|
随着无线网络的进步,很多出差在外的商务人士通过机场或者咖啡馆的热站就可以与企业网络实现无线连接。而在几年前,在这种环境下企业网通讯被偶然或者频繁的偷窥还是困扰大家的梦魇。因此,虚拟专用网络(VPN)的普及成为无线网络传输过程中的必然产物。
但是VPN的安全几何呢?答案看来是”不像你想象的那样安全”。
美国俄勒冈州的培训提供商CBTNuggets的安全指导顾问兼思科出版社撰稿人JeremyCioara表示”人们试图在虚拟个人网络中关注隐私这个字眼。他们总是习惯在笔记本上来工作和上网,因为他们认为使用的VPN是安全的,但事实并非如此”。
因此CIO或CSO该如何选择安全的VPN呢?为了保障VPN的安全该如何对其进行配置和管理?VPN的技术层面和安全设置是否会影响到整个网络连接的安全?随着通过VPN无线连接企业网络的远程通讯用户数量不断攀升,这些问题的严峻性就日益凸显。我们关注的底线并非VPN本身,而是攻击所在站点栖身的无线上网环境。
提及VPN的选择,就有很多不同的价位可供选择。举例来说,有免费的VPN、开源VPN,号称每月有15万下载量和300万用户的OpenVPN。微软公司的MicrosoftWindowsXP操作系统中也有自带的免费VPN,它执行的是点对点的PPTP协议。
美国纽约的CastleBrands使用也是遵循PPTP协议的VPN络,日前发展迅速,已经超过了开源和所有权VPN。
Brands的IT总监AndrePreoteasa表示”我们尽力在不影响安全的前提下控制成本,目前某些VPN前端的成本,额外的硬件设备,软件许可证授权费用和每年的技术支持费用都迅猛增长。如果你使用的是WindowsXP操作系统,有了PPTP就能节省很多”。
Preoteasa解释说,最初访问网络是以密码为基础的,后来开始以MicrosoftActiveDirectory的形式用服务器上的认证规则进行访问控制”人们足不出户就能领略世界;即使销售人员不在,财务人员也能进行账目访问”。
安全认证公司SCIPPInternational的创始人兼信息安全专家WinnSchwartau表示,但PPTP作为VPN并非毫无瑕疵,这就是为什么市场上存在如此众多的商用单机版VPN。他强调说,与以操作系统为基础的VPN不同,以用户为基础的VPN能向用户提供更好的管理性和灵活性,当然价格上也是如此。
Schwartau解释说”PPTP并非理想之选,但也聊胜于无。除非你有国家级机密需要保护,否则PPTP就足够防范多数非法攻击了。在机场临时想要投机取巧的人员会去窥视你的无线连接,看它是否已经采取了加密措施再进行下一步行动。事实上仍然有很多可以轻易得手的漏洞,比如那些没有加密的连接就给这些人提供了可趁之机”。
无线VPN的复杂性
但是当用户评估商用级别的VPN时,面临的复杂性就会成倍增加。技术考量在VPN的选择过程中扮演着至关重要的角色。举例来说,在美国密苏里州Joplin市的五旬节天主教堂,IT总监东.艾伦介绍说,教堂高管使用的是运行64位Vista操作系统的笔记本电脑,但他们青睐德国NCP工程公司的Nürnberg的VPN产品。
但是教堂现有的思科PIX路由器防火墙过于陈旧无法与VPN兼容,这个发现促使他首先向思科的客户支持求助,但是没有得到满意的解决方案,然后他又向微软求助,微软推荐的解决方案是:单一厂商NCP的VPN能为他提供与64位Vista操作系统兼容的产品。
艾伦介绍说”我下载了一个测试版,跟NCP公司沟通后我给他们发送了200MB的截屏。第二天我收到一封电子邮件,要求我更改路由器上的某项设置,将文件复制到每台笔记本电脑上。这样它就能直接工作了,我购买了他们的许可证授权。我们又再次拥有了安全通讯,这比购买一台新的路由器要便宜太多了。如今,教堂的管理人员在出差时也能像平常一样访问网络。这确实是个不错的解决方案”。
目前的桌面系统都带有企业的标识和应用软件,用户在存在安全隐患的互联网上游荡的可能性就有所降低。安全协议又进一步降低了这种风险。通行的防病毒软件和防木马程序会自动开启并进行病毒侦测,连接到企业网络的VPN连接只有在类似措施被及时更新后才能使用。强制授权措施也应该适当应用:不仅是使用密码,还应该上传授权证书,令牌网或者其他双重身份认证。 |
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|