近几年来,SSL VPN产品的安全性越来越高;但如果用户通过第三方机器来登录,这项技术仍不安全。
你使用的安全套接安协议层(SSL)VPN可能仍不如你想象的来得安全;如果你的用户不是始终通过贵公司发放的笔记本电脑来访问网络,那更是如此。
专家们表示,一旦SSL VPN用户通过外部机器来上网浏览或者收阅电子邮件,他们就会留下敏感数据,或者容易受到中间人攻击(man-in-the-middle attack)和击键记录程序的攻击。受到感染的自助服务终端(kiosk)也会感染你的网络。所以,即使这些SSL VPN使用起来可能比IPSec VPN来得更方便(在没有客户软件的任何地方,浏览器照样可以使用SSL),但如果你在部署这些VPN时不慎重,就会遇到意想不到的局面。
SSL VPN在没有IT资源来支持需要大量管理工作的IPSec VPN的企业当中非常流行,而IPSec VPN需要客户软件。不像IPSec在服务器端和客户机端都使用数字证书,SSL VPN基本上只在服务器端使用数字证书。Gartner公司的副总裁John Pescatore说:“由于SSL基本上采用这种单向方式来部署,所以会导致你面临中间人攻击。”
SSL VPN产品在过去几年取得了长足发展。Pescatore表示,比方说,许多产品随带的特性和功能可以防止下载文件或者ActiveX或Java小应用程序。
但这完全取决于你如何配置SSL VPN。Matasano安全公司的研究人员Dino Dai Zovi说:“SSL VPN解决不了真正的问题。虽然它能保护传输中的信息,却阻止不了端点设备被人控制。”
不过Dino Dai Zovi表示,如果远程用户的机器连接到网络上,SSL VPN其实比IPSec VPN来得安全。他说:“如果使用IPSec VPN,远程用户的机器完全连接到远程网络。蠕虫及其他恶意软件就可以通过VPN链路直接连接到公司网络上的主机。如果使用SSL VPN,在远程用户机器上运行的软件却无法直接接入到公司网络。”
要求任何电脑在任何地方都要接入VPN的命令通常来自公司上层,比如CEO想在办公室外头收阅电子邮件。Pescatore说:“基本问题就是,企业受到了来自业务部门的压力,要求允许大家可以从任何电脑来处理任务――无论是家庭个人电脑、服务网点的个人电脑,还是贸易展销会上的个人电脑。”
但从家庭或者承包商的终端设备或者贸易展销会上的自助服务终端来接入SSL VPN会导致用户留下痕迹。Dai Zovi表示,最好不要允许用户使用自助服务终端来处理谷歌搜索之外的任何事务。他说:“使用自助服务终端来进行敏感通信面临很高的风险。你会在网络浏览器和高速缓存器里面留下大量痕迹,而通过取证手法能够恢复这些痕迹。”
研究人员Dan Kaminsky表示,你还根本无法通过任何手段来保护互联网自助服务终端的安全。他说:“人们老是试图采取种种手段来避开限制。要保护自助服务终端的安全,行不通。”
现在市面上有些产品可以清除用户在自助服务终端留下的任何痕迹。比方说,思科公司的WebVPN解决方案具有Secure Desktop功能,这项功能就能消除用户可能无意中留下的敏感数据的任何痕迹。它采用了会话“定位”机制,可以在VPN会话(即连接)结束后,清除所有cookie、临时文件和下载内容。可以在思科Catalyst交换机上运行WebVPN的Secure Desktop。
安全专家们表示,你应当对进行远程访问的所有用户实行强验证(strong authentication)。Gartner公司的Pescatore表示,如果用户没法携带笔记本电脑,可能会使用其他设备,比如USB拇指驱动器(如Route1公司的MobiKey),而这种设备里面含有小型的用户PC硬盘驱动器,其中包含操作系统。
Dai Zovi强调,但这种类型的设备只是比较方便,并不代表很安全。他说,一种比较安全的方法就是iPod大小的、基于VMware的小型硬盘驱动器,它们可以插入第三方机器,把一切内容都留在这个设备上。
Consilium1公司的业务技术顾问Sean Kelly表示,与此同时,大多数实现的SSL仍只采用128位加密技术,这种加密技术并非万无一失。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
美CIA CherryBlossom项目暴露路由器安全问题
维基解密最新发布的CIA黑客工具中包含了CherryBlossom项目,该项目凸显了路由器的安全问题,包括缺乏固件签名方面的验证等。
-
中间人攻击:你的信用卡数据是这样暴露的……
NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。
-
让IT更简单:深信服在京举办2016年大客户技术高峰论坛
6月18日,以“创新佳法,IT简法”为主题的深信服2016年大客户技术高峰论坛在北京国贸大酒店隆重举行。这是深信服第8年举办高峰技术论坛,会议吸引了来自全国各地的800多位CIO前来参与,共同探讨IT技术的新动向。