首页>解决方案>SSL VPN 部署中存在的主要问题解决方案

SSL VPN 技术专题

虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 购买VPN SSL专用证书

SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。

由于企业普遍采用 B/S 架构来建立内部管理系统,而且必须满足远程用户安全接入的要求,所以, SSL VPN 产品已经在各行各业中得到了越来越多的应用部署,如企业内部网、校园网、政府内部网等等。但是,目前的 SSL VPN 部署中仍然有不小安全隐患,也就是说:这条通往企业内部的安全隧道并不是十分安全,这对于依赖各种内部管理系统 ( 如: OA 、 CRM 、 ERP 、 SCM) 的企事业单位来讲,是非常危险的事。这些安全隐患如果不能得到及时解决,则极有可能使得企业机密数据从这个秘密隧道泄露出来,会给企业带来不可弥补的经济损失和其他损失。本专题意在指出各种 SSL VPN 部署中可能存在的安全隐患,并提出其解决方案。

三、 SSL VPN 部署中存在的主要问题解决方案

一、 什么是 VPN ?什么是 SSL VPN

二、 SSL VPN 部署中存在的主要问题

四、 SSL VPN 设备选购五大注意事项

从《 SSL VPN 部署中存在的主要问题》中可以看出,的确存在不少问题,但由于目前国内主流的 SSL VPN 厂商只能提供这种性能的产品,使得用户不得不接受其现状。有许多 VPN 用户网站就有详细的指南,告诉其用户访问时 IE 有安全警告,必须点击“继续浏览此网站”,这一方面也是一种无奈的选择,另一方面,可能不知道怎样向 SSL VPN 厂商提出改进意见。本文就详细指出以上发现的问题的具体解决方案。

1、 SSL 证书部署

SSL VPN 设备部署中最重要的一部分是 SSL 证书,每个 SSL VPN 设备上必须部署一个 SSL 证书,才能实现 SSL 加密通信通道。此 SSL 证书可以从商业证书颁发机构 (CA) 处购买( 如 WoSign) ,也可以由用户或 SSL VPN 厂商做一个 SSL 证书 ( 即自签证书 ) ,强烈推荐 SSL VPN 用户从商业证书颁发机构购买,这样才能保证支持所有浏览器,不仅仅是浏览器没有安全警告,同时也解决了由于自签证书不专业而带来的许多安全隐患问题。

而目前 SSL VPN 的部署大多数是采用有安全问题的自签 SSL 证书,自签 SSL 证书虽然不用花钱,但是由于存在安全隐患而带来安全问题使得这个安全通道成为泄露企业商机机密的后门,那代价绝对不是购买 SSL 证书几千元的损失了,绝对不能因小失大。

还是看看部署了浏览器信任的 SSL 证书的 SSL VPN 是什么效果吧:下图 1 和图 2 为著名的社交网聚友网和长江证券部署了 WoSign 品牌 SSL 证书的 SSL VPN 登录界面:

SSL VPN

SSL VPN

SSL VPN

我们再看看国外 SSL VPN 都是部署了支持浏览器的 SSL 证书,如下图 3 、图 4 和图 5 示为 美国哈佛大学校园网、 美国爱荷华州立大学校园网和美国劳伦斯利弗莫尔国家实验室的 SSL VPN 登录界面:

SSL VPN

SSL VPN

SSL VPN

其实,部署自签 SSL 证书还不仅仅是浏览器有警告的问题,加密强度不够也是一个大问题。我们推荐 SSL VPN 用户都要部署支持 SGC 强制 128 位加密强度的 SSL 证书,如 WoSign 品牌 超真SSL证书 ,因为 56 位加密只需几天就能破解,而 40 位加密只需几秒钟就能破解,只有 128 位加密才是安全的。支持 SGC 强制 128 位加密的  SSL 证书能确保 VPN 用户使用任何版本浏览器都能实现 128 位高强度加密。而任何自签证书都无法做到支持强制 128 位加密。请参考 SGC 强制 128 位加密技术 。

2、强身份认证部署

上面的解决方案中部署支持浏览器的 SSL 证书只是解决了 SSL VPN 的安全加密传输问题,用户需要输入用户名和密码才能登录。但是,目前由于各种恶意软件 ( 木马 ) 猖獗,任何单位都无法保证登录 SSL VPN 的用户的电脑没有木马,特别是在公共场所的公共电脑登录时。而一旦登录 SSL VPN 的用户名和密码被非法截获,则等于把企业的内部系统向黑客敞开了大门,这条通往企业内部网的安全隧道彻底不安全了,因为密码截获者已经获得了该用户的所有访问权限。

最安全的 SSL VPN 登录解决方案是采用 强身份认证技术 ,即去掉不安全的用户名 / 密码方式,采用客户端证书与设备端 SSL 证书相配合做双向认证,即只允许某些特征的客户端证书才能登录 SSL VPN 设备,考虑到使用 SSL VPN 用户都是移动办公用户,所以,推荐采用 USB Key 加客户端证书方式,只有插入 USB Key 才能安全登录 SSL VPN 系统,只有这样,才能保证无论在什么公共场所使用什么公共电脑都能确保登录的内部系统安全。

当然,如果用户认为采用客户端证书方式比较麻烦的话 ( 其实,并不麻烦, WoSign 提供免费颁发个人证书服务,只要 VPN 系统中能识别出 WoSign 颁发的客户端免费证书即可实施 ) ,可以采用 OTP 动态令牌认证方式,用户手中有一个动态令牌,每次登录 VPN 时产生一个动态密码,加上原先的固定密码也能在一定程度上保证密码不会被非法截获,因为动态密码是一次性的,即使被非法截获也是没有用的。

如下图 6 所示,左边是 既需要输入密码又需要客户端证书的登录方式,而右边为传统的基于用户名 / 密码的登录方式增加了采用 OTP 动态令牌的动态口令双因素安全认证方式,这两种方式都能有效地解决简单的用户名 / 密码方式登录的安全问题。

SSL VPN

请注意:采用 WoSign 免费或收费的客户端证书的好处不仅仅是支持浏览器,而是支持证书吊销列表,也就是说,如果某个员工的 USB Key 丢失或员工离职的话,可以马上吊销其证书,则即使有人捡到此 USB Key ,也是无法登录系统的。而采用自签证书一般是无法做到能实时吊销证书功能的。

总之, SSL VPN 的确能解决安全访问企业内部网或校园网的问题,但必须正确地部署可靠的 SSL 证书,同时还必须加强用户登录的身份认证,否则不仅是形同虚设,还不如不提供此服务,因为不安全的话,就等于把内部网向黑客开放了。从上面的解决方案可以看出:目前正在部署的 SSL VPN 系统只要稍微做一些安全升级改造就可以解决安全隐患问题,其一就是购买一个 WoSign 品牌 SSL 证书,其二,对于安全要求高的用户,改造现有的不安全的用户名 / 密码登录方式为证书登录方式即可,如果采用 WoSign 免费个人证书的话,并没有增加改造成本。