魏道洪

摘 要 本文主要論述SSL VPN的安全性，探索VPN存在安全問題及其解決方法，為有安全需求的單位建設(shè)VPN網(wǎng)絡(luò)提供參考。

【關(guān)鍵詞】VPN 安全 SSL

VPN網(wǎng)絡(luò)廣泛應(yīng)用于各行各業(yè)，那么VPN真的安全嗎？這是作為網(wǎng)絡(luò)管理人員不得不考慮的問題。下面我們將通過對SSL VPN的安全性的討論來窺伺VPN安全性的一斑。

1 VPN基本結(jié)構(gòu)

VPN和簡單的將數(shù)據(jù)包加密是完全不同的。它主要由隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)組成。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密。SSL加密協(xié)議應(yīng)用到VPN中，就是我們常說的SSL VPN，安全性相對比較高。

2 VPN安全隱憂

理論上VPN具有較高的安全性，但網(wǎng)絡(luò)中沒有絕對的安全，我們以安全性較高的SSL VPN來深入探討。由于SSL VPN并不需要特殊的客戶端軟件，而是用Web瀏覽器代替，因此SSL VPN的安全威脅主要集中在瀏覽器和服務(wù)器上。

2.1 客戶端的安全隱患

2.1.1 臨時文件

WINDOWS系統(tǒng)在運行過程中會產(chǎn)生臨時文件，包括系統(tǒng)運行和上網(wǎng)所產(chǎn)生的臨時文件，SSL VPN通過瀏覽器與服務(wù)器端進行通信活動，用戶退出VPN系統(tǒng)時，不會自行清除臨時文件。這些數(shù)據(jù)會被緩存在臨時文件夾中，瀏覽器的緩存信息、瀏覽器URL記錄、Cookie等都可能被保存下來。

2.1.2 用戶忘記退出

由于網(wǎng)絡(luò)用戶是一個龐大的用戶群，大部分用戶都不知道如何正確退出VPN系統(tǒng)，單位管理員也不會刻意要求用戶及時退出系統(tǒng)，用戶事后一般就是關(guān)閉瀏覽器，并沒有真正退出VPN系統(tǒng)，這就給SSL VPN系統(tǒng)帶來了又一安全隱患。

2.1.3 病毒通過隧道感染內(nèi)部網(wǎng)絡(luò)

SSL VPN用戶可以使用任何電腦遠程登錄單位內(nèi)部網(wǎng)絡(luò)，用戶如果使用帶有病毒的電腦接入SSL VPN網(wǎng)絡(luò)，即使用戶網(wǎng)與VPN網(wǎng)之間有防火墻，有些病毒仍將會通過VPN隧道感染SSL VPN網(wǎng)絡(luò)內(nèi)部的軟件與文件資料。

2.1.4 操作環(huán)境風(fēng)險

通過瀏覽器，用戶可以不受使用地點限制，隨意登錄VPN系統(tǒng)，在公共場合，如果用戶的防護意識不強，登錄口令等安全信息泄露的風(fēng)險增加，他人可以臨時“借用”身份證書即可輕松進入相關(guān)系統(tǒng)。

2.1.5 內(nèi)部網(wǎng)絡(luò)信息泄密

內(nèi)部應(yīng)用程序往往使用到內(nèi)網(wǎng)IP地址或是內(nèi)部機器名，遠程用戶通過SSL VPN調(diào)用內(nèi)部應(yīng)用程序時，SSL VPN就必須將這些內(nèi)部地址轉(zhuǎn)化為因特網(wǎng)可識別的地址（HAT技術(shù)）。由于各個系統(tǒng)對安全性有不同的要求，HAT技術(shù)在實現(xiàn)，如果HAT技術(shù)應(yīng)用不恰當，那么黑客可能通過用戶訪問內(nèi)部網(wǎng)絡(luò)的歷史記錄中分析到內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)情況。

2.2 服務(wù)器端安全問題

2.2.1 應(yīng)用層的安全威脅

SSL VPN一般通過兩種方法實現(xiàn)：一是直接使用Web服務(wù)器作為其底層平臺架設(shè)VPN服務(wù)器，由于VPN和Web服務(wù)器在同一臺設(shè)備上，Web服務(wù)器的安全隱患也將會影響VPN。二是通過獨立設(shè)備實現(xiàn)SSL VPN，包括硬件與操作系統(tǒng)，這種方式具有較高的安全性，但隨著技術(shù)的進步，一段時間后這種方式也將暴露出其本身的固有的隱患，這種獨立硬件的漏洞決定了整個系統(tǒng)的安全性。

