專家教你SSL VPN部署的注意事項
專家教你SSL VPN部署的注意事項,SSL VPN部署不當就會出現掉線,斷流等等問題。深入了解SSL VPN部署配置中的細節問題對于我們而言是一件很重要的事情,接下來就要詳細地介紹相關知識。
幾年前,如果想把局域網擴展到組織機房以外的區域,撥號/專線幾乎是唯一的選擇。隨著技術不斷的改進,組織經歷了Modem撥號、DDN、Frame Relay(幀中繼)、ATM和SDH的不斷演變,但專線的成本高昂和缺乏彈性的特點從未得到徹底改變。Internet的發展給我們帶來了虛擬專用網絡(VPN),通過利用無所不在的互聯網,VPN把經濟性和部署彈性發揮到了更高的水準,成為了取代專線的首選方案。
在TCP的網絡層,IPSec協議通過預共享密鑰和高強度加密算法實現了局域網的安全互聯,讓組織的分支機構融合到了總部的局域網,分支機構可以根據其網絡規模和使用人數選擇和總部連接的方式,硬件VPN網關,或是VPN客戶端,前者部署在分支機構的局域網,后者直接安裝在使用者的PC操作系統上。
然而,組織的成員不會永遠安坐在辦公室,當他們“移動”起來時,例如回到家中、參加會議、出差考察,環境的頻繁變化讓IPSec難以應對。組織的外界環境迅速膨脹,合作伙伴、股東、審計部門、供應商、經銷商都被納入了組織的網絡外延,他們需要接入到組織的內網,以訪問他們所關心的應用資源和數據報表。
IPSec的部署問題會讓企業的網絡人員成為合作伙伴 “公用”的網管。IPSec客戶端不停的安裝、調試和維護將會成為網管人員生活中不可或缺的一部分,無論你是在工作時間還是8小時之外。
問題還遠沒有結束,基于IPSec是網絡層協議的前提,當遠程設備從Internet接入后將被虛擬成局域網內的一臺PC,也就是獲得了局域網的所有使用權限。這是相當危險和難以控制的。如果這臺接入的設備攜帶了病毒、蠕蟲,局域網也會很快地受到感染,使網絡人員精心構建的安全城墻在一瞬間灰飛煙滅。
SSL(安全套接層)VPN被視為IPSec VPN的互補性技術,在實現移動辦公和遠程接入時,SSL VPN部署更可以作為IPSec VPN的取代性方案。SSL協議由網景公司提出,是一種基于WEB應用的安全協議,包括服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和數據保密性。
所有標準的WEB瀏覽器均已內建了SSL協議。采用SSL協議的設備并不等同于SSL VPN部署,除非它利用SSL協議實現對WEB及各種使用靜態或動態端口的服務做支持。我們舉個例子,看看SSL VPN部署是如何在組織中應用的。
A是一家大型的國際集團,擁有3家上市子公司、7個研發中心和20余個生產基地,辦事處和員工遍布全球。在A集團中心機房的服務器集群中部署了ERP系統、客戶關系管理系統(CRM)、郵件系統、辦公自動化系統、文件服務器,以及一些定制化的集團應用。
集團規模不斷擴大,已有50%的人員分布在企業總部以外,而且這一比率還在不斷增加。人員在遠離總部的同時,他們離中心機房中的各種應用也“越來越遠”。集團總部的人員同樣也在隨時遠離總部,在家、在會場、機場、酒店、甚至在親友家中。
他們試圖利用各種設備,自己攢的兼容機、公司配備的筆記本、會場酒店提供的主機、自帶的PDA、MS CE操作系統的移動電話、甚至是親屬家的電腦,接入到總部的內網。這些人不是IT專家,但業務的不可中斷性激發了他們的移動辦公需求。
