當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

無線虛擬專用網(wǎng)絡(luò)VPN的安全保障

http://m.yibo1263.com　2009/1/6 9:17:08 　來源:東北IT網(wǎng) 　編輯:葉子

　　位于倫敦的法律公司LawrenceGraham使用的是令牌網(wǎng)和雙重身份認(rèn)證技術(shù)相結(jié)合的方式來保障遠(yuǎn)程VPN無線訪問的安全。公司的IT總監(jiān)JasonPetrucci介紹說”當(dāng)律師用筆記本電腦遠(yuǎn)程登錄公司系統(tǒng)時，他們要經(jīng)過三重認(rèn)證：一項是他們的用戶名，一項是要求他們的登錄密碼，最后一項是他們的個人PIN代碼和通行證。公司使用SecurEnvoy通過在文本文件中預(yù)先裝載三個一次性通行證來管理和交付這個通行證，然后再傳遞給用戶的黑莓手機”。

　　Graham解釋說”被使用的通行證會自動更換傳遞到每位律師的黑莓手機上，我們的律師無論去哪都攜帶著黑莓手機。物理令牌網(wǎng)在筆記本被盜或者丟失時也不可避免的面臨風(fēng)險”。

　　位于美國西雅圖的IT安全公司ESET的技術(shù)總監(jiān)蘭蒂.艾布拉姆警告說，同時運行多重網(wǎng)絡(luò)連接，無論是無線連接還是有線連接都意味著風(fēng)險。舉例來說，使用兩個開放式連接，筆記本電腦就成為企業(yè)網(wǎng)絡(luò)的橋梁。攻擊者就會通過VPN的連接入侵電腦。

　　艾布拉姆曾經(jīng)遇到過用戶通過加密的VPN下載安全的企業(yè)文檔，然后再通過公共互聯(lián)網(wǎng)轉(zhuǎn)發(fā)給沒有加密的網(wǎng)絡(luò)電子郵件帳戶這樣的案例。更糟的是，瀏覽器助手在瀏覽器上下載時只是例行公事的進(jìn)行提醒，某些包含惡意病毒的對象并沒有被之前的木馬偵測程序檢測到，于是在瀏覽器下載時就會立即被激活。解決方案就是：在VPN開始連接時，就立即采取非常堅決和強硬的有線協(xié)議來切斷并行網(wǎng)絡(luò)連接。

　　即使是并行加密的VPN也不是絕對安全。將提供這種并行連接的VPN通道分離開是VPN用戶非常普遍的做法。美國明尼阿波利斯市的安全咨詢機構(gòu)NetSPI的首席技術(shù)總監(jiān)賽斯.彼得警告說”這種想法是將一個通道連接到企業(yè)網(wǎng)絡(luò)上，另外一個是連接到公共互聯(lián)網(wǎng)上。我們推薦用戶關(guān)閉第二條通道，這樣連接互聯(lián)網(wǎng)唯一的方式就是通過企業(yè)網(wǎng)。但問題是，我們看到多數(shù)用戶都沒有這么做”。

　　需要考慮的因素如此繁復(fù)，那么在實際應(yīng)用中該如何對無線VPN進(jìn)行選擇，管理和運行呢？

　　位于美國賓夕法尼亞州Pottsville市的帝國教育集團(tuán)旗下有多個美容學(xué)校。公司的88家學(xué)校的職員在差旅途中都是使用思杰的VPN來與公司的企業(yè)網(wǎng)連接。在網(wǎng)絡(luò)上，思杰訪問網(wǎng)關(guān)（CitrixAccessGateway）會向他們開放經(jīng)過批準(zhǔn)的應(yīng)用軟件，比如Word,Outlook和記錄了班級和人員信息的班級數(shù)據(jù)庫。

　　管理協(xié)議可以拒絕用戶進(jìn)行本地存儲，強迫他們在網(wǎng)絡(luò)上進(jìn)行存儲。帝國教育集團(tuán)的IT副總裁約瑟夫.坦迪斯表示”用戶只能看見對他們公開的驅(qū)動，而不是他們本地硬件系統(tǒng)上的文件。從安全角度來說，如果筆記本電腦被盜也不是問題，因為上面根本沒有信息。用戶必須習(xí)慣在網(wǎng)絡(luò)上存儲”。

　　坦迪斯補充說，有趣的是，互聯(lián)網(wǎng)瀏覽器從網(wǎng)上也是對用戶公開的，它能允許公司來控制員工通過筆記本訪問的網(wǎng)站，網(wǎng)站清單不止包括了公司自己的網(wǎng)站，還有微軟和提供支持的站點。這樣遭遇木馬攻擊的可能性就大大降低了”。

　　同時，財富50強的保險公司MetLife也非常重視數(shù)據(jù)泄露的問題，特別是對用戶信息的保護(hù)在遠(yuǎn)程無線訪問中顯得至關(guān)重要。公司企業(yè)安全助理副總裁JesusMontano表示”我們面臨的挑戰(zhàn)是運用整體安全要求來調(diào)劑用戶的訪問需求，然后和用戶共同找出不會危及系統(tǒng)安全的有效解決方案”。

　　對于來自機場和咖啡館的無線訪問，他解釋說通過VPN廠商CheckPoint訪問可以與MetLife的筆記本電腦隔離，通過RSA的令牌網(wǎng)，雙重身份認(rèn)證來實施登錄保護(hù)。除了在VPN中內(nèi)置加密措施外，所有筆記本電腦上的數(shù)據(jù)都進(jìn)行了保護(hù)。

　　StressesMontano強調(diào)說”所有的無線流量都是加密的。使用防火墻對設(shè)備進(jìn)行加密。我們認(rèn)為努力掌控遠(yuǎn)程訪問中最明顯的缺陷，去制定相應(yīng)的解決方案”。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费