ENGLISH 4006-WOSIGN
首页>解决方案>SSL VPN 部署中存在的主要问题

SSL VPN 技术专题

虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。

由于企业普遍采用 B/S 架构来建立内部管理系统,而且必须满足远程用户安全接入的要求,所以, SSL VPN 产品已经在各行各业中得到了越来越多的应用部署,如企业内部网、校园网、政府内部网等等。但是,目前的 SSL VPN 部署中仍然有不小安全隐患,也就是说:这条通往企业内部的安全隧道并不是十分安全,这对于依赖各种内部管理系统 ( 如: OA 、 CRM 、 ERP 、 SCM) 的企事业单位来讲,是非常危险的事。这些安全隐患如果不能得到及时解决,则极有可能使得企业机密数据从这个秘密隧道泄露出来,会给企业带来不可弥补的经济损失和其他损失。本专题意在指出各种 SSL VPN 部署中可能存在的安全隐患,并提出其解决方案。

二、 SSL VPN 部署中存在的主要问题

一、 什么是 VPN ?什么是 SSL VPN

三、 SSL VPN 部署中存在的主要问题解决方案

四、 SSL VPN 设备选购五大注意事项

 

我们检查了许多能通过互联网访问的 SSL VPN 登录系统,发现了不少安全隐患,主要有如下几个与数字证书有关的问题:

(1) 比较普遍的一个问题是使用自签名SSL证书,不仅使得浏览器会有安全警告,如下图所示, IE7 以上版本浏览器直接阻止运行,给 VPN 使用者带来不便。

SSL VPN部署

不仅如此,更重要的安全隐患有:
a) 一般自签名SSL证书使用的 RSA 公钥长度 1024 位,甚至有些是 512 位,非常不安全,随时都有可能被破解的风险,使得 SSL 加密形同虚设;

SSL VPN部署

SSL VPN部署

b) 有些自签证书使用非常不安全的 MD5 签名算法;

SSL VPN 部署

c) 有些证书主题信息中居然没有绑定域名的 CN 字段信息,这根本就不能称为 SSL 证书,能否起到 SSL 加密作用,还是一个大问号 ( 有待测试 ) ;

SSL VPN 部署

d) 许多自签 SSL 证书有效期为 5 年、 10 年,甚至 20 年,不安全的 1024 位加密随时有可能被破解, 10 年和 20 年的有效期就更不能保证不会被破解了。

(2) 有些 SSL VPN 设备已经部署了全球信任的 SSL 证书,但颁发这些 SSL 证书的根证书和设备 SSL 证书都是 1024 位的密钥长度,也是不安全的。

SSL VPN 部署

(3) 在登录 VPN 系统的用户端身份认证方面,几乎都是采用不安全的用户名 / 密码认证方式,如果用户端电脑有木马,则其用户名 / 密码就非常容易被截获,就等于这条通往企业内部网的安全隧道彻底不安全了,因为密码截获者已经获得了该用户的所有访问权限。

SSL VPN 部署

即使有个别系统使用了自签的客户端证书做强身份认证登录,仍然存在与自签 SSL 证书同样的两大问题 ( 密钥长度不够和证书有效期的问题 ) ,更为重要的问题是这些客户端证书根本就没有可访问的吊销列表,这意味着一旦某个用户的证书或 USB Key 丢失 ( 或离职后声称已丢失 ) ,由于无法吊销证书而极有可能被捡到者用于非法登录内部管理系统,这也是一个严重的安全隐患,特别是在大型系统中由于用户数太多而带来管理的难度。

(4) 发现个别 SSL VPN 登录口居然没有部署 SSL( 不能使用 https:// 来访问 ) ,则根本不是 SSL VPN !当然也起不到安全加密的作用,那好不如不用此类所谓的“ SSL VPN ”设备了。看来, SSL VPN 市场真是鱼目混珠,建议有意购买 SSL VPN 设备的单位一定要看看本网站的选购指南。