2.2.2 身份認證

由于用戶可以通過任何計算機登錄進入VPN，可能將用戶名和密碼泄露，因此服務(wù)器端對請求接入的用戶的身份認證過程顯得更加復(fù)雜和重要，對安全性的要求也更高。

3 VPN安全隱患解決方案

3.1 客戶端問題解決方案

VPN網(wǎng)絡(luò)在使用中存在一些問題，但我們可以建立相應(yīng)的機制來解決或緩解上述問題，使用VPN網(wǎng)絡(luò)安全更上層樓。

3.1.1 臨時數(shù)據(jù)處理

瀏覽器一般都帶有自動清除臨時數(shù)據(jù)的選項，但用戶一般不會自行設(shè)置，因此需要在服務(wù)器端編寫一個小程序，客戶端自動下載運行，該程序記錄用戶登錄后的操作及產(chǎn)生的臨時數(shù)據(jù)，退出登錄后自動清除用戶這個過程中留下的各種格式的臨時數(shù)據(jù)。

3.1.2 使用進程超時機制

大部分用戶對于數(shù)字證書的安全不太重視，證書長期插在電腦上，導(dǎo)致電腦長時間與SSL VPN處于連接狀態(tài)，這種情況一方面可以由單位制定操作規(guī)章，規(guī)定用戶離開時證書也要拔下，另一方面可以采用進程超時機制，由系統(tǒng)實時檢測用戶的操作情況，當用戶一定時間內(nèi)沒有操作時，系統(tǒng)自動斷開VPN的連接，而用戶下一次連接時需要重新認證。

3.1.3 應(yīng)用層網(wǎng)關(guān)技術(shù)

應(yīng)用層網(wǎng)關(guān)擔任VPN內(nèi)部網(wǎng)絡(luò)設(shè)備與VPN網(wǎng)外的主機的連結(jié)中繼者，在SSL VPN服務(wù)器上使用應(yīng)用層過濾技術(shù)能有效地防止計算機病毒和黑客通過VPN的隧道感染和攻擊VPN內(nèi)部網(wǎng)絡(luò)，相當于多了一道有效的防火墻，通過對所有應(yīng)用請求的審核，將非法的應(yīng)用請求過濾掉，這樣即使應(yīng)用系統(tǒng)有一些未知的漏洞也不影響安全性能，可以有效防止大部分病毒傳播。

3.1.4 加密內(nèi)部網(wǎng)絡(luò)信息。

我們通過掃描能很方便地獲知網(wǎng)絡(luò)內(nèi)的主機名、IP地址等信息，這容易被攻擊者利用，因此SSL VPN應(yīng)對網(wǎng)內(nèi)的主機名、服務(wù)器IP地址等內(nèi)部網(wǎng)絡(luò)信息進行加密，盡量減少攻擊者獲取信息量，讓其無從下手。

3.2 服務(wù)器端問題解決方案

服務(wù)器端的問題主要有下面的幾種解決方法：

（1）為了抵制黑客對服務(wù)器端應(yīng)用層漏洞的攻擊，利用基于應(yīng)用層封包過濾技術(shù)，只允許已知的合法應(yīng)用層數(shù)據(jù)包通過SSL VPN服務(wù)器也能有效防止黑客利用非法請求攻擊內(nèi)部服務(wù)器。

（2）使用更強的認證機制。取消傳統(tǒng)的靜態(tài)用戶名和口令的身份認證機制，最好是使用強的雙因素認證機制和一次性口令鑒別機制。最好能夠具備LDAP和短信息認證等多種認證功能。同時，還要強制要求用戶一段時間后就要修改數(shù)字身份證書的密碼，防止身份認證設(shè)備被人“借用”。

4 結(jié)束語

VPN作為一種安全技術(shù)和比較有效的網(wǎng)絡(luò)安全解決途徑，由于受各種不確定因素以及人為原因的影響，仍然存在著安全隱患，作為一種應(yīng)用范圍較廣泛的安全應(yīng)用解決方案，這些安全問題不容忽視。

參考文獻

[1]馬軍鋒.SSL VPN技術(shù)原理及其應(yīng)用[J].電信網(wǎng)技術(shù)，2005，8（08）：6-7.

[2]王達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004.

作者單位

泉州市公安邊防支隊 福建省泉州市 362000