隨著無線網絡的進步，很多出差在外的商務人士通過機場或者咖啡館的熱站就可以與企業網絡實現無線連接。而在幾年前，在這種環境下企業網通訊被偶然或者頻繁的偷窺還是困擾大家的夢魘。因此，虛擬專用網絡(VPN)的普及成為無線網絡傳輸過程中的必然產物。

但是VPN的安全幾何呢？答案看來是"不像你想象的那樣安全"。

美國俄勒岡州的培訓提供商CBT Nuggets的安全指導顧問兼思科出版社撰稿人Jeremy Cioara表示"人們試圖在虛擬個人網絡中關注隱私這個字眼。他們總是習慣在筆記本上來工作和上網，因為他們認為使用的VPN是安全的，但事實并非如此"。

因此CIO或CSO該如何選擇安全的VPN呢？為了保障VPN的安全該如何對其進行配置和管理？VPN的技術層面和安全設置是否會影響到整個網絡連接的安全？隨著通過VPN無線連接企業網絡的遠程通訊用戶數量不斷攀升，這些問題的嚴峻性就日益凸顯。我們關注的底線并非VPN本身，而是攻擊所在站點棲身的無線上網環境。

提及VPN的選擇，就有很多不同的價位可供選擇。舉例來說，有免費的VPN、開源VPN，號稱每月有15萬下載量和300萬用戶的OpenVPN。微軟公司的Microsoft Windows XP操作系統中也有自帶的免費VPN，它執行的是點對點的PPTP協議。

美國紐約的Castle Brands使用也是遵循PPTP協議的VPN絡，日前發展迅速，已經超過了開源和所有權VPN。

Brands的IT總監Andre Preoteasa表示"我們盡力在不影響安全的前提下控制成本，目前某些VPN前端的成本，額外的硬件設備，軟件許可證授權費用和每年的技術支持費用都迅猛增長。如果你使用的是Windows XP操作系統，有了PPTP就能節省很多"。

Preoteasa解釋說，最初訪問網絡是以密碼為基礎的，后來開始以Microsoft Active Directory的形式用服務器上的認證規則進行訪問控制"人們足不出戶就能領略世界;即使銷售人員不在，財務人員也能進行賬目訪問"。

安全認證公司SCIPP International的創始人兼信息安全專家Winn Schwartau表示，但PPTP作為VPN并非毫無瑕疵，這就是為什么市場上存在如此眾多的商用單機版VPN。他強調說，與以操作系統為基礎的VPN不同，以用戶為基礎的VPN能向用戶提供更好的管理性和靈活性，當然價格上也是如此。

Schwartau解釋說"PPTP并非理想之選，但也聊勝于無。除非你有國家級機密需要保護，否則PPTP就足夠防范多數非法攻擊了。在機場臨時想要投機取巧的人員會去窺視你的無線連接，看它是否已經采取了加密措施再進行下一步行動。事實上仍然有很多可以輕易得手的漏洞，比如那些沒有加密的連接就給這些人提供了可趁之機"。

無線VPN的復雜性

但是當用戶評估商用級別的VPN時，面臨的復雜性就會成倍增加。技術考量在VPN的選擇過程中扮演著至關重要的角色。舉例來說，在美國密蘇里州Joplin市的五旬節天主教堂，IT總監東.艾倫介紹說，教堂高管使用的是運行64位Vista操作系統的筆記本電腦，但他們青睞德國NCP工程公司的Nürnberg的VPN產品。

但是教堂現有的思科PIX路由器防火墻過于陳舊無法與VPN兼容，這個發現促使他首先向思科的客戶支持求助，但是沒有得到滿意的解決方案，然后他又向微軟求助，微軟推薦的解決方案是：單一廠商NCP的VPN能為他提供與64位Vista操作系統兼容的產品。

艾倫介紹說"我下載了一個測試版，跟NCP公司溝通后我給他們發送了200MB的截屏。第二天我收到一封電子郵件，要求我更改路由器上的某項設置，將文件復制到每臺筆記本電腦上。這樣它就能直接工作了，我購買了他們的許可證授權。我們又再次擁有了安全通訊，這比購買一臺新的路由器要便宜太多了。如今，教堂的管理人員在出差時也能像平常一樣訪問網絡。這確實是個不錯的解決方案"。

目前的桌面系統都帶有企業的標識和應用軟件，用戶在存在安全隱患的互聯網上游蕩的可能性就有所降低。安全協議又進一步降低了這種風險。通行的防病毒軟件和防木馬程序會自動開啟并進行病毒偵測，連接到企業網絡的VPN連接只有在類似措施被及時更新后才能使用。強制授權措施也應該適當應用：不僅是使用密碼，還應該上傳授權證書，令牌網或者其他雙重身份認證。

位于倫敦的法律公司Lawrence Graham使用的是令牌網和雙重身份認證技術相結合的方式來保障遠程VPN無線訪問的安全。公司的IT總監Jason Petrucci介紹說"當律師用筆記本電腦遠程登錄公司系統時，他們要經過三重認證：一項是他們的用戶名，一項是要求他們的登錄密碼，最后一項是他們的個人PIN代碼和通行證。公司使用SecurEnvoy通過在文本文件中預先裝載三個一次性通行證來管理和交付這個通行證，然后再傳遞給用戶的黑莓手機"。

Graham解釋說"被使用的通行證會自動更換傳遞到每位律師的黑莓手機上，我們的律師無論去哪都攜帶著黑莓手機。物理令牌網在筆記本被盜或者丟失時也不可避免的面臨風險"。

位于美國西雅圖的IT安全公司ESET的技術總監蘭蒂.艾布拉姆警告說，同時運行多重網絡連接，無論是無線連接還是有線連接都意味著風險。舉例來說，使用兩個開放式連接，筆記本電腦就成為企業網絡的橋梁。攻擊者就會通過VPN的連接入侵電腦。

艾布拉姆曾經遇到過用戶通過加密的VPN下載安全的企業文檔，然后再通過公共互聯網轉發給沒有加密的網絡電子郵件帳戶這樣的案例。更糟的是，瀏覽器助手在瀏覽器上下載時只是例行公事的進行提醒，某些包含惡意病毒的對象并沒有被之前的木馬偵測程序檢測到，于是在瀏覽器下載時就會立即被激活。解決方案就是：在VPN開始連接時，就立即采取非常堅決和強硬的有線協議來切斷并行網絡連接。

即使是并行加密的VPN也不是絕對安全。將提供這種并行連接的VPN通道分離開是VPN用戶非常普遍的做法。美國明尼阿波利斯市的安全咨詢機構NetSPI的首席技術總監賽斯.彼得警告說"這種想法是將一個通道連接到企業網絡上，另外一個是連接到公共互聯網上。我們推薦用戶關閉第二條通道，這樣連接互聯網唯一的方式就是通過企業網。但問題是，我們看到多數用戶都沒有這么做"。

需要考慮的因素如此繁復，那么在實際應用中該如何對無線VPN進行選擇，管理和運行呢？