如何让VPN安全更上一层楼

 如何让VPN安全更上一层楼

 

众所周知，VPN(虚拟专用网)通过使用隧道在广域网上的两个网络之间传输数据。由于其数据是在广域网上传播，虽然通过隧道技术能够提供一定的安全保障。如在VPN隧道中传输数据的时候，数据包会在封装之前被加密。但是，若仅仅采用这个措施，对于安全要求比较高的企业，还是不够的。需要采用其他的辅助措施，如防火墙等等，让VPN安全更上一层楼。

辅助措施一：利用X509 等数字证书来加强身份鉴别。

在虚拟专用网中，第一道安全卡就是身份验证。身份验证可确保只有在身份被证明的那些对端用户之间建立隧道。若要保障VPN连接的安全，首要任务就是可以对用户身份或者设备进行周全的鉴别。

现在最常用的就是通过口令与账户来进行身份鉴别。如此虽然能够确保只有通过验证的用户才能够与企业网络之间建立隧道。但是，就如大家所知道的，密码容易被破解或者攻击。密码并不如大家所想的那么安全。为此，如果企业对于安全系数要求比较高的话，那么笔者建议采用更加安全的身份验证机制。如现在不少企业都采用X509数字证书来进行身份验证。因为数字证书能够比密码保护提供更高强度的身份验证。

为了提高数字证书的利用率，国际权威机构就提出了数字证书的X509 证书。由于很多网络设备都支持这个标准，所以在VPN虚拟专用网上配置X509数字证书，可以在企业中普遍推广。当用户在远程试图建立VPN连接时，由于远程用户与企业网络之间可以说是“素昧平生，相隔千里”。要使VPN连接成功就首先要能确认对方的身份。作为企业，要确认连接请求是是否就是企业授权的用户;而作为用户可能也会担心连接的对象是否就是自己所要的目标。因此能方便而可靠地确认对方身份是建立VPN连接的前提。而通过数字证书，就可以用来进行比较安全的身份验证。在思科的一些网络设备中，已经把符合X509标准的数字证书设置为一种默认的身份鉴别方法。笔者相信在不久的将来，这将会变为一种趋势。

所以，笔者认为传统的依靠用户名与密码来验证身份的方式可能已经过时了，已不符合企业现在安全方面的需要。若CIO想进一步提高VPN连接的安全性，利用数字证书来代替传统的用户名与密码，这已经是迫在眉睫。

辅助措施二：采取自动密钥管理，加强密钥的安全性。

无论是采用传统的用户名与密码验证，还是采用数字证书来进行身份鉴别，他们都不离不开密钥。所以，密钥的安全性也是CIO所需要考虑的内容。笔者认为，如果要提高VPN的安全，则最好能够实现密钥的自动管理。

现在不少的企业为了工作的方便，都建立了VPN服务器。但是，其中大部分的VPN解决方案都需要在每个网络设备中手工输入这些密钥。而且，往往这些密钥长期有效。当需要VPN连接的用户逐渐增多，这个管理的工作量也会随之增加，而且其安全性也会越来越低。而密钥的自动化管理可以解决这方面的问题。自动密钥管理会根据相应的规则定义密钥的有效期与生存期。在这个有效期内，密钥可以被重复利用。但是若超过了这个有效期或者生存期的话，密钥就可能被重置。这对于攻击者来说，留给他们的时间就更短了。

笔者企业现在也部属了VPN应用。而且，对于密钥采取自动化管理。为了提高VPN连接的安全，笔者把这个密钥的生存期设置为半个小时。也就是说，密钥会每半个小时自动更换。那这个管理的工作量是否会很大呢?其实不然。因为笔者采取了自动化管理的策略，这个密钥生成、失效等工作根本不用笔者去干预。笔者采用了一种基于时间的密钥生成机制。对于需要通过VPN访问企业内部网络资源的员工，都会配备一个密钥生成器设备。这个设备中存储有这个员工的信息，同时其时间是跟VPN服务器的时间同步的。然后根据一定的算法，每个半小时这个设备与VPN服务器会同时根据用户信息与时间生成一个新的密钥。同时，原先的密钥就失效。若员工想要连接VPN的话，就需要输入最新的密钥。当然，现有的连接不会受影响。通过这种密钥自动管理策略，笔者企业的VPN应用几年都没有受到过攻击了。

