魏道洪

摘 要 本文主要論述SSL VPN的安全性，探索VPN存在安全問題及其解決方法，為有安全需求的單位建設VPN網(wǎng)絡提供參考。

【關鍵詞】VPN 安全 SSL

VPN網(wǎng)絡廣泛應用于各行各業(yè)，那么VPN真的安全嗎？這是作為網(wǎng)絡管理人員不得不考慮的問題。下面我們將通過對SSL VPN的安全性的討論來窺伺VPN安全性的一斑。

1 VPN基本結構

VPN和簡單的將數(shù)據(jù)包加密是完全不同的。它主要由隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術組成。在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密。SSL加密協(xié)議應用到VPN中，就是我們常說的SSL VPN，安全性相對比較高。

2 VPN安全隱憂

理論上VPN具有較高的安全性，但網(wǎng)絡中沒有絕對的安全，我們以安全性較高的SSL VPN來深入探討。由于SSL VPN并不需要特殊的客戶端軟件，而是用Web瀏覽器代替，因此SSL VPN的安全威脅主要集中在瀏覽器和服務器上。

2.1 客戶端的安全隱患

2.1.1 臨時文件

WINDOWS系統(tǒng)在運行過程中會產(chǎn)生臨時文件，包括系統(tǒng)運行和上網(wǎng)所產(chǎn)生的臨時文件，SSL VPN通過瀏覽器與服務器端進行通信活動，用戶退出VPN系統(tǒng)時，不會自行清除臨時文件。這些數(shù)據(jù)會被緩存在臨時文件夾中，瀏覽器的緩存信息、瀏覽器URL記錄、Cookie等都可能被保存下來。

2.1.2 用戶忘記退出

由于網(wǎng)絡用戶是一個龐大的用戶群，大部分用戶都不知道如何正確退出VPN系統(tǒng)，單位管理員也不會刻意要求用戶及時退出系統(tǒng)，用戶事后一般就是關閉瀏覽器，并沒有真正退出VPN系統(tǒng)，這就給SSL VPN系統(tǒng)帶來了又一安全隱患。

2.1.3 病毒通過隧道感染內(nèi)部網(wǎng)絡

SSL VPN用戶可以使用任何電腦遠程登錄單位內(nèi)部網(wǎng)絡，用戶如果使用帶有病毒的電腦接入SSL VPN網(wǎng)絡，即使用戶網(wǎng)與VPN網(wǎng)之間有防火墻，有些病毒仍將會通過VPN隧道感染SSL VPN網(wǎng)絡內(nèi)部的軟件與文件資料。

2.1.4 操作環(huán)境風險

通過瀏覽器，用戶可以不受使用地點限制，隨意登錄VPN系統(tǒng)，在公共場合，如果用戶的防護意識不強，登錄口令等安全信息泄露的風險增加，他人可以臨時“借用”身份證書即可輕松進入相關系統(tǒng)。

2.1.5 內(nèi)部網(wǎng)絡信息泄密

內(nèi)部應用程序往往使用到內(nèi)網(wǎng)IP地址或是內(nèi)部機器名，遠程用戶通過SSL VPN調(diào)用內(nèi)部應用程序時，SSL VPN就必須將這些內(nèi)部地址轉(zhuǎn)化為因特網(wǎng)可識別的地址（HAT技術）。由于各個系統(tǒng)對安全性有不同的要求，HAT技術在實現(xiàn)，如果HAT技術應用不恰當，那么黑客可能通過用戶訪問內(nèi)部網(wǎng)絡的歷史記錄中分析到內(nèi)部網(wǎng)絡結構情況。

2.2 服務器端安全問題

2.2.1 應用層的安全威脅

SSL VPN一般通過兩種方法實現(xiàn)：一是直接使用Web服務器作為其底層平臺架設VPN服務器，由于VPN和Web服務器在同一臺設備上，Web服務器的安全隱患也將會影響VPN。二是通過獨立設備實現(xiàn)SSL VPN，包括硬件與操作系統(tǒng)，這種方式具有較高的安全性，但隨著技術的進步，一段時間后這種方式也將暴露出其本身的固有的隱患，這種獨立硬件的漏洞決定了整個系統(tǒng)的安全性。

