當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

無線虛擬專用網(wǎng)絡(luò)VPN的安全保障

http://m.yibo1263.com　2009/1/6 9:17:08 　來源:東北IT網(wǎng) 　編輯:葉子

　　位于倫敦的法律公司LawrenceGraham使用的是令牌網(wǎng)和雙重身份認(rèn)證技術(shù)相結(jié)合的方式來保障遠(yuǎn)程VPN無線訪問的安全。公司的IT總監(jiān)JasonPetrucci介紹說”當(dāng)律師用筆記本電腦遠(yuǎn)程登錄公司系統(tǒng)時(shí)，他們要經(jīng)過三重認(rèn)證：一項(xiàng)是他們的用戶名，一項(xiàng)是要求他們的登錄密碼，最后一項(xiàng)是他們的個(gè)人PIN代碼和通行證。公司使用SecurEnvoy通過在文本文件中預(yù)先裝載三個(gè)一次性通行證來管理和交付這個(gè)通行證，然后再傳遞給用戶的黑莓手機(jī)”。

　　Graham解釋說”被使用的通行證會(huì)自動(dòng)更換傳遞到每位律師的黑莓手機(jī)上，我們的律師無論去哪都攜帶著黑莓手機(jī)。物理令牌網(wǎng)在筆記本被盜或者丟失時(shí)也不可避免的面臨風(fēng)險(xiǎn)”。

　　位于美國西雅圖的IT安全公司ESET的技術(shù)總監(jiān)蘭蒂.艾布拉姆警告說，同時(shí)運(yùn)行多重網(wǎng)絡(luò)連接，無論是無線連接還是有線連接都意味著風(fēng)險(xiǎn)。舉例來說，使用兩個(gè)開放式連接，筆記本電腦就成為企業(yè)網(wǎng)絡(luò)的橋梁。攻擊者就會(huì)通過VPN的連接入侵電腦。

　　艾布拉姆曾經(jīng)遇到過用戶通過加密的VPN下載安全的企業(yè)文檔，然后再通過公共互聯(lián)網(wǎng)轉(zhuǎn)發(fā)給沒有加密的網(wǎng)絡(luò)電子郵件帳戶這樣的案例。更糟的是，瀏覽器助手在瀏覽器上下載時(shí)只是例行公事的進(jìn)行提醒，某些包含惡意病毒的對(duì)象并沒有被之前的木馬偵測(cè)程序檢測(cè)到，于是在瀏覽器下載時(shí)就會(huì)立即被激活。解決方案就是：在VPN開始連接時(shí)，就立即采取非常堅(jiān)決和強(qiáng)硬的有線協(xié)議來切斷并行網(wǎng)絡(luò)連接。

　　即使是并行加密的VPN也不是絕對(duì)安全。將提供這種并行連接的VPN通道分離開是VPN用戶非常普遍的做法。美國明尼阿波利斯市的安全咨詢機(jī)構(gòu)NetSPI的首席技術(shù)總監(jiān)賽斯.彼得警告說”這種想法是將一個(gè)通道連接到企業(yè)網(wǎng)絡(luò)上，另外一個(gè)是連接到公共互聯(lián)網(wǎng)上。我們推薦用戶關(guān)閉第二條通道，這樣連接互聯(lián)網(wǎng)唯一的方式就是通過企業(yè)網(wǎng)。但問題是，我們看到多數(shù)用戶都沒有這么做”。

　　需要考慮的因素如此繁復(fù)，那么在實(shí)際應(yīng)用中該如何對(duì)無線VPN進(jìn)行選擇，管理和運(yùn)行呢？

　　位于美國賓夕法尼亞州Pottsville市的帝國教育集團(tuán)旗下有多個(gè)美容學(xué)校。公司的88家學(xué)校的職員在差旅途中都是使用思杰的VPN來與公司的企業(yè)網(wǎng)連接。在網(wǎng)絡(luò)上，思杰訪問網(wǎng)關(guān)（CitrixAccessGateway）會(huì)向他們開放經(jīng)過批準(zhǔn)的應(yīng)用軟件，比如Word,Outlook和記錄了班級(jí)和人員信息的班級(jí)數(shù)據(jù)庫。

　　管理協(xié)議可以拒絕用戶進(jìn)行本地存儲(chǔ)，強(qiáng)迫他們?cè)诰W(wǎng)絡(luò)上進(jìn)行存儲(chǔ)。帝國教育集團(tuán)的IT副總裁約瑟夫.坦迪斯表示”用戶只能看見對(duì)他們公開的驅(qū)動(dòng)，而不是他們本地硬件系統(tǒng)上的文件。從安全角度來說，如果筆記本電腦被盜也不是問題，因?yàn)樯厦娓緵]有信息。用戶必須習(xí)慣在網(wǎng)絡(luò)上存儲(chǔ)”。

　　坦迪斯補(bǔ)充說，有趣的是，互聯(lián)網(wǎng)瀏覽器從網(wǎng)上也是對(duì)用戶公開的，它能允許公司來控制員工通過筆記本訪問的網(wǎng)站，網(wǎng)站清單不止包括了公司自己的網(wǎng)站，還有微軟和提供支持的站點(diǎn)。這樣遭遇木馬攻擊的可能性就大大降低了”。

　　同時(shí)，財(cái)富50強(qiáng)的保險(xiǎn)公司MetLife也非常重視數(shù)據(jù)泄露的問題，特別是對(duì)用戶信息的保護(hù)在遠(yuǎn)程無線訪問中顯得至關(guān)重要。公司企業(yè)安全助理副總裁JesusMontano表示”我們面臨的挑戰(zhàn)是運(yùn)用整體安全要求來調(diào)劑用戶的訪問需求，然后和用戶共同找出不會(huì)危及系統(tǒng)安全的有效解決方案”。

　　對(duì)于來自機(jī)場(chǎng)和咖啡館的無線訪問，他解釋說通過VPN廠商CheckPoint訪問可以與MetLife的筆記本電腦隔離，通過RSA的令牌網(wǎng)，雙重身份認(rèn)證來實(shí)施登錄保護(hù)。除了在VPN中內(nèi)置加密措施外，所有筆記本電腦上的數(shù)據(jù)都進(jìn)行了保護(hù)。

　　StressesMontano強(qiáng)調(diào)說”所有的無線流量都是加密的。使用防火墻對(duì)設(shè)備進(jìn)行加密。我們認(rèn)為努力掌控遠(yuǎn)程訪問中最明顯的缺陷，去制定相應(yīng)的解決方案”。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费