對廣域網的遠程用戶而言,虛擬專網(VPN)應該是安全的連接,但是因為許多明顯的漏洞,致使許多企業質疑VPN的安全性。RainerEnders是NCPengineering在美洲地區負責VPN安全的CTO,在本篇對他的采訪報道中,大家將會了解到VPN安全漏洞是如何產生的,如何消除這種風險。
VPN安全漏洞通常如何產生?
RainerEnders:盡管VPN號稱是一種安全的技術,但是我認為許多方法會破壞其安全性。
一種常見的方式是中間人攻擊,主要發生在人們訪問無線或有線局域網(或廣域網)的時候。黑客可以通過內部訪問來窺探連接、收集該連接的信息。同時,如果他能夠獲得許可證書的話,還可以利用它發起攻擊。
第二種潛在的漏洞可能來自于物理訪問或監聽支持VPN的設備。如果有人遺失了他們的筆記本電腦或移動設備,同時這些設備支持VPN的話,這種情況就有可能發生。VPN客戶端可能配置為非最佳模式,將許可證書保存在設備本地,而黑客所需要做的僅僅是點擊“連接”,甚至可能連密碼都不需要輸入就可以打開VPN通道。
獲取VPN的安全信息是第三種可能破壞VPN安全性的方式。這些安全信息包括VPN終端的IP地址、配置參數和用戶許可證書等等。獲取這些信息的途徑可能來自于了解VPN具體情況的內部人士,例如從公司離職或被開除的人員等等。大部分網絡都不會頻繁地變化更改,VPN連接會長時間保持一種狀態,因此離開公司的人員有許多機會可以獲知訪問VPN的具體方法。此外,通過其他一些社會工程學的方法也能夠獲取這些安全信息,例如利用惡意郵件或電話讓用戶提供信息等,類似情況也已經多次發生。
第四種破壞VPN安全性的方式是利用身份驗證系統的漏洞或缺陷。固件本身可能存在的缺陷,或是身份驗證系統的一些其他缺點都有可能被利用,比如惡意欺騙或重做SSL授權認證。黑客甚至會利用VPN集中器上眾所周知的漏洞來使身份驗證系統崩潰,從而入侵目標系統。
為什么黑客想要破壞VPN?他們通常尋找哪些信息呢?
Enders:黑客通常分為四大類:
內部人員——那些因為遷怒于公司而離職的前公司成員,他們想要讓公司蒙受損失。
覬覦財務信息的人——他們對信用卡卡號或銀行賬戶等能夠用于銀行轉賬的信息很感興趣。
有政治企圖的人——他們僅僅想要以某種形式來表達其政治立場。
被稱為“腳本少年”的黑客——他們是數量最多的一類,主要利用VPN的漏洞來滿足他們的好奇心,測驗某種理論或是驗證某個概念。更有甚者僅僅想要弄清楚某些東西,證明某個漏洞的存在或是某個系統可以被攻破。
總而言之,壞消息是的確有許多方式可以破壞VPN系統,而好消息是黑客們一般不會以竊取信息為目的。如果真的以竊取信息為目的的話,財務信息最有可能成為被竊目標。例如,竊取信用卡信息進行網絡欺騙交易。
何種類型的VPN(例如SSL、IPsec等)最有可能受到安全破壞的威脅呢?
Enders:不存在100%安全的VPN技術。每項技術都會面臨著某種特定的挑戰。但是,對于時下普遍采用的兩種VPN技術——SSL和IPsec,我認為IPsec要更加安全一些,這是由它們的技術本質所決定的。
作為IETF的一項標準,IPsec擁有安全的內核,技術也相對成熟。此外,在具體應用中,特定的客戶端會控制和關聯IPsec。相比之下,SSL的控制和關聯僅僅通過網絡瀏覽器實現。眾所周知,網絡瀏覽器存在許多漏洞,有許多攻擊專門針對這些漏洞,因此SSL的安全模型頗受質疑。另外,VPN的三個關鍵特性包括保密性、完整性和可靠性。由于對身份認證控制不嚴,SSL的可靠性也飽受質疑。
京公網安備 11010502049343號