2011最嚴重的VPN攻擊

1.Gucci：前Gucci網絡工程師創(chuàng)建了一個假員工賬號來訪問和控制公司電腦系統(tǒng)，他切斷了Gucci服務器上郵件和文件的通道，Gucci因停產和修復還原的損失超過20萬美金。

2.DigiNotar：黑客入侵數字證書授權系統(tǒng)，分發(fā)超過500個欺騙性數字證書給頂級互聯(lián)網公司，如谷歌，Mozilla和Skype。這次黑客攻擊發(fā)生在六月初，但是DigiNotar直到7月中旬才發(fā)現(xiàn)。該公司在9月申請破產。

3.Comodo：黑客分發(fā)欺騙性SSL證書給7個網頁域名，包括谷歌，雅虎和Skype。

4.花旗集團：黑客訪問了36萬多個賬號信息，查閱客戶聯(lián)系信息和交易歷史，直接了曝光他們網站的安全漏洞。

這4次VPN攻擊中的2次——DigiNotar和Comodo是由SSLVPN安全漏洞引起的。“SSLVPN使用因特網瀏覽器作為客戶端，而IPsecVPN使用專用客戶端，但是每個瀏覽器都有它自身的安全缺陷。”美國NCP工程公司首席技術官RainerEnders解釋道，這意味著SSLVPN的客戶端天生比較脆弱。黑客可以發(fā)掘這些瀏覽器的弱點，偽造一張CA證書。CA證書是通過“SSLVPN握手”來核實信息的。

Enders說：“這些安全攻擊對SSL認證過程的完整性提出質疑——所有這些證書授權實體并沒有很好的組織和控制。

除了使用欺騙的數字證書外，黑客還利用了DigiNotar缺少高級口令，脆弱的防毒保護和軟件過期的弱點。

攻擊花旗集團的黑客沒有偽造一張證書，而是在銀行的IPsecVPN中發(fā)現(xiàn)了一個授權不完善的漏洞。通過首次登陸到信用卡客戶的網頁，黑客可以入侵花旗集團的防御系統(tǒng)。一旦進入，通過在瀏覽器地址欄的文本字符串中輸入不同賬號，黑客就能訪問不同花旗客戶賬號。黑客的編碼系統(tǒng)自動重復這樣的操作成千上萬次以捕捉個人數據。

Enders說：“然而，Gucci網絡受到攻擊并不是因為VPN內在安全缺陷，這次是源于VPN的簡陋部署。”

預防VPN攻擊

Enders表示：“沒有‘仙丹靈藥’可以防止VPN攻擊。任何類型的VPN都會受到內部人士或社會工程師的攻擊，黑客發(fā)郵件或打電話給員工，騙取他們共享證書。然而，身份管理系統(tǒng)可以解決由單一網絡工程師完全控制整個網絡帶來的問題。在很多我們接觸到的案例中，雖然網絡工程師被解雇了，但是他們仍能完全控制整個網絡。如果Gucci網絡的可管理的IPsecVPN和身份管理系統(tǒng)綁定，管理用戶權限分配，就可以避免問題。”

最近VPN攻擊暴露出來的缺陷證明IPsecVPN要比SSLVPN更安全。應對當今VPN攻擊最有力的保障是擁有一套策略，它不僅涵蓋先進的技術，而且有關鍵安全策略和對終端用戶的正當引導。

Enders總結道：“部署IPsec，再將可管理客戶端，可管理客戶端防火墻和集成管理VPN系統(tǒng)捆綁到你的身份管理系統(tǒng)，這樣就可以做到真正全面的安全保障。”

【編輯推薦】

1. 選擇合適的VPN 建造功能均衡的VPN
2. MPLS VPN 技術中的CE、PE、P的含義
3. 利用Peplink實現(xiàn)簡化的站點到站點VPN
4. 51CTO沙龍第十五期總結：從配置到設計兩小時理解VPN