(tǒng)可以被攻破。
總而言之,壞消息是的確有許多方式可以破壞VPN系統(tǒng),而好消息是黑客們一般不會(huì)以竊取信息為目的。如果真的以竊取信息為目的的話,財(cái)務(wù)信息最有可能成為被竊目標(biāo)。例如,竊取信用卡信息進(jìn)行網(wǎng)絡(luò)欺騙交易。
何種類型的VPN(例如SSL、IPsec等)最有可能受到安全破壞的威脅呢?
Enders: 不存在100%安全的VPN技術(shù)。每項(xiàng)技術(shù)都會(huì)面臨著某種特定的挑戰(zhàn)。但是,對(duì)于時(shí)下普遍采用的兩種VPN技術(shù)——SSL和IPsec,我認(rèn)為IPsec要更加安全一些,這是由它們的技術(shù)本質(zhì)所決定的。
作為IETF的一項(xiàng)標(biāo)準(zhǔn),IPsec擁有安全的內(nèi)核,技術(shù)也相對(duì)成熟。此外,在具體應(yīng)用中,特定的客戶端會(huì)控制和關(guān)聯(lián)IPsec。相比之下,SSL的控制和關(guān)聯(lián)僅僅通過網(wǎng)絡(luò)瀏覽器實(shí)現(xiàn)。眾所周知,網(wǎng)絡(luò)瀏覽器存在許多漏洞,有許多攻擊專門針對(duì)這些漏洞,因此SSL的安全模型頗受質(zhì)疑。另外,VPN的三個(gè)關(guān)鍵特性包括保密性、完整性和可靠性。由于對(duì)身份認(rèn)證控制不嚴(yán),SSL的可靠性也飽受質(zhì)疑。
京公網(wǎng)安備 11010502049343號(hào)