摘要:VPN技術已經在各行各業得到廣泛應用,其安全性問題也得到了越來越多的重視。本文對三種不同的VPN技術做了介紹,並討論了其相關安全性問題。
1.VPN簡介
虛擬專用網絡(Virtual Private Network ,簡稱VPN)是一種在公用網絡上建立專用網絡的技術,利用開放的公共網絡資源建立私有傳輸通路,將遠程的分支機構、商業夥伴、移動辦公人員等連接起來,並且提供安全的端到端的數據通信。
VPN具備以下幾個特點:安全保障,QoS,可擴充性和靈活性,可管理性。在爲保證數據的安全性方面,目前主要採用四項技術:隧道(Tunneling)技術,加解密(Encryption & Decryption)技術,密鑰管理(Key Management)技術,使用者與設備認證(Authentication)技術。
VPN有三種解決方案,分別是Access VPN(接入VPN),Intranet VPN(內部VPN),Extranet VPN(外部VPN)。企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用Access VPN。要進行企業內部各分支機構的互聯,使用Intranet VPN是很好的方案。如果是提供B2B之間的安全訪問服務,則可以考慮Extranet VPN。而VPN的設計一般包含以下原則:安全性、網絡優化、VPN管理等。
2.三種VPN技術
IPsec協議是網絡層協議,是爲保障IP通信而提供的一系列協議族,主要針對數據在通過公共網絡時的數據完整性,安全性和合法性等問題設計的一整套隧道,加密和認證方案。遠程用戶需安裝特定的客戶端軟件,相對來說比較複雜,對於非專業人員或不是很熟悉這個協議的人來說,有一定的難度。而且新增用戶比較困難,但是由於IPsec協議是在網絡層上的,與上層協議無關,所以可以隨時添加和修改應用程序,對於應用層協議沒有特殊要求,所以它的應用領域非常之廣。它提供的是網絡邊緣到客戶端的安全保護,僅對從客戶到VPN網關之間的通道加密。
SSL協議是套接層協議,是爲保障基於Web的通信的安全而提供的加密認證協議,提供的是應用程序的安全服務而不是網絡的安全服務。與IPsec相比,SSL VPN不需要特殊的客戶端軟件,僅一個Web瀏覽器即可,而且現在很多瀏覽器本身內嵌SSL處理功能,這就更加減少了複雜性。而且由於它是運行於應用層的,與底層協議無關,所以增加用戶很簡單,但是應用程序擴展比較麻煩。其次,因爲並不是所有的應用都是基於Web的,這也是它的一個限制。它保證端到端的安全,從客戶端到服務器進行全程加密。
MPLS是一種在開放的通信網上利用標籤進行數據高速,高效傳輸的技術,它將第三層的包交換轉換成第二層的包交換,以標記替代傳統的IP路由,兼有第二層的分組轉發和第三層的路由技術的優點,是一種“邊緣路由,核心交換”的技術。MPLS-VPN可擴展性好,速度快,配置簡單,但是一旦出現故障,解決起來比較困難。基於MPLS的VPN是無連接的,無須定義隧道,這種特點使得MPLS尤其適用於動態隧道技術。
3.VPN安全問題
近幾年來VPN的安全性得到了很大的加強,但依然存在一些安全隱患。如果加密密鑰設的長一些,比如採用更多位密碼可以加強其安全性,然而,一些瀏覽器和設備提供者不提倡運用如此煩雜的密碼,這是處於整個系統考慮,不但要追求安全性而且要考慮效率問題。
IPsec-VPN在客戶端需要一臺臺式機或其他設備以便接入網絡。而提供給客戶更多的權限來檢查或監視VPN的安全性也是可行和需要的,因爲有的缺陷是在客戶運行使用中發現的。ISAKMP(Internet Security Association KeyManagement Protocol,Internet安全連接和密鑰管理協議)是用來在Internet環境下建立SA(SecurityAssociation,安全連接)和密鑰。由於它支持包層面的加密,所以在IPSec VPN中廣泛應用。一旦操作了ISAKMP包使得內容無效或不正常,就能夠衝擊另一端的客戶,從而導致一個否定服務事件發生。可以不採用這種易引起攻擊的模式,轉而用一種包過濾技術,因爲在這種攻擊模式中,在安全隧道建立起來之前的那個階段很少有包交換,而允許信息交換。
除此之外,另一個威脅就是利用被認爲可信任的高速緩存通過窗口是可以繞過認證過程的,這種方法不是通過這個認證過程而是將數據散列開形成子序列利用標記進行傳輸。當然,這樣可以提高系統的響應時間,但同時卻也給攻擊者創造了機會,攻擊者們同樣可以得到這種標記利用散列子序列進入VPN網絡而不需要經過認證。阻止這種被認爲可信任的高速緩存能夠解決這個問題。密碼儲存又引起另一個VPN管理問題。密碼也是易被攻擊者利用來入侵網絡了一種途徑。一旦入侵者取得了可信任的密碼就能來攻擊連接或者是自由進出系統做出破壞活動,從而可能引起很嚴重的後果。用於Microsoft VPN中的PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)被發現在安全方面有許多脆弱性,PPTP中的MS-CHAP和MPPE,它們的缺陷使得攻擊者有很多可以利用的地方。例如發起字典攻擊來對抗局域網管理者的認證信息是可能的,這樣做的結果就是竊取到密碼。而且PPTP服務器本身也是能夠被騙過的,會話密鑰能夠再次被使用。鑑於此,Microsoft公司也已經推出了很多補丁包來修復這個問題。
對於VPN接入的安全性和功能性進行良好平衡的一個比較好的方法就是設置一種自適應的協議子集。當一個用戶撥入VPN時,協議子集管理系統就檢查用戶的原IP地址是否是可信任的。如果是在家裏或者是用一個3G卡撥入比在外面撥入所授予的權力要多一些。自適應協議子集根據現實情況在安全性和功能性之間取得平衡,是一種比較好的選擇。