错误配置VPN客户端是如何导致安全问题的?你有VPN的安全窍门来确保正确配置VPN客户端吗?
虚拟私有网一般运行在两种模式下:要么建立了安全连接,要么没有。如果安全连接没有建立成功,它就不可能发送流量给被保护的资源。因此很少会出现安全漏洞。然而,VPN安全问题仍然可能会发生。
这里,我会着重讲述IPsec VPN,这是如今VPN部署中最安全的技术。SSL VPN有很多问题,特别是使用网页浏览器连接的时候。尽管存在无客户端SSL VPN的概念,但是网页浏览器是SSL VPN客户端重要的组成部分。方便性促使浏览器剧增,但是浏览器的使用方式会导致重大安全隐患,从而引发严重的安全漏洞。
回到经典的客户端式IPsec VPN,记住每个VPN连接有两部分:VPN 客户端和终端的VPN网关。导致安全风险的错误配置VPN客户端经常发生在建立IPsec连接请求的1阶段或2阶段。例如,如果客户配置成使用AES128,用户将加密算法变成DES(假设网关允许DES为有效的安全请求),这将严重降低总的安全级别,因为DES加密强度弱,很容易被攻破。因此,可以在网关那头做一些控制,禁止达不到最高级VPN安全的安全协议。
另一个可能发生的潜在安全问题是用户随意地更改VPN客户端参数,比如预共享密匙。用户通常不知道该值,这会导致客户端没法建立VPN连接。然后用户会尝试获取正确的VPN配置参数以使客户端正常工作。在传送重要的安全参数中,可能会发生安全问题。比如,密匙可以通过邮件发送,甚至发到用户的公开Yahoo,Gmail或Hotmail账号。或者,密匙可以通过电话交谈偷听到。如果VPN客户端还包括其他安全有关的功能,例如客户端防火墙,事情会变得更糟。改变那些本来要保护接入设备的关键客户端防火墙规则会引发重大隐患。
而一个预设好、且没法更改配置的VPN客户端,完全可以避免这些。VPN配置锁定将预防任何未经授权的改动。另外,完全掌控VPN客户端让网络管理员可以很快的更改配置或是回到之前的配置。管理系统同时也能确保一致和有效的配置到VPN客户端,以免一开始就错误配置VPN客户端。
