對(duì)廣域網(wǎng)的遠(yuǎn)程用戶而言，虛擬專網(wǎng)(VPN)應(yīng)該是安全的連接，但是因?yàn)樵S多明顯的漏洞，致使許多企業(yè)質(zhì)疑VPN的安全性。RainerEnders是NCPengineering在美洲地區(qū)負(fù)責(zé)VPN安全的CTO，在本篇對(duì)他的采訪報(bào)道中，大家將會(huì)了解到VPN安全漏洞是如何產(chǎn)生的，如何消除這種風(fēng)險(xiǎn)。

VPN安全漏洞通常如何產(chǎn)生?

RainerEnders:盡管VPN號(hào)稱是一種安全的技術(shù)，但是我認(rèn)為許多方法會(huì)破壞其安全性。

一種常見(jiàn)的方式是中間人攻擊，主要發(fā)生在人們?cè)L問(wèn)無(wú)線或有線局域網(wǎng)(或廣域網(wǎng))的時(shí)候。黑客可以通過(guò)內(nèi)部訪問(wèn)來(lái)窺探連接、收集該連接的信息。同時(shí)，如果他能夠獲得許可證書(shū)的話，還可以利用它發(fā)起攻擊。

第二種潛在的漏洞可能來(lái)自于物理訪問(wèn)或監(jiān)聽(tīng)支持VPN的設(shè)備。如果有人遺失了他們的筆記本電腦或移動(dòng)設(shè)備，同時(shí)這些設(shè)備支持VPN的話，這種情況就有可能發(fā)生。VPN客戶端可能配置為非最佳模式，將許可證書(shū)保存在設(shè)備本地，而黑客所需要做的僅僅是點(diǎn)擊“連接”，甚至可能連密碼都不需要輸入就可以打開(kāi)VPN通道。

獲取VPN的安全信息是第三種可能破壞VPN安全性的方式。這些安全信息包括VPN終端的IP地址、配置參數(shù)和用戶許可證書(shū)等等。獲取這些信息的途徑可能來(lái)自于了解VPN具體情況的內(nèi)部人士，例如從公司離職或被開(kāi)除的人員等等。大部分網(wǎng)絡(luò)都不會(huì)頻繁地變化更改，VPN連接會(huì)長(zhǎng)時(shí)間保持一種狀態(tài)，因此離開(kāi)公司的人員有許多機(jī)會(huì)可以獲知訪問(wèn)VPN的具體方法。此外，通過(guò)其他一些社會(huì)工程學(xué)的方法也能夠獲取這些安全信息，例如利用惡意郵件或電話讓用戶提供信息等，類似情況也已經(jīng)多次發(fā)生。

第四種破壞VPN安全性的方式是利用身份驗(yàn)證系統(tǒng)的漏洞或缺陷。固件本身可能存在的缺陷，或是身份驗(yàn)證系統(tǒng)的一些其他缺點(diǎn)都有可能被利用，比如惡意欺騙或重做SSL授權(quán)認(rèn)證。黑客甚至?xí)肰PN集中器上眾所周知的漏洞來(lái)使身份驗(yàn)證系統(tǒng)崩潰，從而入侵目標(biāo)系統(tǒng)。

為什么黑客想要破壞VPN?他們通常尋找哪些信息呢?

Enders:黑客通常分為四大類：

內(nèi)部人員——那些因?yàn)檫w怒于公司而離職的前公司成員，他們想要讓公司蒙受損失。

覬覦財(cái)務(wù)信息的人——他們對(duì)信用卡卡號(hào)或銀行賬戶等能夠用于銀行轉(zhuǎn)賬的信息很感興趣。

有政治企圖的人——他們僅僅想要以某種形式來(lái)表達(dá)其政治立場(chǎng)。

被稱為“腳本少年”的黑客——他們是數(shù)量最多的一類，主要利用VPN的漏洞來(lái)滿足他們的好奇心，測(cè)驗(yàn)?zāi)撤N理論或是驗(yàn)證某個(gè)概念。更有甚者僅僅想要弄清楚某些東西，證明某個(gè)漏洞的存在或是某個(gè)系統(tǒng)可以被攻破。

總而言之，壞消息是的確有許多方式可以破壞VPN系統(tǒng)，而好消息是黑客們一般不會(huì)以竊取信息為目的。如果真的以竊取信息為目的的話，財(cái)務(wù)信息最有可能成為被竊目標(biāo)。例如，竊取信用卡信息進(jìn)行網(wǎng)絡(luò)欺騙交易。

何種類型的VPN(例如SSL、IPsec等)最有可能受到安全破壞的威脅呢?

Enders:不存在100%安全的VPN技術(shù)。每項(xiàng)技術(shù)都會(huì)面臨著某種特定的挑戰(zhàn)。但是，對(duì)于時(shí)下普遍采用的兩種VPN技術(shù)——SSL和IPsec，我認(rèn)為IPsec要更加安全一些，這是由它們的技術(shù)本質(zhì)所決定的。

作為IETF的一項(xiàng)標(biāo)準(zhǔn)，IPsec擁有安全的內(nèi)核，技術(shù)也相對(duì)成熟。此外，在具體應(yīng)用中，特定的客戶端會(huì)控制和關(guān)聯(lián)IPsec。相比之下，SSL的控制和關(guān)聯(lián)僅僅通過(guò)網(wǎng)絡(luò)瀏覽器實(shí)現(xiàn)。眾所周知，網(wǎng)絡(luò)瀏覽器存在許多漏洞，有許多攻擊專門(mén)針對(duì)這些漏洞，因此SSL的安全模型頗受質(zhì)疑。另外，VPN的三個(gè)關(guān)鍵特性包括保密性、完整性和可靠性。由于對(duì)身份認(rèn)證控制不嚴(yán)，SSL的可靠性也飽受質(zhì)疑。
 

【編輯推薦】

1. 企業(yè)的SSL VPN足夠安全么？
2. 企業(yè)遠(yuǎn)程辦公的好衛(wèi)士—IP VPN
3. 盤(pán)點(diǎn)2011年十大安全漏洞：Flash最危險(xiǎn)
4. 基于uCLinux的嵌入式無(wú)線IPSec VPN網(wǎng)關(guān)