辅助措施三：提供更强的加密算法。

用户数据在VPN隧道传输之前，会先对数据进行加密。而这个加密算法的不同，则其安全程度也不同。企业之所以要采用VPN进行远程访问，其基本目标就是要确保远程访问的安全。现在常见的VPN解决方案，都支持比较多的加密方法。笔者认为，一个比较安全的VPN解决方案，应该包含多种加密方法，他们所支持的密钥长度至少要超过其默认的最小长度。提高加密算法的级别，可以提供更高的安全级别。如故VPN解决方案使用多个支持密钥长度超过推荐的最小长度的加密算法，可以明显的提高VPN连接的安全性。因为攻击者破解一个密钥所需要的时间直接与密钥的长度成正比。当密钥长度越长，其所需要的时间也就越长。

另外，最好能够集成IPSec安全策略。IPSec是由IETF提出的一组标准，遵守这些标准的产品可以无缝的进行相互之间的操作与通信。如果企业的VPN解决方案能够支持IPSec标准，那么不仅VPN的安全性有很大的提高，而且，可以提供更高的灵活性。它可以跟企业以后采用的解决方案与网络设备无缝的集成。IPSec协议主要用来加密VPN隧道中传输的数据。因为在因特网中通常都是使用IP协议来传输数据。IP传输的数据采用可管理块的形式，也成为数据包。由于这些数据包自身是没有加密、完整性保护等措施的，所以容易受到欺骗、嗅探、会话劫持和中间人攻击等威胁。为了提高在互联网数据传输的安全程度，就提出了IPSec解决方案。他主要解决了数据在互联网传输过程中的三个主要安全问题，即保证数据的机密性、真实性和完整性。如采用IPSec协议，可以实现因特网密钥交换。他可以在互联网上的两个设备之间定义一个安全关联。这个安全关联描述了两个设备间数据处理机制的策略。

所以，CIO若能够为VPN连接配置比较高的加密算法，或者采用IPSec安全策略，都可以在很大程度上提高VPN的安全。这里要注意一点，在传统的VPN解决方案上，并包IPSec安全策略。也就是说，VPN与IPSec是两种独立的技术。不过，他可以集成。现在包括思科在内的不少网络设备，都支持在IPSec的平台上配置VPN应用。这对于安全级别需要比较高的企业来说，是一个喜讯。

辅助措施四：要能够支持远程日志管理。

随着企业网络设备的逐渐增多，若要一台台的去管理，工作量会很大;而且，很容易会存在一些管理的死角。所以，一个安全的VPN解决方案，应该可以支持远程管理。也就是说，VPN服务器应该支持在独立的日志服务器中集中记录和审计事件的功能。说简单一点，就是VPN服务器上的日志可以自动转移到独立的日志服务器中。在这些日志中会包含用户连接的信息;也会包含一些企图非法连接的信息。在一个统一的日志服务器中管理这些信息，可以减轻CIO的工作量。同时，也可以实现面面俱到，可以减少管理的盲点。故笔者认为，无论是VPN应用也好，还是其他网络应用，最好CIO能够趁早建立一个集中管理的平台。如笔者企业现在就部署了一台中央日志服务器。各个网络设备与解决方案的日志都进行集中管理。网络设备有什么异常，VPN等应用解决方案有什么不对劲，都会集中的在这台日志服务器上体现出来。而且通过日志过滤、报警等功能，我们CIO可以及时的了解这些异常信息以及攻击事件。

以上这些内容，不仅可以让VPN连接的安全更上一层楼。而且，CIO还可以借鉴这些内容，选择VPN的解决方案。企业若对网络与信息安全要求比较高，如一些有自主品牌和一定研发能力的企业或者那些金融企业，最好能够在VPN解决方案上多加几把锁，进一步提高VPN虚拟专用网的安全性。