VPN工作在傳輸層和應用層之間,使用了瀏覽器自帶的SSL 協議,當集團的員工希望連接到總部網絡時,可以盡情使用手頭任何可接入Internet的設備。通過在瀏覽器中輸入總部SSL VPN部署的網絡地址,ActiveX控件會自動被下載并安裝,利用管理員發布的帳號和密碼,員工就可以隨時接入到內網。
傳統的SSL VPN部署只支持以web為基礎的應用,而如今的SSL VPN部署取得了很大的進步,通過端口轉發和應用重定向技術,在客戶端訪問常用的C/S應用已經輕而易舉。有些SSL VPN部署產品走得更遠,通過在客戶端和總部建立全三層的隧道實現了網絡擴展,你甚至可以在手持設備上使用Voip,通過SSH和Telnet管理局域網的網絡設備。
從你隔壁辦公室的電腦中下載其共享的mp3。如果員工是在公共場所使用SSL登陸,當客戶端長時間沒有操作時,SSL VPN會自動注銷其用戶,避免主機被其他人利用。當客戶端退出SSL后,其訪問的記錄和保存在瀏覽器中的Cache也會被自動清除,使訪問不留痕跡。
對于合作伙伴的接入,SSL VPN部署利用其所在網絡層的優勢,可以保證“端點到應用的安全”。在合作伙伴接入前,SSL VPN便啟用了其端點安全性掃描功能,通過對遠程終端操作系統、注冊表、進程、防火墻和殺毒軟件的檢測,確保了終端的安全策略符合管理員的要求才可接入。
另外,如今SSL VPN部署的豐富認證功能已經帶來了更好的接入靈活性和不可偽造性,CA證書、USB KEY、動態令牌、短信密碼,這些機制讓合法用戶的身份得到了最大程度的保障。對于A集團來說,其原料供應商、經銷商、投資人需要訪問的應用系統各不相同。
網絡管理人員可以將不同類型的合作伙伴歸為不同的用戶組,再為各個用戶組映射其需要訪問的資源。SSL VPN部署在防火墻等設備的內側,通過把需要合作伙伴訪問的資源映射到SSL VPN,網關處只需要開放443端口(HTTPS)即可,而不用開放任何有關內部資源的端口。
當外部受到攻擊時,黑客只能攻擊到SSL VPN為止,而內部應用對其來說是不可見的。當合作伙伴接入后,只能訪問管理員授權的應用。而通過IPSec接入,整個集團的內網將暴露在合作伙伴的屏幕上,無非給攻擊和內容泄漏敞開了大門。
對于管理員來說,詳細的日志功能是必不可少的。作為集團應用的部署和維護者,系統管理員有權知道有哪些人在何時登陸了VPN又是從何時注銷的,這些人訪問了何種資源,哪些資源的訪問量最大。而一個完善的SSL VPN日志系統將幫助管理員可以做到記錄和審計工作,這包括完整的用戶、管理員登陸信息統計,以及通過這些統計得到的圖形化報表,用來幫助管理員分析用戶訪問內部資源的規律和趨勢。
除了實現安全接入和移動辦公外,SSL VPN還有新的用武之地,其中之一是對專線內資源的保護。由于專網內往往存在不同的組織和部門,同一部門的資源并不希望被其他部門所訪問或竊取。但是這很難辦到。
無論是數據傳輸中的加密還是對訪問者的身份認證,傳統的安全策略都漏洞百出。例如應用系統的訪問基本都通過系統本身的認證來實現,如傳統的用戶名和密碼。靜態的口令容易泄漏,通過竊取到的密碼來冒充合法用戶的身份進入系統,未授權的用戶將會輕易的獲得敏感的數據,破壞正常的業務流程,進而給組織帶來重大的損失。
我們可以把SSL VPN部署在服務器前端用來做訪問保護,讓SSL VPN成為任何人訪問應用系統和數據庫的必經之路。結合CA系統,通過CA中心簽發的證書做雙向身份認證,有效地防止了街區重播、中間人欺詐等對身份認證的攻擊。
保證了業務系統用戶的合法身份;同時,利用SSL VPN的端點安全和隧道加密技術,保證了接入端的安全性,使系統的數據免遭安全隱患,而傳輸中的加密更可以保障應用交付過程中的數據加密,防止數據被專線內的不明身份者截取和破解。
