對廣域網(wǎng)的遠程用戶而言，虛擬專網(wǎng)(VPN)應(yīng)該是安全的連接，但是因為許多明顯的漏洞，致使許多企業(yè)質(zhì)疑VPN的安全性。RainerEnders是NCPengineering在美洲地區(qū)負(fù)責(zé)VPN安全的CTO，在本篇對他的采訪報道中，大家將會了解到VPN安全漏洞是如何產(chǎn)生的，如何消除這種風(fēng)險。

VPN安全漏洞通常如何產(chǎn)生?

RainerEnders:盡管VPN號稱是一種安全的技術(shù)，但是我認(rèn)為許多方法會破壞其安全性。

一種常見的方式是中間人攻擊，主要發(fā)生在人們訪問無線或有線局域網(wǎng)(或廣域網(wǎng))的時候。黑客可以通過內(nèi)部訪問來窺探連接、收集該連接的信息。同時，如果他能夠獲得許可證書的話，還可以利用它發(fā)起攻擊。

第二種潛在的漏洞可能來自于物理訪問或監(jiān)聽支持VPN的設(shè)備。如果有人遺失了他們的筆記本電腦或移動設(shè)備，同時這些設(shè)備支持VPN的話，這種情況就有可能發(fā)生。VPN客戶端可能配置為非最佳模式，將許可證書保存在設(shè)備本地，而黑客所需要做的僅僅是點擊“連接”，甚至可能連密碼都不需要輸入就可以打開VPN通道。

獲取VPN的安全信息是第三種可能破壞VPN安全性的方式。這些安全信息包括VPN終端的IP地址、配置參數(shù)和用戶許可證書等等。獲取這些信息的途徑可能來自于了解VPN具體情況的內(nèi)部人士，例如從公司離職或被開除的人員等等。大部分網(wǎng)絡(luò)都不會頻繁地變化更改，VPN連接會長時間保持一種狀態(tài)，因此離開公司的人員有許多機會可以獲知訪問VPN的具體方法。此外，通過其他一些社會工程學(xué)的方法也能夠獲取這些安全信息，例如利用惡意郵件或電話讓用戶提供信息等，類似情況也已經(jīng)多次發(fā)生。

第四種破壞VPN安全性的方式是利用身份驗證系統(tǒng)的漏洞或缺陷。固件本身可能存在的缺陷，或是身份驗證系統(tǒng)的一些其他缺點都有可能被利用，比如惡意欺騙或重做SSL授權(quán)認(rèn)證。黑客甚至?xí)肰PN集中器上眾所周知的漏洞來使身份驗證系統(tǒng)崩潰，從而入侵目標(biāo)系統(tǒng)。

為什么黑客想要破壞VPN?他們通常尋找哪些信息呢?

Enders:黑客通常分為四大類：

內(nèi)部人員——那些因為遷怒于公司而離職的前公司成員，他們想要讓公司蒙受損失。

覬覦財務(wù)信息的人——他們對信用卡卡號或銀行賬戶等能夠用于銀行轉(zhuǎn)賬的信息很感興趣。

有政治企圖的人——他們僅僅想要以某種形式來表達其政治立場。

被稱為“腳本少年”的黑客——他們是數(shù)量最多的一類，主要利用VPN的漏洞來滿足他們的好奇心，測驗?zāi)撤N理論或是驗證某個概念。更有甚者僅僅想要弄清楚某些東西，證明某個漏洞的存在或是某個系統(tǒng)可以被攻破。

總而言之，壞消息是的確有許多方式可以破壞VPN系統(tǒng)，而好消息是黑客們一般不會以竊取信息為目的。如果真的以竊取信息為目的的話，財務(wù)信息最有可能成為被竊目標(biāo)。例如，竊取信用卡信息進行網(wǎng)絡(luò)欺騙交易。

何種類型的VPN(例如SSL、IPsec等)最有可能受到安全破壞的威脅呢?

Enders:不存在100%安全的VPN技術(shù)。每項技術(shù)都會面臨著某種特定的挑戰(zhàn)。但是，對于時下普遍采用的兩種VPN技術(shù)——SSL和IPsec，我認(rèn)為IPsec要更加安全一些，這是由它們的技術(shù)本質(zhì)所決定的。

作為IETF的一項標(biāo)準(zhǔn)，IPsec擁有安全的內(nèi)核，技術(shù)也相對成熟。此外，在具體應(yīng)用中，特定的客戶端會控制和關(guān)聯(lián)IPsec。相比之下，SSL的控制和關(guān)聯(lián)僅僅通過網(wǎng)絡(luò)瀏覽器實現(xiàn)。眾所周知，網(wǎng)絡(luò)瀏覽器存在許多漏洞，有許多攻擊專門針對這些漏洞，因此SSL的安全模型頗受質(zhì)疑。另外，VPN的三個關(guān)鍵特性包括保密性、完整性和可靠性。由于對身份認(rèn)證控制不嚴(yán)，SSL的可靠性也飽受質(zhì)疑。
 

【編輯推薦】

1. 企業(yè)的SSL VPN足夠安全么？
2. 企業(yè)遠程辦公的好衛(wèi)士—IP VPN
3. 盤點2011年十大安全漏洞：Flash最危險
4. 基于uCLinux的嵌入式無線IPSec VPN網(wǎng)關(guān)