欢迎来到天天文库
浏览记录
ID:21492650
大小:25.00 KB
页数:5页
时间:2018-10-22
《虚拟专用网络vpn的应用安全》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、虚拟专用网络VPN的应用安全 摘要本文主要论述SSLVPN的安全性,探索VPN存在安全问题及其解决方法,为有安全需求的单位建设VPN网络提供参考。 【关键词】VPN安全SSL VPN网络广泛应用于各行各业,那么VPN真的安全吗?这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSLVPN的安全性的讨论来窥伺VPN安全性的一斑。 1VPN基本结构 VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务
2、器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中,就是我们常说的SSLVPN,安全性相对比较高。 2VPN安全隐忧 理论上VPN具有较高的安全性,但网络中没有绝对的安全,我们以安全性较高的SSLVPN来深入探讨。由于SSLVPN并不需要特殊的客户端软件,而是用Web浏览器代替,因此SSLVPN的安全威胁主要集中在浏览器和服务器上。 2.1客户端的安全隐患 2.1.1临时文件 WINDOWS系统在运行过程中会产生临时文件,包括系?y运行和上网所产生的临时文件,SSLVPN通过浏览器与服务
3、器端进行通信活动,用户退出VPN系统时,不会自行清除临时文件。这些数据会被缓存在临时文件夹中,浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。 2.1.2用户忘记退出 由于网络用户是一个庞大的用户群,大部分用户都不知道如何正确退出VPN系统,单位管理员也不会刻意要求用户及时退出系统,用户事后一般就是关闭浏览器,并没有真正退出VPN系统,这就给SSLVPN系统带来了又一安全隐患。 2.1.3病毒通过隧道感染内部网络 SSLVPN用户可以使用任何电脑远程登录单位内部网络,用户如果使用
4、带有病毒的电脑接入SSLVPN网络,即使用户网与VPN网之间有防火墙,有些病毒仍将会通过VPN隧道感染SSLVPN网络内部的软件与文件资料。 2.1.4操作环境风险 通过浏览器,用户可以不受使用地点限制,随意登录VPN系统,在公共场合,如果用户的防护意识不强,登录口令等安全信息泄露的风险增加,他人可以临时“借用”身份证书即可轻松进入相关系统。 2.1.5内部网络信息泄密 内部应用程序往往使用到内网IP地址或是内部机器名,远程用户通过SSLVPN调用内部应用程序时,SSLVPN就必须将这些内部地址转化
5、为因特网可识别的地址(HAT技术)。由于各个系统对安全性有不同的要求,HAT技术在实现,如果HAT技术应用不恰当,那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。 2.2服务器端安全问题 2.2.1应用层的安全威胁 SSLVPN一般通过两种方法实现:一是直接使用Web服务器作为其底层平台架设VPN服务器,由于VPN和Web服务器在同一台设备上,Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSLVPN,包括硬件与操作系统,这种方式具有较高的安全性,但随着技术的进步,一
6、段时间后这种方式也将暴露出其本身的固有的隐患,这种独立硬件的漏洞决定了整个系统的安全性。 2.2.2身份认证 由于用户可以通过任何计算机登录进入VPN,可能将用户名和密码泄露,因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要,对安全性的要求也更高。 3VPN安全隐患解决方案 3.1客户端问题解决方案 VPN网络在使用中存在一些问题,但我们可以建立相应的机制来解决或缓解上述问题,使用VPN网络安全更上层楼。 3.1.1临时数据处理 浏览器一般都带有自动清除临时数据的选项,但用户一般不
7、会自行设置,因此需要在服务器端编写一个小程序,客户端自动下载运行,该程序记录用户登录后的操作及产生的临时数据,退出登录后自动清除用户这个过程中留下的各种格式的临时数据。 3.1.2使用进程超时机制 大部分用户对于数字证书的安全不太重视,证书长期插在电脑上,导致电脑长时间与SSLVPN处于连接状态,这种情况一方面可以由单位制定操作规章,规定用户离开时证书也要拔下,另一方面可以采用进程超时机制,由系统实时检测用户的操作情况,当用户一定时间内没有操作时,系统自动断开VPN的连接,而用户下一次连接时需要重新认证
8、。 3.1.3应用层网关技术 应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者,在SSLVPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络,相当于多了一道有效的防火墙,通过对所有应用请求的审核,将非法的应用请求过滤掉,这样即使应用系统有一些未知的漏洞也不影响安全性能,可以有效防止大部分病毒传播。 3.1.4加密内部网络信息。 我们通过扫描能很
此文档下载收益归作者所有