資源描述:
《虛擬專用網(wǎng)絡vpn的應用安全》由會員上傳分享����,免費在線閱讀��,更多相關內容在學術論文-天天文庫���。
1���、虛擬專用網(wǎng)絡VPN的應用安全 摘要本文主要論述SSLVPN的安全性,探索VPN存在安全問題及其解決方法���,為有安全需求的單位建設VPN網(wǎng)絡提供參考��?! 娟P鍵詞】VPN安全SSL VPN網(wǎng)絡廣泛應用于各行各業(yè)�����,那么VPN真的安全嗎?這是作為網(wǎng)絡管理人員不得不考慮的問題����。下面我們將通過對SSLVPN的安全性的討論來窺伺VPN安全性的一斑?��! ?VPN基本結構 VPN和簡單的將數(shù)據(jù)包加密是完全不同的。它主要由隧道技術�����、加解密技術��、密鑰管理技術�����、使用者與設備身份認證技術組成����。在身份驗證過程中產生的客戶機和服務
2、器公有密鑰將用來對數(shù)據(jù)進行加密���。SSL加密協(xié)議應用到VPN中�����,就是我們常說的SSLVPN����,安全性相對比較高?���! ?VPN安全隱憂 理論上VPN具有較高的安全性,但網(wǎng)絡中沒有絕對的安全�����,我們以安全性較高的SSLVPN來深入探討����。由于SSLVPN并不需要特殊的客戶端軟件,而是用Web瀏覽器代替����,因此SSLVPN的安全威脅主要集中在瀏覽器和服務器上?��! ?.1客戶端的安全隱患 2.1.1臨時文件 WINDOWS系統(tǒng)在運行過程中會產生臨時文件�,包括系?y運行和上網(wǎng)所產生的臨時文件,SSLVPN通過瀏覽器與服務
3����、器端進行通信活動,用戶退出VPN系統(tǒng)時�,不會自行清除臨時文件。這些數(shù)據(jù)會被緩存在臨時文件夾中���,瀏覽器的緩存信息�、瀏覽器URL記錄����、Cookie等都可能被保存下來�。 2.1.2用戶忘記退出 由于網(wǎng)絡用戶是一個龐大的用戶群�����,大部分用戶都不知道如何正確退出VPN系統(tǒng)����,單位管理員也不會刻意要求用戶及時退出系統(tǒng)�,用戶事后一般就是關閉瀏覽器����,并沒有真正退出VPN系統(tǒng),這就給SSLVPN系統(tǒng)帶來了又一安全隱患��?���! ?.1.3病毒通過隧道感染內部網(wǎng)絡 SSLVPN用戶可以使用任何電腦遠程登錄單位內部網(wǎng)絡,用戶如果使用
4���、帶有病毒的電腦接入SSLVPN網(wǎng)絡�,即使用戶網(wǎng)與VPN網(wǎng)之間有防火墻�����,有些病毒仍將會通過VPN隧道感染SSLVPN網(wǎng)絡內部的軟件與文件資料����。 2.1.4操作環(huán)境風險 通過瀏覽器�����,用戶可以不受使用地點限制,隨意登錄VPN系統(tǒng)����,在公共場合,如果用戶的防護意識不強����,登錄口令等安全信息泄露的風險增加,他人可以臨時“借用”身份證書即可輕松進入相關系統(tǒng)���?�! ?.1.5內部網(wǎng)絡信息泄密 內部應用程序往往使用到內網(wǎng)IP地址或是內部機器名����,遠程用戶通過SSLVPN調用內部應用程序時�����,SSLVPN就必須將這些內部地址轉化
5���、為因特網(wǎng)可識別的地址(HAT技術)。由于各個系統(tǒng)對安全性有不同的要求�����,HAT技術在實現(xiàn),如果HAT技術應用不恰當��,那么黑客可能通過用戶訪問內部網(wǎng)絡的歷史記錄中分析到內部網(wǎng)絡結構情況�。 2.2服務器端安全問題 2.2.1應用層的安全威脅 SSLVPN一般通過兩種方法實現(xiàn):一是直接使用Web服務器作為其底層平臺架設VPN服務器����,由于VPN和Web服務器在同一臺設備上,Web服務器的安全隱患也將會影響VPN����。二是通過獨立設備實現(xiàn)SSLVPN,包括硬件與操作系統(tǒng)�����,這種方式具有較高的安全性�����,但隨著技術的進步���,一
6�����、段時間后這種方式也將暴露出其本身的固有的隱患����,這種獨立硬件的漏洞決定了整個系統(tǒng)的安全性?���! ?.2.2身份認證 由于用戶可以通過任何計算機登錄進入VPN,可能將用戶名和密碼泄露��,因此服務器端對請求接入的用戶的身份認證過程顯得更加復雜和重要��,對安全性的要求也更高��?��! ?VPN安全隱患解決方案 3.1客戶端問題解決方案 VPN網(wǎng)絡在使用中存在一些問題����,但我們可以建立相應的機制來解決或緩解上述問題���,使用VPN網(wǎng)絡安全更上層樓����?����! ?.1.1臨時數(shù)據(jù)處理 瀏覽器一般都帶有自動清除臨時數(shù)據(jù)的選項���,但用戶一般不
7�����、會自行設置���,因此需要在服務器端編寫一個小程序,客戶端自動下載運行��,該程序記錄用戶登錄后的操作及產生的臨時數(shù)據(jù)�����,退出登錄后自動清除用戶這個過程中留下的各種格式的臨時數(shù)據(jù)�����。 3.1.2使用進程超時機制 大部分用戶對于數(shù)字證書的安全不太重視��,證書長期插在電腦上��,導致電腦長時間與SSLVPN處于連接狀態(tài)����,這種情況一方面可以由單位制定操作規(guī)章,規(guī)定用戶離開時證書也要拔下����,另一方面可以采用進程超時機制,由系統(tǒng)實時檢測用戶的操作情況�,當用戶一定時間內沒有操作時,系統(tǒng)自動斷開VPN的連接���,而用戶下一次連接時需要重新認證
8�����、���。 3.1.3應用層網(wǎng)關技術 應用層網(wǎng)關擔任VPN內部網(wǎng)絡設備與VPN網(wǎng)外的主機的連結中繼者,在SSLVPN服務器上使用應用層過濾技術能有效地防止計算機病毒和黑客通過VPN的隧道感染和攻擊VPN內部網(wǎng)絡�,相當于多了一道有效的防火墻����,通過對所有應用請求的審核,將非法的應用請求過濾掉���,這樣即使應用系統(tǒng)有一些未知的漏洞也不影響安全性能����,可以有效防止大部分病毒傳播��?��! ?.1.4加密內部網(wǎng)絡信息����?���! ∥覀兺ㄟ^掃描能很
