你使用的安全套接安協(xié)議層（SSL）VPN可能仍不如你想象的來得安全；如果你的用戶不是始終通過貴公司發(fā)放的筆記本電腦來訪問網(wǎng)絡(luò)，那更是如此。

專家們表示，一旦SSL VPN用戶通過外部機(jī)器來上網(wǎng)瀏覽或者收閱電子郵件，他們就會留下敏感數(shù)據(jù)，或者容易受到中間人攻擊（man-in-the-middle attack）和擊鍵記錄程序的攻擊。受到感染的自助服務(wù)終端（kiosk）也會感染你的網(wǎng)絡(luò)。所以，即使這些SSL VPN使用起來可能比IPSec VPN來得更方便（在沒有客戶軟件的任何地方，瀏覽器照樣可以使用SSL），但如果你在部署這些VPN時不慎重，就會遇到意想不到的局面。

SSL VPN在沒有IT資源來支持需要大量管理工作的IPSec VPN的企業(yè)當(dāng)中非常流行，而IPSec VPN需要客戶軟件。不像IPSec在服務(wù)器端和客戶機(jī)端都使用數(shù)字證書，SSL VPN基本上只在服務(wù)器端使用數(shù)字證書。Gartner公司的副總裁John Pescatore說：“由于SSL基本上采用這種單向方式來部署，所以會導(dǎo)致你面臨中間人攻擊。”

SSL VPN產(chǎn)品在過去幾年取得了長足發(fā)展。Pescatore表示，比方說，許多產(chǎn)品隨帶的特性和功能可以防止下載文件或者ActiveX或Java小應(yīng)用程序。

但這完全取決于你如何配置SSL VPN。Matasano安全公司的研究人員Dino Dai Zovi說：“SSL VPN解決不了真正的問題。雖然它能保護(hù)傳輸中的信息，卻阻止不了端點(diǎn)設(shè)備被人控制?！?/P>

不過Dino Dai Zovi表示，如果遠(yuǎn)程用戶的機(jī)器連接到網(wǎng)絡(luò)上，SSL VPN其實(shí)比IPSec VPN來得安全。他說：“如果使用IPSec VPN，遠(yuǎn)程用戶的機(jī)器完全連接到遠(yuǎn)程網(wǎng)絡(luò)。蠕蟲及其他惡意軟件就可以通過VPN鏈路直接連接到公司網(wǎng)絡(luò)上的主機(jī)。如果使用SSL VPN，在遠(yuǎn)程用戶機(jī)器上運(yùn)行的軟件卻無法直接接入到公司網(wǎng)絡(luò)?！?/P>

要求任何電腦在任何地方都要接入VPN的命令通常來自公司上層，比如CEO想在辦公室外頭收閱電子郵件。Pescatore說：“基本問題就是，企業(yè)受到了來自業(yè)務(wù)部門的壓力，要求允許大家可以從任何電腦來處理任務(wù)――無論是家庭個人電腦、服務(wù)網(wǎng)點(diǎn)的個人電腦，還是貿(mào)易展銷會上的個人電腦?！?/P>

但從家庭或者承包商的終端設(shè)備或者貿(mào)易展銷會上的自助服務(wù)終端來接入SSL VPN會導(dǎo)致用戶留下痕跡。Dai Zovi表示，最好不要允許用戶使用自助服務(wù)終端來處理谷歌搜索之外的任何事務(wù)。他說：“使用自助服務(wù)終端來進(jìn)行敏感通信面臨很高的風(fēng)險。你會在網(wǎng)絡(luò)瀏覽器和高速緩存器里面留下大量痕跡，而通過取證手法能夠恢復(fù)這些痕跡?！?/P>

研究人員Dan Kaminsky表示，你還根本無法通過任何手段來保護(hù)互聯(lián)網(wǎng)自助服務(wù)終端的安全。他說：“人們老是試圖采取種種手段來避開限制。要保護(hù)自助服務(wù)終端的安全，行不通?！?/P>

現(xiàn)在市面上有些產(chǎn)品可以清除用戶在自助服務(wù)終端留下的任何痕跡。比方說，思科公司的WebVPN解決方案具有Secure Desktop功能，這項(xiàng)功能就能消除用戶可能無意中留下的敏感數(shù)據(jù)的任何痕跡。它采用了會話“定位”機(jī)制，可以在VPN會話（即連接）結(jié)束后，清除所有cookie、臨時文件和下載內(nèi)容?？梢栽谒伎艭atalyst交換機(jī)上運(yùn)行WebVPN的Secure Desktop。

安全專家們表示，你應(yīng)當(dāng)對進(jìn)行遠(yuǎn)程訪問的所有用戶實(shí)行強(qiáng)驗(yàn)證（strong authentication）。Gartner公司的Pescatore表示，如果用戶沒法攜帶筆記本電腦，可能會使用其他設(shè)備，比如USB拇指驅(qū)動器（如Route1公司的MobiKey），而這種設(shè)備里面含有小型的用戶PC硬盤驅(qū)動器，其中包含操作系統(tǒng)。

Dai Zovi強(qiáng)調(diào)，但這種類型的設(shè)備只是比較方便，并不代表很安全。他說，一種比較安全的方法就是iPod大小的、基于VMware的小型硬盤驅(qū)動器，它們可以插入第三方機(jī)器，把一切內(nèi)容都留在這個設(shè)備上。

Consilium1公司的業(yè)務(wù)技術(shù)顧問Sean Kelly表示，與此同時，大多數(shù)實(shí)現(xiàn)的SSL仍只采用128位加密技術(shù)，這種加密技術(shù)并非萬無一失。

【編輯推薦】

1. 用網(wǎng)絡(luò)訪問控制來強(qiáng)化SSL VPN網(wǎng)絡(luò)安全
2. Cisco Secure Desktop多個安全漏洞
3. 政府行業(yè)ICEFLOW SSL VPN解決方案
4. 通過防火墻堵住VPN安全漏洞