|
位于伦敦的法律公司LawrenceGraham使用的是令牌网和双重身份认证技术相结合的方式来保障远程VPN无线访问的安全。公司的IT总监JasonPetrucci介绍说”当律师用笔记本电脑远程登录公司系统时,他们要经过三重认证:一项是他们的用户名,一项是要求他们的登录密码,最后一项是他们的个人PIN代码和通行证。公司使用SecurEnvoy通过在文本文件中预先装载三个一次性通行证来管理和交付这个通行证,然后再传递给用户的黑莓手机”。
Graham解释说”被使用的通行证会自动更换传递到每位律师的黑莓手机上,我们的律师无论去哪都携带着黑莓手机。物理令牌网在笔记本被盗或者丢失时也不可避免的面临风险”。
位于美国西雅图的IT安全公司ESET的技术总监兰蒂.艾布拉姆警告说,同时运行多重网络连接,无论是无线连接还是有线连接都意味着风险。举例来说,使用两个开放式连接,笔记本电脑就成为企业网络的桥梁。攻击者就会通过VPN的连接入侵电脑。
艾布拉姆曾经遇到过用户通过加密的VPN下载安全的企业文档,然后再通过公共互联网转发给没有加密的网络电子邮件帐户这样的案例。更糟的是,浏览器助手在浏览器上下载时只是例行公事的进行提醒,某些包含恶意病毒的对象并没有被之前的木马侦测程序检测到,于是在浏览器下载时就会立即被激活。解决方案就是:在VPN开始连接时,就立即采取非常坚决和强硬的有线协议来切断并行网络连接。
即使是并行加密的VPN也不是绝对安全。将提供这种并行连接的VPN通道分离开是VPN用户非常普遍的做法。美国明尼阿波利斯市的安全咨询机构NetSPI的首席技术总监赛斯.彼得警告说”这种想法是将一个通道连接到企业网络上,另外一个是连接到公共互联网上。我们推荐用户关闭第二条通道,这样连接互联网唯一的方式就是通过企业网。但问题是,我们看到多数用户都没有这么做”。
需要考虑的因素如此繁复,那么在实际应用中该如何对无线VPN进行选择,管理和运行呢?
位于美国宾夕法尼亚州Pottsville市的帝国教育集团旗下有多个美容学校。公司的88家学校的职员在差旅途中都是使用思杰的VPN来与公司的企业网连接。在网络上,思杰访问网关(CitrixAccessGateway)会向他们开放经过批准的应用软件,比如Word,Outlook和记录了班级和人员信息的班级数据库。
管理协议可以拒绝用户进行本地存储,强迫他们在网络上进行存储。帝国教育集团的IT副总裁约瑟夫.坦迪斯表示”用户只能看见对他们公开的驱动,而不是他们本地硬件系统上的文件。从安全角度来说,如果笔记本电脑被盗也不是问题,因为上面根本没有信息。用户必须习惯在网络上存储”。
坦迪斯补充说,有趣的是,互联网浏览器从网上也是对用户公开的,它能允许公司来控制员工通过笔记本访问的网站,网站清单不止包括了公司自己的网站,还有微软和提供支持的站点。这样遭遇木马攻击的可能性就大大降低了”。
同时,财富50强的保险公司MetLife也非常重视数据泄露的问题,特别是对用户信息的保护在远程无线访问中显得至关重要。公司企业安全助理副总裁JesusMontano表示”我们面临的挑战是运用整体安全要求来调剂用户的访问需求,然后和用户共同找出不会危及系统安全的有效解决方案”。
对于来自机场和咖啡馆的无线访问,他解释说通过VPN厂商CheckPoint访问可以与MetLife的笔记本电脑隔离,通过RSA的令牌网,双重身份认证来实施登录保护。除了在VPN中内置加密措施外,所有笔记本电脑上的数据都进行了保护。
StressesMontano强调说”所有的无线流量都是加密的。使用防火墙对设备进行加密。我们认为努力掌控远程访问中最明显的缺陷,去制定相应的解决方案”。 |
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|