有声,小说阅读网,斗破苍穹续集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

你用SSLVPN要小心它仍有安全漏洞

你使用的安全套接安協(xié)議層（SSL）VPN可能仍不如你想象的來得安全；如果你的用戶不是始終通過貴公司發(fā)放的筆記本電腦來訪問網(wǎng)絡(luò)，那更是如此。

公司主營業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出忻府免費(fèi)做網(wǎng)站回饋大家。

專家們表示，一旦SSL VPN用戶通過外部機(jī)器來上網(wǎng)瀏覽或者收閱電子郵件，他們就會(huì)留下敏感數(shù)據(jù)，或者容易受到中間人攻擊（man-in-the-middle attack）和擊鍵記錄程序的攻擊。受到感染的自助服務(wù)終端（kiosk）也會(huì)感染你的網(wǎng)絡(luò)。所以，即使這些SSL VPN使用起來可能比IPSec VPN來得更方便（在沒有客戶軟件的任何地方，瀏覽器照樣可以使用SSL），但如果你在部署這些VPN時(shí)不慎重，就會(huì)遇到意想不到的局面。

SSL VPN在沒有IT資源來支持需要大量管理工作的IPSec VPN的企業(yè)當(dāng)中非常流行，而IPSec VPN需要客戶軟件。不像IPSec在服務(wù)器端和客戶機(jī)端都使用數(shù)字證書，SSL VPN基本上只在服務(wù)器端使用數(shù)字證書。Gartner公司的副總裁John Pescatore說：“由于SSL基本上采用這種單向方式來部署，所以會(huì)導(dǎo)致你面臨中間人攻擊。”

SSL VPN產(chǎn)品在過去幾年取得了長足發(fā)展。Pescatore表示，比方說，許多產(chǎn)品隨帶的特性和功能可以防止下載文件或者ActiveX或Java小應(yīng)用程序。

但這完全取決于你如何配置SSL VPN。Matasano安全公司的研究人員Dino Dai Zovi說：“SSL VPN解決不了真正的問題。雖然它能保護(hù)傳輸中的信息，卻阻止不了端點(diǎn)設(shè)備被人控制?！?/p>

不過Dino Dai Zovi表示，如果遠(yuǎn)程用戶的機(jī)器連接到網(wǎng)絡(luò)上，SSL VPN其實(shí)比IPSec VPN來得安全。他說：“如果使用IPSec VPN，遠(yuǎn)程用戶的機(jī)器完全連接到遠(yuǎn)程網(wǎng)絡(luò)。蠕蟲及其他惡意軟件就可以通過VPN鏈路直接連接到公司網(wǎng)絡(luò)上的主機(jī)。如果使用SSL VPN，在遠(yuǎn)程用戶機(jī)器上運(yùn)行的軟件卻無法直接接入到公司網(wǎng)絡(luò)?！?/p>

要求任何電腦在任何地方都要接入VPN的命令通常來自公司上層，比如CEO想在辦公室外頭收閱電子郵件。Pescatore說：“基本問題就是，企業(yè)受到了來自業(yè)務(wù)部門的壓力，要求允許大家可以從任何電腦來處理任務(wù)――無論是家庭個(gè)人電腦、服務(wù)網(wǎng)點(diǎn)的個(gè)人電腦，還是貿(mào)易展銷會(huì)上的個(gè)人電腦?！?/p>

但從家庭或者承包商的終端設(shè)備或者貿(mào)易展銷會(huì)上的自助服務(wù)終端來接入SSL VPN會(huì)導(dǎo)致用戶留下痕跡。Dai Zovi表示，最好不要允許用戶使用自助服務(wù)終端來處理谷歌搜索之外的任何事務(wù)。他說：“使用自助服務(wù)終端來進(jìn)行敏感通信面臨很高的風(fēng)險(xiǎn)。你會(huì)在網(wǎng)絡(luò)瀏覽器和高速緩存器里面留下大量痕跡，而通過取證手法能夠恢復(fù)這些痕跡?！?/p>

研究人員Dan Kaminsky表示，你還根本無法通過任何手段來保護(hù)互聯(lián)網(wǎng)自助服務(wù)終端的安全。他說：“人們老是試圖采取種種手段來避開限制。要保護(hù)自助服務(wù)終端的安全，行不通?！?/p>

現(xiàn)在市面上有些產(chǎn)品可以清除用戶在自助服務(wù)終端留下的任何痕跡。比方說，思科公司的WebVPN解決方案具有Secure Desktop功能，這項(xiàng)功能就能消除用戶可能無意中留下的敏感數(shù)據(jù)的任何痕跡。它采用了會(huì)話“定位”機(jī)制，可以在VPN會(huì)話（即連接）結(jié)束后，清除所有cookie、臨時(shí)文件和下載內(nèi)容。可以在思科Catalyst交換機(jī)上運(yùn)行WebVPN的Secure Desktop。

安全專家們表示，你應(yīng)當(dāng)對(duì)進(jìn)行遠(yuǎn)程訪問的所有用戶實(shí)行強(qiáng)驗(yàn)證（strong authentication）。Gartner公司的Pescatore表示，如果用戶沒法攜帶筆記本電腦，可能會(huì)使用其他設(shè)備，比如USB拇指驅(qū)動(dòng)器（如Route1公司的MobiKey），而這種設(shè)備里面含有小型的用戶PC硬盤驅(qū)動(dòng)器，其中包含操作系統(tǒng)。

Dai Zovi強(qiáng)調(diào)，但這種類型的設(shè)備只是比較方便，并不代表很安全。他說，一種比較安全的方法就是iPod大小的、基于VMware的小型硬盤驅(qū)動(dòng)器，它們可以插入第三方機(jī)器，把一切內(nèi)容都留在這個(gè)設(shè)備上。

Consilium1公司的業(yè)務(wù)技術(shù)顧問Sean Kelly表示，與此同時(shí)，大多數(shù)實(shí)現(xiàn)的SSL仍只采用128位加密技術(shù)，這種加密技術(shù)并非萬無一失。

【編輯推薦】

用網(wǎng)絡(luò)訪問控制來強(qiáng)化SSL VPN網(wǎng)絡(luò)安全
Cisco Secure Desktop多個(gè)安全漏洞
政府行業(yè)ICEFLOW SSL VPN解決方案
通過防火墻堵住VPN安全漏洞

分享題目：你用SSLVPN要小心它仍有安全漏洞
URL標(biāo)題：http://m.fisionsoft.com.cn/article/cosijgc.html

新聞中心

其他資訊