虛擬專用網(wǎng)絡(luò)（VPN，virtual private networks），無(wú)論是SSL還是IPsecVPN，已經(jīng)成為IT的終極設(shè)置后自動(dòng)完成的技術(shù)。一旦安裝和配置，這些遠(yuǎn)程訪問技術(shù)，往往用自動(dòng)導(dǎo)航工具為后端應(yīng)用程序、文件和其他資源提供安全孤立的訪問。

然而，移動(dòng)設(shè)備（如黑莓、iPhone和Droid智能手機(jī)）正在改變遠(yuǎn)程訪問動(dòng)態(tài)。公司不久將重新審視通過VPN的遠(yuǎn)程連接，特別是當(dāng)用戶引進(jìn)新的個(gè)人設(shè)備到網(wǎng)絡(luò)，并要求訪問多個(gè)操作系統(tǒng)和平臺(tái)的應(yīng)用程序的時(shí)候。這就需要安全操作來(lái)保證這些設(shè)備得到安全的VPN連接。

因此，可靠的VPN連接和配置還不夠好。IT運(yùn)營(yíng)者（滿意他們的VPN）需要再仔細(xì)觀察他們的VPN。NCP工程有限公司將在本周黑帽簡(jiǎn)報(bào)上發(fā)表他們的研究。攻擊者已經(jīng)開始利用不安全的VPN連接來(lái)訪問企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)。對(duì)TJX公司和Heartland支付系統(tǒng)的攻擊，甚至是今年對(duì)谷歌、Adobe和其他30家大型科技公司、國(guó)防承包商和大企業(yè)的攻擊，都是通過VPN連接遠(yuǎn)程合法訪問的。

NCP執(zhí)行副總裁Martin Hack說，“這種設(shè)定后不管的做法是有缺陷的。如果你有VPN客戶端，您必須確保它們與管理系統(tǒng)同步，并得到最新的政策、配置和管理更新。你需要積極主動(dòng)地管理遠(yuǎn)程訪問，以防止這些問題發(fā)生，否則，這些連接會(huì)成為攻擊者的第一武器?！?/P>

NCP的研究顯示，對(duì)VPN的自滿情緒是導(dǎo)致VPN成為攻擊對(duì)象的主要驅(qū)動(dòng)力之一。不僅配置問題，過期的軟件也會(huì)造成嚴(yán)重的安全漏洞，并可能導(dǎo)致攻擊者擁有合法訪問權(quán)直接進(jìn)入組織。例如，VPN實(shí)施中損壞的路由目標(biāo)會(huì)重定向流量到攻擊網(wǎng)站。在SSL VPN中，企業(yè)往往忽略同源限制。不開啟同源限制，可使攻擊者通過將合法流量偏離其預(yù)定的目的地路由到釣魚網(wǎng)站進(jìn)行釣魚網(wǎng)站攻擊。

Hack說，“攻擊者可以劫持會(huì)話或在用戶不知情的情況下安裝鍵盤記錄。用戶不會(huì)察覺，認(rèn)為他們?cè)诎踩沫h(huán)境中。如果同源限制開啟，并且配置正確，那么只有受信任的資源才可以連接到SSL VPN。如果沒有開啟，任何人都可以插入網(wǎng)站。”

Hack說，虛擬專用網(wǎng)管理不善，還可引起密碼問題。許多VPN允許你緩存密碼登錄信息（以純文本形式）。能夠訪問緩存的攻擊者可能會(huì)在注冊(cè)表中或在內(nèi)存中讀取它們。管理員必須加密緩存（如果他們可以的話）。

NCP研究也指出，潛在的拒絕服務(wù)攻擊的情形，即惡意的數(shù)據(jù)包通過VPN連接移動(dòng)可能導(dǎo)致緩沖區(qū)溢出，從而整垮網(wǎng)絡(luò)。Hack說，這些類型的信息可以避開入侵檢測(cè)系統(tǒng)，并導(dǎo)致系統(tǒng)崩潰或無(wú)限期地重新啟動(dòng)。

“遠(yuǎn)程訪問的要求已經(jīng)改變，流動(dòng)性也改變了很多，”哈克說，“現(xiàn)在我們需要將這些問題公開化，擺脫對(duì)VPN管理的得意情緒?！?/P>

【編輯推薦】

1. 部署Windows Server 2003中的遠(yuǎn)程訪問VPN服務(wù)
2. 輕松三步走教你配置VPN安全設(shè)備