2.2.2 身份認證

由于用戶可以通過任何計算機登錄進入VPN，可能將用戶名和密碼泄露，因此服務器端對請求接入的用戶的身份認證過程顯得更加復雜和重要，對安全性的要求也更高。

3 VPN安全隱患解決方案

3.1 客戶端問題解決方案

VPN網(wǎng)絡在使用中存在一些問題，但我們可以建立相應的機制來解決或緩解上述問題，使用VPN網(wǎng)絡安全更上層樓。

3.1.1 臨時數(shù)據(jù)處理

瀏覽器一般都帶有自動清除臨時數(shù)據(jù)的選項，但用戶一般不會自行設置，因此需要在服務器端編寫一個小程序，客戶端自動下載運行，該程序記錄用戶登錄后的操作及產(chǎn)生的臨時數(shù)據(jù)，退出登錄后自動清除用戶這個過程中留下的各種格式的臨時數(shù)據(jù)。

3.1.2 使用進程超時機制

大部分用戶對于數(shù)字證書的安全不太重視，證書長期插在電腦上，導致電腦長時間與SSL VPN處于連接狀態(tài)，這種情況一方面可以由單位制定操作規(guī)章，規(guī)定用戶離開時證書也要拔下，另一方面可以采用進程超時機制，由系統(tǒng)實時檢測用戶的操作情況，當用戶一定時間內(nèi)沒有操作時，系統(tǒng)自動斷開VPN的連接，而用戶下一次連接時需要重新認證。

3.1.3 應用層網(wǎng)關技術

應用層網(wǎng)關擔任VPN內(nèi)部網(wǎng)絡設備與VPN網(wǎng)外的主機的連結中繼者，在SSL VPN服務器上使用應用層過濾技術能有效地防止計算機病毒和黑客通過VPN的隧道感染和攻擊VPN內(nèi)部網(wǎng)絡，相當于多了一道有效的防火墻，通過對所有應用請求的審核，將非法的應用請求過濾掉，這樣即使應用系統(tǒng)有一些未知的漏洞也不影響安全性能，可以有效防止大部分病毒傳播。

3.1.4 加密內(nèi)部網(wǎng)絡信息。

我們通過掃描能很方便地獲知網(wǎng)絡內(nèi)的主機名、IP地址等信息，這容易被攻擊者利用，因此SSL VPN應對網(wǎng)內(nèi)的主機名、服務器IP地址等內(nèi)部網(wǎng)絡信息進行加密，盡量減少攻擊者獲取信息量，讓其無從下手。

3.2 服務器端問題解決方案

服務器端的問題主要有下面的幾種解決方法：

（1）為了抵制黑客對服務器端應用層漏洞的攻擊，利用基于應用層封包過濾技術，只允許已知的合法應用層數(shù)據(jù)包通過SSL VPN服務器也能有效防止黑客利用非法請求攻擊內(nèi)部服務器。

（2）使用更強的認證機制。取消傳統(tǒng)的靜態(tài)用戶名和口令的身份認證機制，最好是使用強的雙因素認證機制和一次性口令鑒別機制。最好能夠具備LDAP和短信息認證等多種認證功能。同時，還要強制要求用戶一段時間后就要修改數(shù)字身份證書的密碼，防止身份認證設備被人“借用”。

4 結束語

VPN作為一種安全技術和比較有效的網(wǎng)絡安全解決途徑，由于受各種不確定因素以及人為原因的影響，仍然存在著安全隱患，作為一種應用范圍較廣泛的安全應用解決方案，這些安全問題不容忽視。

參考文獻

[1]馬軍鋒.SSL VPN技術原理及其應用[J].電信網(wǎng)技術，2005，8（08）：6-7.

[2]王達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學出版社，2004.

作者單位

泉州市公安邊防支隊 福建省泉州市 362000