| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
SSL VPN:无需妥协
李宏 一直以来,使用远程接入的用户都面对着一种两难的选择:一方面IPSec的远程接入可以为用户提供全部的应用,但是用户必须安装IPSec的客户端软件,而另一方面SSL VPN使用户能够从世界上任何一台联网的PC上接入,但是只能接入Web化的应用。用户从中选择一个,必须做出一定的妥协。而现在,很多的SSL VPN生产商提供了一种能够将IPSec和SSL这两种远程接入技术的优点结合到一起的远程接入软件。这里我们称它为网络接入技术,这种技术使用户能够在任何连接着因特网的PC上远程运行各种应用。 当然这只是官方的说法,而实际上通过SSL VPN的网络接入与SSL最初“无客户端的接入方式”的承诺已经有所背离。其网络接入能够运行的最低要求是要下载一个小的Java程序或者ActiveX控件,甚至有些情况下客户端计算机必须要安装一个特殊的Windows应用程序。随之而来的问题是,一些公共终端可能会封闭Java程序的下载,或一些非Windows的计算机可能会无法实现接入。另外的问题就是,网络接入技术还不能解决SSL VPN所面临的一些新的挑战,包括没有防止应用层攻击的能力和过滤恶意软件的能力。而随着企业的网络面对越来越多的未经防火墙监控的加密连接和会话,这样的能力将会变得至关重要。网络设计者们可能不得不购买另外的安全设备来防止网络受到穿过SSL VPN网关的攻击。 SSL的成功 SSL VPN是建立在加密套接字协议层SSL(Secure Sockets Layer)基础之上的。SSL协议又被因特网工程任务组IETF称为传输层安全TLS(Transport Layer Security)协议。一个最基本的SSL VPN由两部分组成:Web浏览器和网关。Web浏览器向网关申请建立连接,网关验证数字认证之后对会话数据进行加密,这样就建成了一个安全链接。SSL VPN网关通常都位于企业防火墙后的隔离区DMZ(Demilitarized Zone)内,接收来自端口号为443端口的加密数据。对数据进行解密并根据用户的接入方式向用户提供一个入口,入口包含了用户能够接入的应用的菜单,或者提供一个能够模拟用户在办公室里工作的网络连接。由于只需要一个Web浏览器就能够实现基本的接入,SSL VPN在IT专业人士中变得越来越受欢迎。 SSL VPN接入的三个等级 SSL VPN的流行促使生产商们扩展他们的远程接入方案将那些非Web化的应用也包括进来。结果就诞生了三个等级的接入方案,每个等级都有自己单独的要求。三等级分别是无客户端、加强浏览器以及网络接入。 采用无客户端的SSL连接,用户只能在Web浏览器内运行基于Web的应用。加强浏览器的SSL连接需要用户下载一个小的ActiveX控件或者Java程序。这样,浏览器才能够和应用进行通讯。这种方式对终端服务和客户端-服务器模式的应用非常合适。网络接入建立在加强浏览器模式上并提供了与IPSec相似的完全网络连接。这个连接使用户能够接入到文件共享、应用程序、打印机还有其它网上的服务。用户还能够接入到使用动态端口的基于TCP的应用以及像VoIP这样UDP应用。但是SSL VPN对基于流的应用的支持并不是很好,特别是当SSL VPN的用户同时与两个以上的对象建立基于流的会话的时候,SSL VPN就会出问题。 虽然所有的网络接入生产商都采用了客户端软件,但是他们在实现方式上还是有着显著的不同。比如说,Juniper网络公司和F5网络公司在他们的SSL VPN网关处设置了一个保存IP地址的池,并在会话期间为远程接入的客户端分配一个地址。这样就像前边提到的一样,通过防火墙的数据就是完全加密的。这种分配IP地址的方式的好处是给了用户完全的网络接入能力,但是网络的管理员则必须要面对更多的安全风险。VPN用户可能会成为绕过企业网关安全构架的一种方法,像蠕虫和木马病毒这样的恶意软件就可能自由地进入企业的内部网,这种情况又叫做分离通道(Split-Tunneling)。另外,管理员还可能会丧失一些接入控制能力,不能根据实际的应用来进行过滤,只能根据IP地址、端口或者子网来进行过滤。如果在某一个子网上存在着多种应用,用户就可以获得所有这些应用的接入权。 另外的一些生产商,包括Aventail公司和Whale通信公司则不是采用这种分配IP地址的网络接入。Aventail的SSL网关是根据不同的用户来决定是否终止一个SSL会话和是否将应用的数据转发到局域网的。网关对进入的流量根据网络设计者预先定义好的应用接入策略进行检验。如果流量通过了策略检查,网关就将流量转发到相应的应用服务器,服务器回应给网关,最后网关再将相应的回应反馈给用户。Whale通讯公司在它们的SSL VPN网关中添加了一些软件模块。这些模块使得用户在不建立网络链接的情况下就能够接入到应用。这种水平的应用接入有时需要用户在客户端机器上下载一个ActiveX控件来完成端口转发。Whale公司为大多数流行的应用开发了大约100个模块。 客户端和网关的安全 因为用户会经常使用未经检验的计算机接入到网络,SSL VPN在简化了远程接入的同时也增加了网络安全的复杂度。为了提高客户端的安全性,SSL生产商们也是尽了他们最大的努力来检查客户计算机的可靠程度。这些检查可以被分为三类:主机扫描,缓存清理和在客户端设备上建立一个安全沙箱。 一些生产商也已经开始在他们的网关上添加安全功能。网关扫描能够捕获那些在主机可靠检查中漏网的恶意软件,同时应用识别防火墙(Application-aware Firewalls)能够检测那些来自名义上可靠的终端用户的攻击,这些攻击包括SQL 程序码注入或者缓冲溢出等。 Whale在它的SSL VPN网关内加入了一个应用防火墙。这个防火墙只允许那些与已知正确的应用参数相匹配的流量通过,抛弃那些不匹配的数据包。Check Point公司的Connectra SSL VPN能够运行与FireWall-1上一样的Web和应用层防攻击软件。F5公司的FirePass SSL VPN则包含了网关杀毒检测和防止SQL程序码注入,跨网站指令码(Cross-site scripting) 和其它基于Web的攻击在内的基本保护。 另外一种实现安全的方式是将网关解密过的SSL VPN流量通过一个附加的安全设备。Check Point、Juniper和F5公司可以让客户选择他们自己的应用层安全产品。而Aventail公司则最近与一家叫做NetContinuum公司的Web应用防火墙生产商建立了伙伴关系。 然而,网络设计者必须要衡量两种方式的利弊。将流量通过附加的安全设备,意味着在连接中添加了时延,同时也增加了系统错误的新的可能性。另一方面,将安全检查植入到SSL VPN网关中将有可能影响到系统的整体性能。 SSL VPN相关资料 承诺:SSL虚拟专用网VPN能够提供完全的网络接入,并且能够比IPsec远程接入VPN为用户提供更多接入选项。SSL VPN能够通过任何的Web浏览器接入到包括非Web化应用在内的很多应用。 参与者:包括Juniper, Aventail, Whale,F5,思科,Check Point,北电网络,诺基亚还有Symantec公司在内的市场主要的生产商现在都在竞相努力地发展自己的解决方案,而其他的一些小的生产商也开始转向这个充满机会的市场。 前景:带有网络接入功能的SSL VPN定位为一种IPsec VPN在远程接入方式上的补充。基于Web的接入所带来的灵活性使企业能够比采用IPsec为更多的用户提供应用接入。 |
||||||||||||||||||||||||||||
