6月14日消息,深信服SSL VPN產品存在安全隱患。經分析,SSL VPN某接口存在注入漏洞,攻擊者可以構造特殊參數來利用此漏洞,以達到非法登錄控制檯的目的。
筆者因此特別分析了市場常見的安全接入系統:
方式一:IPSec VPN技術
優點:可實現LAN到LAN的透明通訊
缺點:由於透明通訊,所以無法防止病毒木馬傳播,難以實現對應用和主機分離保護,比如Windows的BadTunnel漏洞充分暴露了IPSec VPN技術的安全性弱點;部署時候需要規劃內網IP和外觀IP地址,整體部署時候所有的網絡地址不能衝突,這在節點眾多時候很難實施;
方式二:SSL VPN技術(即深信服採用的接入技術)
優點:在應用層實現安全通訊,無需更改用戶網絡地址;
缺點:只支持WEB應用;如果要實現三層、四層應用需要安裝控件,只能在windows系統上運行,如客戶端設備是Linux則難以部署;
其他技術
其他如PPTP、L2TP、GRE/IPIP都存在各種不足。如PPTP安全性不夠,也無法支持大容量的用戶接入;GRE/IPIP通道沒有加密功能;這些協議在現在的市場情況也是日漸減少。
近年來,筆者特變關注到一個新的安全接入技術:NTLS(Next Transport Layer Security)即傳輸層安全協議。也發現了其幾個特點,參考了一定的資料後,也想拿出來分析下:
NTLS採用多框架密鑰交換協議和支持包括標識密碼算法在內的各種國密算法,同時結合網絡封包截獲和代理技術,實現遠程訪問用戶的身份認證和遠程數據的加密傳輸,讓訪問者更安全地遠程訪問遠程內部資源。
NTLS通過簡單易用的方法實現信息遠程連通,並且採用密碼技術對遠程節點身份做強制認證,有效保證了遠程訪問和遠程數據傳輸的可鑑別性和安全性。
NTLS安全通道方案可同時支持三、四層安全機制,三層安全機制可以實現站-站、站-網、網-網的數據安全保護,並對三層數據按照四層的安全策略進行控制。細粒度的安全策略可以保證系統免於傳統IPSec VPN面臨的安全風險。四層安全機制採用數據重定向技術,節點無需分配IP,中心端無需開放某個IP或者網段給遠端,支持基於端口、協議等多種訪問控制和完善的訪問日誌記錄,具有更高的安全性和可管理性。
C/S模式安全通道實現過程
安全通道的建立主要通過客戶端和服務器端來構成專用隧道。構成和形式如下:
NTLS客戶端:軟件形式。可支持Windows、Linux、Unix、iOS、Android平臺,基於標識進行身份認證,連接服務器端進行安全通訊;
NTLS服務器端:有軟件形式和硬件形式兩種。
其中,軟件方式可支持Windows、Linux、Unix、iOS、Android平臺,僅提供接入功能;
硬件形式為專用硬件設備: 雲安全接入平臺,具備完整的用戶管理、策略管理、日誌管理、網絡設置、資源查看等等功能。
通訊時,需要NTLS客戶端向NTLS服務器端發起請求並建立安全通道,訪問服務器端的資源。
NTLS客戶端到服務器端通訊的工作原理如下:
支持海量用戶接入:
方案中使用的加密算法均可擴展:
1、對稱算法:用於保障通道中的數據加密,可擴展用戶自定義算法;
2、非對稱算法:用於身份鑑別和簽名運算,也可以擴展用戶自定義算法。