| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
VPN要安全也要方便
——对比IPSec VPN解析SSL VPN ■ 文/筻文 自20世纪90年代末以来,基于IPSec协议的VPN模式成为企业VPN的主流,IPSec VPN甚至成为企业VPN的代名词。事实上IPSec VPN并不能完全代表VPN,2003年,一个VPN家族新成员进入人们视线——SSL VPN。本期我们将关注的焦点锁定在这种VPN技术上。通过对SSL VPN的技术趋势、优缺点对比、产品应用选购以及发展思路等方面的阐述,给您一个更真实的SSL VPN。 自问世以来,IPSec VPN彻底改变了远程员工和业务合作伙伴连接到公司的方式,因为它在远程员工或者业务合作伙伴与相连接的公司之间建立了一条安全通道。 IPSec VPN可以连接两个不同的公司或组织,便于企业对企业的交易,从而真正为提高企业对企业生产效率开创了新时代。最终,IPSec VPN使员工可以极大地提高生产效率,又为雇主降低了成本。 但尽管IPSec VPN给网络连接和安全带来了重大好处,事实上其功能存在限制。如果外出办公的用户在公司客户或合作伙伴的防火墙后面,IPSec VPN就会阻止他们重新连接到企业资源。IPSec VPN还会带来管理难题以及高昂的支持与配置费用,这主要是由于需要安装及更新IPSec VPN客户机。另外,越来越成为日常问题的是,IPSec VPN已成为蠕虫扩散的首要传播渠道(因为安全客户机能够获得专用网上可以路由的IP地址),这给企业不断造成危害。 SSL VPN软肋发力 由于这些缺点,出现了一种新的安全远程访问——SSL VPN,作为IPSec的替代技术。虽然仍提供远程员工和业务合作伙伴所需的安全访问,但SSL VPN的功能主要是通过HTTP连接访问Web应用软件。它们获得高级功能的方式是,运行时分析网页,确保与客户机相连的每条Web导航路径都是可以路由的。因为SSL VPN不用客户软件就可以访问企业或者组织网络内部的应用软件,所以不需要或者缓解了IPSec VPN客户机的管理难题,减少了高昂的支持成本。SSL VPN正迅速成为一项首选技术,福雷斯特调研公司预测:到2008年,SSL VPN将主导市场份额。 面向远程访问的安全套接层(SSL)基于一种简单想法:利用内置在每个Web浏览器中的加密和验证功能,提供安全远程访问企业应用的机制。所谓的SSL VPN,是结合SSL功能的Web浏览器和安全网关,终止连接、提供策略执行和访问控制,不用IPSec VPN客户机就可以随地(家用PC、酒店商务中心、网络咖啡馆或者业务伙伴的LAN)访问基于Web、传统客户机/服务器和终端等应用的功能。 这的确是个好想法。首先,有Web浏览器的地方的就有SSL。结果,成千上万预先安装了Web浏览器的客户机可以随时使用。这样,享用远程访问的用户群比使用IPSec VPN的还要广泛。 其次,SSL不是一项要把怀疑人士争取过来的全新技术。安全专家捣鼓SSL的公钥加密系统已有一段时日。银行、政府和各大零售商把金额达数十亿美元的交易放心地交给SSL。由Netscape发明的SSL已发展成一项名为传输层安全(TLS)的IETF标准。因而,应用于远程访问只是这项得到公认的技术的一种新应用罢了,而不是新技术寻求一种有用的应用。 第三,SSL远程访问具有所有新产品都具有的优点:瞅准原有技术即IPSec VPN的致命缺点进行突破。有关SSL的宣传无一例外地把矛头对准了IPSec的致命处:客户软件。 IPSec VPN有三个不利因素。首先,客户软件把用户限制在某台机器,灵活性不如基于浏览器的远程访问。而利用SSL,你可以非常方便地从移动电话转到Wi-Fi连接、再转到企业宽带连接。换成了IPSec,每个新网络都会给IPSec管理人员带来麻烦。 其次,IPSec客户软件很难管理。IPSec客户软件会改动网络驱动程序和网络堆栈,如果你不牢牢控制这些机器上的操作系统,情况就会变得复杂。IPSec在公司的便携电脑上工作良好,但在家用机器上却会引起冲突。这是所有IPSec厂商面临的普遍问题。而这类冲突无疑给IPSec远程访问增加了成本。SSL和IPSec在成本方面的主要区别就是,IPSec连接所需的客户软件需要支持。 第三个不利因素是最终用户面临的复杂性。从企业角度来看,SSL非常好,因为没必要教用户学新东西,谁都知道怎样使用浏览器。 浏览器是SSL最大弊端 出人意料的是,SSL VPN的最大优点基于浏览器的访问恰恰也成了最严重的制约因素。自由、移动的浏览器意味着,几乎可以从任何地方:合作伙伴的工作场所、网络咖啡店甚至朋友家里,运行应用软件、访问网络资源。 虽然这种自由可能会提高生产效率,但同时也把你的网络暴露在无数安全状态不明的计算机面前。网络更有可能遭到病毒、特洛伊木马及其他恶意代码如击键记录程序攻击的风险。 基于浏览器的访问还有其他问题。默认的用户验证只限于用户名和口令,这极不安全。另外,为了提供功能最全面的访问,大多数SSL方案还需要下载ActiveX或者Java。但远程机器可能不允许运行这类小应用程序,因而会拒绝访问。最后,浏览器可能会把文档和屏幕缓存在远程机器上,这有可能泄露机敏信息。如果用户忘了退出浏览器会话,也会带来同样风险。 一些精明的厂商开始解决这些问题,但这样一来,原本简单的解决方案反而变复杂了。