錯(cuò)誤配置VPN客戶端是如何導(dǎo)致安全問題的？你有VPN的安全竅門來確保正確配置VPN客戶端嗎?

虛擬私有網(wǎng)一般運(yùn)行在兩種模式下：要么建立了安全連接，要么沒有。如果安全連接沒有建立成功，它就不可能發(fā)送流量給被保護(hù)的資源。因此很少會(huì)出現(xiàn)安全漏洞。然而，VPN安全問題仍然可能會(huì)發(fā)生。

這里，我會(huì)著重講述IPsec VPN，這是如今VPN部署中最安全的技術(shù)。SSL VPN有很多問題，特別是使用網(wǎng)頁瀏覽器連接的時(shí)候。盡管存在無客戶端SSL VPN的概念，但是網(wǎng)頁瀏覽器是SSL VPN客戶端重要的組成部分。方便性促使瀏覽器劇增，但是瀏覽器的使用方式會(huì)導(dǎo)致重大安全隱患,從而引發(fā)嚴(yán)重的安全漏洞。

回到經(jīng)典的客戶端式IPsec VPN，記住每個(gè)VPN連接有兩部分：VPN 客戶端和終端的VPN網(wǎng)關(guān)。導(dǎo)致安全風(fēng)險(xiǎn)的錯(cuò)誤配置VPN客戶端經(jīng)常發(fā)生在建立IPsec連接請(qǐng)求的1階段或2階段。例如，如果客戶配置成使用AES128，用戶將加密算法變成DES（假設(shè)網(wǎng)關(guān)允許DES為有效的安全請(qǐng)求），這將嚴(yán)重降低總的安全級(jí)別，因?yàn)镈ES加密強(qiáng)度弱，很容易被攻破。因此，可以在網(wǎng)關(guān)那頭做一些控制，禁止達(dá)不到最高級(jí)VPN安全的安全協(xié)議。

另一個(gè)可能發(fā)生的潛在安全問題是用戶隨意地更改VPN客戶端參數(shù)，比如預(yù)共享密匙。用戶通常不知道該值，這會(huì)導(dǎo)致客戶端沒法建立VPN連接。然后用戶會(huì)嘗試獲取正確的VPN配置參數(shù)以使客戶端正常工作。在傳送重要的安全參數(shù)中，可能會(huì)發(fā)生安全問題。比如，密匙可以通過郵件發(fā)送，甚至發(fā)到用戶的公開Yahoo,Gmail或Hotmail賬號(hào)。或者，密匙可以通過電話交談偷聽到。如果VPN客戶端還包括其他安全有關(guān)的功能，例如客戶端防火墻，事情會(huì)變得更糟。改變那些本來要保護(hù)接入設(shè)備的關(guān)鍵客戶端防火墻規(guī)則會(huì)引發(fā)重大隱患。

而一個(gè)預(yù)設(shè)好、且沒法更改配置的VPN客戶端，完全可以避免這些。VPN配置鎖定將預(yù)防任何未經(jīng)授權(quán)的改動(dòng)。另外，完全掌控VPN客戶端讓網(wǎng)絡(luò)管理員可以很快的更改配置或是回到之前的配置。管理系統(tǒng)同時(shí)也能確保一致和有效的配置到VPN客戶端，以免一開始就錯(cuò)誤配置VPN客戶端。