企业的SSL VPN安全问题,何种类型的VPN最有可能受到安全破坏的威胁?
来自电脑外包服务专家--重庆讯闪科技
问:企业的SSL VPN足够安全么?我是不是该选择其他类型的VPN?
答:这不一定。安全构架的成本和复杂性不同,因此安全级别应该视所支持与保护的网络而定,最好做一个安全审计来评估企业接入网络的设备,这需要请所有接入内网的人员参与,对于服务器端,需要考虑以下问题
•接入的系统
•接入网络的策略
•哪些设备接入网络?
•接入网络后,允许访问什么信息?
•如果出问题有应急方案么?
•出问题会对业务造成哪些影响?
对于客户端,需要回答以下问题
•客户端接入网络的类型?
•根据位置和接入方法,VPN如何起到保护作用?
•企业对客户端的控制级别?
评估了客户端之后,SSL VPN可能就不是好的选择,因为不论是客户端浏览器还是客户端电脑都会造成安全问题。全面的考虑所有因素将揭露潜在危险,以及这些危险对网络的影响。
选择SSL VPN不能忽视客户端控制,因为它也能威胁到SSL VPN的安全。SSL VPN很容易受到客户端的威胁,建议用终端保护强制客户端安全,不能盲目相信客户端浏览器和应用。适当管理客户端,对进入网络的用户要保证身份验证。
下面两种情况你应该考虑其他类型的VPN:第一,如果你的IT安全已经让你甚为担心,而且信息暴露,丢失或被盗将对业务产生严重影响;第二,为了满足合规性,你想对客户端实施更强的控制来减少信息暴露的危险。
内部人员——那些因为迁怒于公司而离职的前公司成员,他们想要让公司蒙受损失。
觊觎财务信息的人——他们对信用卡卡号或银行账户等能够用于银行转账的信息很感兴趣。
有政治企图的人——他们仅仅想要以某种形式来表达其政治立场。
被称为“脚本少年”的黑客——他们是数量最多的一类,主要利用VPN的漏洞来满足他们的好奇心,测验某种理论或是验证某个概念。更有甚者仅仅想要弄清楚某些东西,证明某个漏洞的存在或是某个系统可以被攻破。
总而言之,坏消息是的确有许多方式可以破坏VPN系统,而好消息是黑客们一般不会以窃取信息为目的。如果真的以窃取信息为目的的话,财务信息最有可能成为被窃目标。例如,窃取信用卡信息进行网络欺骗交易。
何种类型的VPN(例如SSL、IPsec等)最有可能受到安全破坏的威胁呢?
不存在100%安全的VPN技术。每项技术都会面临着某种特定的挑战。但是,对于时下普遍采用的两种VPN技术——SSL和IPsec,我认为IPsec要更加安全一些,这是由它们的技术本质所决定的。
作为IETF的一项标准,IPsec拥有安全的内核,技术也相对成熟。此外,在具体应用中,特定的客户端会控制和关联IPsec。相比之下,SSL的控制和关联仅仅通过网络浏览器实现。众所周知,网络浏览器存在许多漏洞,有许多攻击专门针对这些漏洞,因此SSL的安全模型颇受质疑。另外,VPN的三个关键特性包括保密性、完整性和可靠性。由于对身份认证控制不严,SSL的可靠性也饱受质疑。
问:企业的SSL VPN足够安全么?我是不是该选择其他类型的VPN?
答:这不一定。安全构架的成本和复杂性不同,因此安全级别应该视所支持与保护的网络而定,最好做一个安全审计来评估企业接入网络的设备,这需要请所有接入内网的人员参与,对于服务器端,需要考虑以下问题
•接入的系统
•接入网络的策略
•哪些设备接入网络?
•接入网络后,允许访问什么信息?
•如果出问题有应急方案么?
•出问题会对业务造成哪些影响?
对于客户端,需要回答以下问题
•客户端接入网络的类型?
•根据位置和接入方法,VPN如何起到保护作用?
•企业对客户端的控制级别?
评估了客户端之后,SSL VPN可能就不是好的选择,因为不论是客户端浏览器还是客户端电脑都会造成安全问题。全面的考虑所有因素将揭露潜在危险,以及这些危险对网络的影响。
选择SSL VPN不能忽视客户端控制,因为它也能威胁到SSL VPN的安全。SSL VPN很容易受到客户端的威胁,建议用终端保护强制客户端安全,不能盲目相信客户端浏览器和应用。适当管理客户端,对进入网络的用户要保证身份验证。
下面两种情况你应该考虑其他类型的VPN:第一,如果你的IT安全已经让你甚为担心,而且信息暴露,丢失或被盗将对业务产生严重影响;第二,为了满足合规性,你想对客户端实施更强的控制来减少信息暴露的危险。
内部人员——那些因为迁怒于公司而离职的前公司成员,他们想要让公司蒙受损失。
觊觎财务信息的人——他们对信用卡卡号或银行账户等能够用于银行转账的信息很感兴趣。
有政治企图的人——他们仅仅想要以某种形式来表达其政治立场。
被称为“脚本少年”的黑客——他们是数量最多的一类,主要利用VPN的漏洞来满足他们的好奇心,测验某种理论或是验证某个概念。更有甚者仅仅想要弄清楚某些东西,证明某个漏洞的存在或是某个系统可以被攻破。
总而言之,坏消息是的确有许多方式可以破坏VPN系统,而好消息是黑客们一般不会以窃取信息为目的。如果真的以窃取信息为目的的话,财务信息最有可能成为被窃目标。例如,窃取信用卡信息进行网络欺骗交易。
何种类型的VPN(例如SSL、IPsec等)最有可能受到安全破坏的威胁呢?
不存在100%安全的VPN技术。每项技术都会面临着某种特定的挑战。但是,对于时下普遍采用的两种VPN技术——SSL和IPsec,我认为IPsec要更加安全一些,这是由它们的技术本质所决定的。
作为IETF的一项标准,IPsec拥有安全的内核,技术也相对成熟。此外,在具体应用中,特定的客户端会控制和关联IPsec。相比之下,SSL的控制和关联仅仅通过网络浏览器实现。众所周知,网络浏览器存在许多漏洞,有许多攻击专门针对这些漏洞,因此SSL的安全模型颇受质疑。另外,VPN的三个关键特性包括保密性、完整性和可靠性。由于对身份认证控制不严,SSL的可靠性也饱受质疑。
Powered by xunshan