这些复杂问题并不足以否定SSL远程访问,即使另外使用令牌或数字证书也不能,SSL可能仍比IPSec VPN来得方便、廉价(参阅SSL和IPSec比较一览表)。不过,SSL还是存在以下四大隐患: 隐患一:用户会从不能信赖的计算机访问企业资源。IT管理人员知道,牢牢控制PC的安全非常难。应当把控制范围之外的机器认为可疑对象。IPSec VPN却不会有这种风险,因为同客户软件一起安装防病毒特征、个人防火墙和策略执行程序是通常做法。SSL远程访问却不是这样。 隐患二:虽然Aventail等几家SSL厂商支持个人防火墙,但无法保证用户所用机器安装了防火墙和防病毒软件。这种情况下,厂商就会限制访问应用的功能。Aventail还打算推出一项名为桌面水印(Desktop Watermarking)的安全特性,这样SSL远程访问服务器就可以识别及登记特定的机器。 其他厂商也在想方设法根据远程机器的状况来限制访问。许多厂商的产品支持能识别可信计算机的数字证书,另一些厂商的产品会扫描机器。 隐患三:用户强验证需要附件。如果你在考虑准备把SSL远程访问作为替代IPSec VPN的低成本方案,就要当心:虽然这类方案的标价可能合你心意,但附件会增加成本。一个典形例子就是用户验证。默认方法就是通过用户名和口令,尽管这对使用远程电子邮件来说可能足够了,但专家认为这对使用其他资源来说却不够。 SSL厂商也认同:许多情况下,用户名和口令并不够。大多数客户要求某种双因素验证(two-factor authentication),通常是令牌,有些是智能卡解决方案。这类方案就会增加设备和支持成本,所以要慎重考虑。 隐患四:远程机器可能会阻止高级SSL远程访问功能所需的小应用程序。虽然基于浏览器的远程访问“无需客户软件”,因为浏览器(事实上的客户软件)已预先安装,但许多SSL VPN依靠可以下载的小应用程序,才能提供对高级应用软件的访问。 现在,一些厂商提供一种SSL“隧道”技术,它可以模仿IPSec VPN,让用户运行“胖客户机”应用软件,如ACT和微软Outlook。不过,隧道特性需要把小应用程序(通常是ActiveX)下载到远程机器。问题在于,用于远程访问的系统(如机场信息亭)有许多不允许安装这些小应用程序,其实也就把用户挡在了外面。 机密信息有可能仍留在远程机器上。说到SSL,浏览器用来提高性能的缓存功能也会成为破坏安全或机密的隐患,如果用户在公用终端上使用敏感应用软件和文档更是如此。只要点一下“后退”键,就有可能显示公司不想泄露的信息。这是一个非常实际的问题。基于Web的访问有一大缺点:你根本不知道用户在何处。这样一不小心就会泄露信息。 SSL和IPSec可以共存 对SSL VPN所暴露出来的问题,一些厂商认为可以解决,言下之意,SSL VPN问题解决,替代IPSec VPN已成趋势。他们提出解决问题的办法,就是由管理员指定是否以不能缓存的方式显示内容,但这实际上关闭了端点的缓存功能。另一些厂商则更进一步:它们的平台包括文件清除程序,这些可执行的小应用程序可以下载到远程机器,清除由浏览器存储的临时文件。然而,这项功能同样完全受远程机器的支配。如果最终用户的机器锁住了可执行代码,清除程序也就没法使用。并且,健忘的用户还会因为工作会话结合后未退出而泄露信息,这样,下一个使用者就可以直接访问你的应用。厂商的应对办法就是让管理员终止空闲会话,或者让管理员强迫用户定期重新验证,确保使用远程机器的那个人是合法用户,可中间的时间差毕竟也让这个解决方式不够严密。 尽管据IDC的一项调查显示,国内将在2004 年底掀起SSL VPN 的应用热潮;到2008年,其应用将走向普及。专家仍指出,在功能以及市场价格等因素未能完全成熟以前,不管SSL VPN市场如何繁荣,要完全淘汰IPSec远程访问也终非易事。 IPSec有一个非常适用的重要领域:远程办公者和经常出差的人士。大多数大组织不会很快就会换掉IPSec。对机器和用户都想要验证的重要桌面而言,IPSec VPN是首选的连接方法。这些桌面系统管理起来要容易一点。 SSL VPN的部署对象一般认为是那些会受益于远程访问、但未必已获得IPSec VPN的用户。如果你有一群移动性非常强的工作队伍,但没有便携电脑,SSL很适用。如果用户想通过防火墙,SSL也很适用。结果这样,SSL和IPSec会共存。至于如何处理好两者的关系,则是网络专业人士的职责。 (C9) 表一 SSL VPN与IPSec VPN主要性能比较 
相关链接 点击VPN发展历程 VPN为Virtual Private Network的缩写,可译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。 从20世纪90年代中期开始,基于IPSec协议的VPN模式受到人们重视,逐步成为企业VPN的主流。 进入21世纪,基于SSL协议的SSL VPN产品开始出现,SSL是一种在Internet上保证发送信息安全的通用协议。SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种建立在应用层上的高层安全协议,SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全,以其不需要客户端软件和硬件需求、容易使用,容易支持Web界面 、不受时间和地点的限制等优势,迅速得到发展。 (李) 
SSL VPN标准网络拓扑图 表二 SSL和IPSec各有所长及所短 
|
||||||||||||||||||||||||||||||
