近几年来,SSL VPN产品的安全性越来越高;但如果用户通过第三方机器来登录,这项技术仍不安全。
你使用的安全套接安协议层(SSL)VPN可能仍不如你想象的来得安全;如果你的用户不是始终通过贵公司发放的笔记本电脑来访问网络,那更是如此。
专家们表示,一旦SSL VPN用户通过外部机器来上网浏览或者收阅电子邮件,他们就会留下敏感数据,或者容易受到中间人攻击(man-in-the-middle attack)和击键记录程序的攻击。受到感染的自助服务终端(kiosk)也会感染你的网络。所以,即使这些SSL VPN使用起来可能比IPSec VPN来得更方便(在没有客户软件的任何地方,浏览器照样可以使用SSL),但如果你在部署这些VPN时不慎重,就会遇到意想不到的局面。
SSL VPN在没有IT资源来支持需要大量管理工作的IPSec VPN的企业当中非常流行,而IPSec VPN需要客户软件。不像IPSec在服务器端和客户机端都使用数字证书,SSL VPN基本上只在服务器端使用数字证书。Gartner公司的副总裁John Pescatore说:“由于SSL基本上采用这种单向方式来部署,所以会导致你面临中间人攻击。”
SSL VPN产品在过去几年取得了长足发展。Pescatore表示,比方说,许多产品随带的特性和功能可以防止下载文件或者ActiveX或Java小应用程序。
但这完全取决于你如何配置SSL VPN。Matasano安全公司的研究人员Dino Dai Zovi说:“SSL VPN解决不了真正的问题。虽然它能保护传输中的信息,却阻止不了端点设备被人控制。”
不过Dino Dai Zovi表示,如果远程用户的机器连接到网络上,SSL VPN其实比IPSec VPN来得安全。他说:“如果使用IPSec VPN,远程用户的机器完全连接到远程网络。蠕虫及其他恶意软件就可以通过VPN链路直接连接到公司网络上的主机。如果使用SSL VPN,在远程用户机器上运行的软件却无法直接接入到公司网络。”
要求任何电脑在任何地方都要接入VPN的命令通常来自公司上层,比如CEO想在办公室外头收阅电子邮件。Pescatore说:“基本问题就是,企业受到了来自业务部门的压力,要求允许大家可以从任何电脑来处理任务――无论是家庭个人电脑、服务网点的个人电脑,还是贸易展销会上的个人电脑。”
但从家庭或者承包商的终端设备或者贸易展销会上的自助服务终端来接入SSL VPN会导致用户留下痕迹。Dai Zovi表示,最好不要允许用户使用自助服务终端来处理谷歌搜索之外的任何事务。他说:“使用自助服务终端来进行敏感通信面临很高的风险。你会在网络浏览器和高速缓存器里面留下大量痕迹,而通过取证手法能够恢复这些痕迹。”
研究人员Dan Kaminsky表示,你还根本无法通过任何手段来保护互联网自助服务终端的安全。他说:“人们老是试图采取种种手段来避开限制。要保护自助服务终端的安全,行不通。”
现在市面上有些产品可以清除用户在自助服务终端留下的任何痕迹。比方说,思科公司的WebVPN解决方案具有Secure Desktop功能,这项功能就能消除用户可能无意中留下的敏感数据的任何痕迹。它采用了会话“定位”机制,可以在VPN会话(即连接)结束后,清除所有cookie、临时文件和下载内容。可以在思科Catalyst交换机上运行WebVPN的Secure Desktop。
安全专家们表示,你应当对进行远程访问的所有用户实行强验证(strong authentication)。Gartner公司的Pescatore表示,如果用户没法携带笔记本电脑,可能会使用其他设备,比如USB拇指驱动器(如Route1公司的MobiKey),而这种设备里面含有小型的用户PC硬盘驱动器,其中包含操作系统。
Dai Zovi强调,但这种类型的设备只是比较方便,并不代表很安全。他说,一种比较安全的方法就是iPod大小的、基于VMware的小型硬盘驱动器,它们可以插入第三方机器,把一切内容都留在这个设备上。
Consilium1公司的业务技术顾问Sean Kelly表示,与此同时,大多数实现的SSL仍只采用128位加密技术,这种加密技术并非万无一失。
