第九章VPN技术要点分析.pptVIP

SSL VPN的应用 SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址，当用户从外网访问企业内网资源时，发起的连接被SSL VPN网关取得，通过认证后映射到不同的应用服务器，采用这种方式能够屏蔽内部网络的结构，不易遭受来自外部的攻击。对于SSL VPN的网关设备应当从三个基本层面来满足不同的应用需求： (1)支持Web方式的应用。例如通过SSL VPN建立的安全通道访问基于Web的电子邮件系统收发邮件。 (2)支持非Web方式的应用。例如终端用户想要实现非Web页面的文件共享，那么SSL VPN网关必须将与内网FTP服务器的通信内容转化为HTTPS协议和HTML格式发往客户端，使终端用户感觉这些应用就是一些基于Web的应用。 (3)支持基于客户/服务器应用的代理。这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器，监听某个端口上的连接。当数据包进入这个端口时，它们通过SSL连接中的隧道被传送到SSL VPN网关中，SSL VPN网关解开封装的数据包，将它们转发给目的应用服务器。 对于一个企业来说不仅提供基于Web的应用，也同时提供大量不基于Web的应用，如OA、财务、销售管理、ERP等应用。在现阶段，SSL VPN只能访问基于Web的应用，而IPSec VPN却几乎可以为所有的应用提供访问，不过，IPSec不容易穿越防火墙和NAT设备，所以当用户需要从外网接入企业内部网络时就难以实现。对于用户来说，理想的方式是将SSL VPN和IPSec VPN结合起来使用。一方面为数量有限的用户提供IPSec VPN连接，使其能够访问企业内网的所有资源；另一方面为多数用户提供SSL VPN连接，使其可以访问基于Web的企业应用。 虽然一个网站可能使用了SSL安全技术，但这并不是说在该网站中正在输入和以后输入的数据也是安全的。所有人都应该意识到SSL提供的仅仅是电子商务整体安全中的一小部份解决方案。SSL在网站上的使用可能会造成管理员对其站点安全性的某些错觉。使用了SSL的网站所可能受到的攻击和其它服务器并无任何区别，同样应该留意各方面的安全性。简言之，加密和数字证书，SSL的主要组成，从来都无法保护服务器－－它们仅仅可以保护该服务器所收发的数据。SSL常见安全问题下面三种： 1、攻击证书 类似Verisign之类的公共CA机构并不总是可靠的，系统管理员经常犯的错误是过于信任Verisign等的公共CA机构。例如，如果Verisign发放一个证书说我是“某某某”，系统管理员很可能就会相信“我是某某某”。但是，对于用户的证书，公共CA机构可能不象对网站数字证书那样重视和关心其准确性。例如，Verisign发放了一个“keyman组织的证书，而我是其中一员“JACK”。当一个网站要求认证用户身份时，我们提交了“JACK”的证书。你可能会对其返回的结果大吃一惊的。更为严重的是，由于微软公司的IIS服务器提供了“客户端证书映射”（Client Certificate Mapping）功能，用于将客户端提交证书中的名字映射到NT系统的用户帐号，在这种情况下我们就能够获得该主机的系统管理员特权！ 如果黑客不能利用上面的非法的证书突破服务器，他们可以尝试暴力攻击（brute-force attack）。虽然暴力攻击证书比暴力攻击口令更为困难，但仍然是一种攻击方法。要暴力攻击客户端认证，黑客编辑一个可能的用户名字列表，然后为每一个名字向CA机构申请证书。每一个证书都用于尝试获取访问权限。用户名的选择越好，其中一个证书被认可的可能性就越高。暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名，而不是猜测用户名和口令。 2、窃取证书 除上面的方法外，黑客还可能窃取有效的证书及相应的私有密钥。最简单的方法是利用特洛伊木马。这种攻击几乎可使客户端证书形同虚设。它攻击的是证书的一个根本性弱点：私有密钥－－整个安全系统的核心－－经常保存在不安全的地方。对付这些攻击的唯一有效方法或许是将证书保存到智能卡或令牌之类的设备中。 3、安全盲点 系统管理员没办法使用现有的安全漏洞扫描（vulnerability scanners）或网络入侵侦测系统（intrusion detection systems，IDS），来审查或监控网络上的SSL交易。网络入侵侦测系统是通过监测网络传输来找寻没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理者检视。而要让IDS能够发生作用，IDS必须能够检视所有的网络流量信息，但是SSL的加密技术却使得通过http 传输的信息无法让IDS辨