|
我們都知道,由于VPN(虛擬專用網絡)傳輸的是私有信息,VPN用戶對數據的安全性都比較關心。 目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
1.隧道技術:
隧道技術是VPN的基本技術類似于點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
2.加解密技術:
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
3.密鑰管理技術:
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
4.使用者與設備身份認證技術:
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
堵住安全漏洞
安全問題是VPN的核心問題。目前,VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網絡。
但是,如果一個企業的VPN需要擴展到遠程訪問時,就要注意,這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標。因為,遠程工作員工通過防火墻之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成了公司安全防御系統中的弱點。雖然,員工可以雙倍地提高工作效率,并減少在交通上所花費的時間,但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會。
但是,企業并沒有對遠距離工作的安全性予以足夠的重視。大多數公司認為,公司網絡處于一道網絡防火墻之后是安全的,員工可以撥號進入系統,而防火墻會將一切非法請求拒之其外;還有一些網絡管理員認為,為網絡建立防火墻并為員工提供VPN,使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。
在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因為,公司使用的大多數安全軟件并沒有為家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機,跟隨它通過一條授權的連接進入公司網絡系統。雖然,公司的防火墻可以將侵入者隔離在外,并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于,侵入者可以通過一個被信任的用戶進入網絡。因此,加密的隧道是安全的,連接也是正確的,但這并不意味著家庭計算機是安全的。
黑客為了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此,如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),會使黑客的入侵更為容易。因為,撥號連接在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦黑客侵入了家庭計算機,他便能夠遠程運行員工的VPN客戶端軟件。因此,必須有相應的解決方案堵住遠程訪問VPN的安全漏洞,使員工與網絡的連接既能充分體現VPN的優點,又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法,它可以使非法侵入者不能進入公司網絡。
當然,還有一些提供給遠程工作人員的實際解決方法:
* 所有遠程工作人員必須被批準使用VPN;
* 所有遠程工作人員需要有個人防火墻,它不僅防止計算機被侵入,還能記錄連接被掃描了多少次;
* 所有的遠程工作人員應具有入侵檢測系統,提供對黑客攻擊信息的記錄;
* 監控安裝在遠端系統中的軟件,并將其限制只能在工作中使用;
* IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查;
* 外出工作人員應對敏感文件進行加密;
* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報;
* 當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。
|
