你使用的安全套接安協(xié)議層（SSL）VPN可能仍不如你想象的來(lái)得安全；如果你的用戶不是始終通過貴公司發(fā)放的筆記本電腦來(lái)訪問網(wǎng)絡(luò)，那更是如此。

專家們表示，一旦SSL VPN用戶通過外部機(jī)器來(lái)上網(wǎng)瀏覽或者收閱電子郵件，他們就會(huì)留下敏感數(shù)據(jù)，或者容易受到中間人攻擊（man-in-the-middle attack）和擊鍵記錄程序的攻擊。受到感染的自助服務(wù)終端（kiosk）也會(huì)感染你的網(wǎng)絡(luò)。所以，即使這些SSL VPN使用起來(lái)可能比IPSec VPN來(lái)得更方便（在沒有客戶軟件的任何地方，瀏覽器照樣可以使用SSL），但如果你在部署這些VPN時(shí)不慎重，就會(huì)遇到意想不到的局面。

SSL VPN在沒有IT資源來(lái)支持需要大量管理工作的IPSec VPN的企業(yè)當(dāng)中非常流行，而IPSec VPN需要客戶軟件。不像IPSec在服務(wù)器端和客戶機(jī)端都使用數(shù)字證書，SSL VPN基本上只在服務(wù)器端使用數(shù)字證書。Gartner公司的副總裁John Pescatore說：“由于SSL基本上采用這種單向方式來(lái)部署，所以會(huì)導(dǎo)致你面臨中間人攻擊。”

SSL VPN產(chǎn)品在過去幾年取得了長(zhǎng)足發(fā)展。Pescatore表示，比方說，許多產(chǎn)品隨帶的特性和功能可以防止下載文件或者ActiveX或Java小應(yīng)用程序。

但這完全取決于你如何配置SSL VPN。Matasano安全公司的研究人員Dino Dai Zovi說：“SSL VPN解決不了真正的問題。雖然它能保護(hù)傳輸中的信息，卻阻止不了端點(diǎn)設(shè)備被人控制?！?/P>

不過Dino Dai Zovi表示，如果遠(yuǎn)程用戶的機(jī)器連接到網(wǎng)絡(luò)上，SSL VPN其實(shí)比IPSec VPN來(lái)得安全。他說：“如果使用IPSec VPN，遠(yuǎn)程用戶的機(jī)器完全連接到遠(yuǎn)程網(wǎng)絡(luò)。蠕蟲及其他惡意軟件就可以通過VPN鏈路直接連接到公司網(wǎng)絡(luò)上的主機(jī)。如果使用SSL VPN，在遠(yuǎn)程用戶機(jī)器上運(yùn)行的軟件卻無(wú)法直接接入到公司網(wǎng)絡(luò)。”

要求任何電腦在任何地方都要接入VPN的命令通常來(lái)自公司上層，比如CEO想在辦公室外頭收閱電子郵件。Pescatore說：“基本問題就是，企業(yè)受到了來(lái)自業(yè)務(wù)部門的壓力，要求允許大家可以從任何電腦來(lái)處理任務(wù)――無(wú)論是家庭個(gè)人電腦、服務(wù)網(wǎng)點(diǎn)的個(gè)人電腦，還是貿(mào)易展銷會(huì)上的個(gè)人電腦。”

但從家庭或者承包商的終端設(shè)備或者貿(mào)易展銷會(huì)上的自助服務(wù)終端來(lái)接入SSL VPN會(huì)導(dǎo)致用戶留下痕跡。Dai Zovi表示，最好不要允許用戶使用自助服務(wù)終端來(lái)處理谷歌搜索之外的任何事務(wù)。他說：“使用自助服務(wù)終端來(lái)進(jìn)行敏感通信面臨很高的風(fēng)險(xiǎn)。你會(huì)在網(wǎng)絡(luò)瀏覽器和高速緩存器里面留下大量痕跡，而通過取證手法能夠恢復(fù)這些痕跡。”

研究人員Dan Kaminsky表示，你還根本無(wú)法通過任何手段來(lái)保護(hù)互聯(lián)網(wǎng)自助服務(wù)終端的安全。他說：“人們老是試圖采取種種手段來(lái)避開限制。要保護(hù)自助服務(wù)終端的安全，行不通?！?/P>

現(xiàn)在市面上有些產(chǎn)品可以清除用戶在自助服務(wù)終端留下的任何痕跡。比方說，思科公司的WebVPN解決方案具有Secure Desktop功能，這項(xiàng)功能就能消除用戶可能無(wú)意中留下的敏感數(shù)據(jù)的任何痕跡。它采用了會(huì)話“定位”機(jī)制，可以在VPN會(huì)話（即連接）結(jié)束后，清除所有cookie、臨時(shí)文件和下載內(nèi)容。可以在思科Catalyst交換機(jī)上運(yùn)行WebVPN的Secure Desktop。

安全專家們表示，你應(yīng)當(dāng)對(duì)進(jìn)行遠(yuǎn)程訪問的所有用戶實(shí)行強(qiáng)驗(yàn)證（strong authentication）。Gartner公司的Pescatore表示，如果用戶沒法攜帶筆記本電腦，可能會(huì)使用其他設(shè)備，比如USB拇指驅(qū)動(dòng)器（如Route1公司的MobiKey），而這種設(shè)備里面含有小型的用戶PC硬盤驅(qū)動(dòng)器，其中包含操作系統(tǒng)。

Dai Zovi強(qiáng)調(diào)，但這種類型的設(shè)備只是比較方便，并不代表很安全。他說，一種比較安全的方法就是iPod大小的、基于VMware的小型硬盤驅(qū)動(dòng)器，它們可以插入第三方機(jī)器，把一切內(nèi)容都留在這個(gè)設(shè)備上。

Consilium1公司的業(yè)務(wù)技術(shù)顧問Sean Kelly表示，與此同時(shí)，大多數(shù)實(shí)現(xiàn)的SSL仍只采用128位加密技術(shù)，這種加密技術(shù)并非萬(wàn)無(wú)一失。

【編輯推薦】

1. 用網(wǎng)絡(luò)訪問控制來(lái)強(qiáng)化SSL VPN網(wǎng)絡(luò)安全
2. Cisco Secure Desktop多個(gè)安全漏洞
3. 政府行業(yè)ICEFLOW SSL VPN解決方案
4. 通過防火墻堵住VPN安全漏洞