黑帽大会2010:VPN的安全和管理真的够好吗?

日期: 2010-07-26 作者:Michael S. Mimoso翻译:曾芸芸 来源:TechTarget中国 英文

虚拟专用网络(VPN,virtual private networks),无论是SSL还是IPsecVPN,已经成为IT的终极设置后自动完成的技术。一旦安装和配置,这些远程访问技术,往往用自动导航工具为后端应用程序、文件和其他资源提供安全孤立的访问。   然而,移动设备(如黑莓、iPhone和Droid智能手机)正在改变远程访问动态。公司不久将重新审视通过VPN的远程连接,特别是当用户引进新的个人设备到网络,并要求访问多个操作系统和平台的应用程序的时候。

这就需要安全操作来保证这些设备得到安全的VPN连接。   因此,可靠的VPN连接和配置还不够好。IT运营者(满意他们的VPN)需要再仔细观察他……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

虚拟专用网络(VPN,virtual private networks),无论是SSL还是IPsecVPN,已经成为IT的终极设置后自动完成的技术。一旦安装和配置,这些远程访问技术,往往用自动导航工具为后端应用程序、文件和其他资源提供安全孤立的访问。

  然而,移动设备(如黑莓、iPhone和Droid智能手机)正在改变远程访问动态。公司不久将重新审视通过VPN的远程连接,特别是当用户引进新的个人设备到网络,并要求访问多个操作系统和平台的应用程序的时候。这就需要安全操作来保证这些设备得到安全的VPN连接。

  因此,可靠的VPN连接和配置还不够好。IT运营者(满意他们的VPN)需要再仔细观察他们的VPN。NCP工程有限公司将在本周黑帽简报上发表他们的研究。攻击者已经开始利用不安全的VPN连接来访问企业内部关键数据。对TJX公司和Heartland支付系统的攻击,甚至是今年对谷歌、Adobe和其他30家大型科技公司、国防承包商和大企业的攻击,都是通过VPN连接远程合法访问的。

  NCP执行副总裁Martin Hack说,“这种设定后不管的做法是有缺陷的。如果你有VPN客户端,您必须确保它们与管理系统同步,并得到最新的政策、配置和管理更新。你需要积极主动地管理远程访问,以防止这些问题发生,否则,这些连接会成为攻击者的第一武器。”

  NCP的研究显示,对VPN的自满情绪是导致VPN成为攻击对象的主要驱动力之一。不仅配置问题,过期的软件也会造成严重的安全漏洞,并可能导致攻击者拥有合法访问权直接进入组织。例如,VPN实施中损坏的路由目标会重定向流量到攻击网站。在SSL VPN中,企业往往忽略同源限制。不开启同源限制,可使攻击者通过将合法流量偏离其预定的目的地路由到钓鱼网站进行钓鱼网站攻击。

  Hack说,“攻击者可以劫持会话或在用户不知情的情况下安装键盘记录。用户不会察觉,认为他们在安全的环境中。如果同源限制开启,并且配置正确,那么只有受信任的资源才可以连接到SSL VPN。如果没有开启,任何人都可以插入网站。”

  Hack说,虚拟专用网管理不善,还可引起密码问题。许多VPN允许你缓存密码登录信息(以纯文本形式)。能够访问缓存的攻击者可能会在注册表中或在内存中读取它们。管理员必须加密缓存(如果他们可以的话)。

  NCP研究也指出,潜在的拒绝服务攻击的情形,即恶意的数据包通过VPN连接移动可能导致缓冲区溢出,从而整垮网络。Hack说,这些类型的信息可以避开入侵检测系统,并导致系统崩溃或无限期地重新启动。

  “远程访问的要求已经改变,流动性也改变了很多,”哈克说,“现在我们需要将这些问题公开化,摆脱对VPN管理的得意情绪。”

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

相关推荐

  • 工业控制系统网络应防范“内鬼”

    来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……

  • IPSec VPN和SSL VPN:对比两种VPN的安全风险

    虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。那么在两种特定的VPN类型,即IPSec VPN和SSL VPN中,你应该如何选择?

  • 解析远程访问的三种入侵方式和保护之道

    由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具……

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。