虚拟专用网络VPN的应用安全

魏道洪

摘 要 本文主要论述SSL VPN的安全性，探索VPN存在安全问题及其解决方法，为有安全需求的单位建设VPN网络提供参考。

【关键词】VPN 安全 SSL

VPN网络广泛应用于各行各业，那么VPN真的安全吗？这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。

1 VPN基本结构

VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中，就是我们常说的SSL VPN，安全性相对比较高。

2 VPN安全隐忧

理论上VPN具有较高的安全性，但网络中没有绝对的安全，我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件，而是用Web浏览器代替，因此SSL VPN的安全威胁主要集中在浏览器和服务器上。

2.1 客户端的安全隐患

2.1.1 临时文件

WINDOWS系统在运行过程中会产生临时文件，包括系統运行和上网所产生的临时文件，SSL VPN通过浏览器与服务器端进行通信活动，用户退出VPN系统时，不会自行清除临时文件。这些数据会被缓存在临时文件夹中，浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。

2.1.2 用户忘记退出

由于网络用户是一个庞大的用户群，大部分用户都不知道如何正确退出VPN系统，单位管理员也不会刻意要求用户及时退出系统，用户事后一般就是关闭浏览器，并没有真正退出VPN系统，这就给SSL VPN系统带来了又一安全隐患。

2.1.3 病毒通过隧道感染内部网络

SSL VPN用户可以使用任何电脑远程登录单位内部网络，用户如果使用带有病毒的电脑接入SSL VPN网络，即使用户网与VPN网之间有防火墙，有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。

2.1.4 操作环境风险

通过浏览器，用户可以不受使用地点限制，随意登录VPN系统，在公共场合，如果用户的防护意识不强，登录口令等安全信息泄露的风险增加，他人可以临时“借用”身份证书即可轻松进入相关系统。

2.1.5 内部网络信息泄密

内部应用程序往往使用到内网IP地址或是内部机器名，远程用户通过SSL VPN调用内部应用程序时，SSL VPN就必须将这些内部地址转化为因特网可识别的地址（HAT技术）。由于各个系统对安全性有不同的要求，HAT技术在实现，如果HAT技术应用不恰当，那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。

2.2 服务器端安全问题

2.2.1 应用层的安全威胁

SSL VPN一般通过两种方法实现：一是直接使用Web服务器作为其底层平台架设VPN服务器，由于VPN和Web服务器在同一台设备上，Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN，包括硬件与操作系统，这种方式具有较高的安全性，但随着技术的进步，一段时间后这种方式也将暴露出其本身的固有的隐患，这种独立硬件的漏洞决定了整个系统的安全性。

2.2.2 身份认证

由于用户可以通过任何计算机登录进入VPN，可能将用户名和密码泄露，因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要，对安全性的要求也更高。

3 VPN安全隐患解决方案

3.1 客户端问题解决方案

VPN网络在使用中存在一些问题，但我们可以建立相应的机制来解决或缓解上述问题，使用VPN网络安全更上层楼。

3.1.1 临时数据处理

浏览器一般都带有自动清除临时数据的选项，但用户一般不会自行设置，因此需要在服务器端编写一个小程序，客户端自动下载运行，该程序记录用户登录后的操作及产生的临时数据，退出登录后自动清除用户这个过程中留下的各种格式的临时数据。

3.1.2 使用进程超时机制

大部分用户对于数字证书的安全不太重视，证书长期插在电脑上，导致电脑长时间与SSL VPN处于连接状态，这种情况一方面可以由单位制定操作规章，规定用户离开时证书也要拔下，另一方面可以采用进程超时机制，由系统实时检测用户的操作情况，当用户一定时间内没有操作时，系统自动断开VPN的连接，而用户下一次连接时需要重新认证。

3.1.3 应用层网关技术

应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者，在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络，相当于多了一道有效的防火墙，通过对所有应用请求的审核，将非法的应用请求过滤掉，这样即使应用系统有一些未知的漏洞也不影响安全性能，可以有效防止大部分病毒传播。

3.1.4 加密内部网络信息。

我们通过扫描能很方便地获知网络内的主机名、IP地址等信息，这容易被攻击者利用，因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密，尽量减少攻击者获取信息量，让其无从下手。

3.2 服务器端问题解决方案

服务器端的问题主要有下面的几种解决方法：

（1）为了抵制黑客对服务器端应用层漏洞的攻击，利用基于应用层封包过滤技术，只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。

（2）使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制，最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时，还要强制要求用户一段时间后就要修改数字身份证书的密码，防止身份认证设备被人“借用”。

4 结束语

VPN作为一种安全技术和比较有效的网络安全解决途径，由于受各种不确定因素以及人为原因的影响，仍然存在着安全隐患，作为一种应用范围较广泛的安全应用解决方案，这些安全问题不容忽视。

参考文献

[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术，2005，8（08）：6-7.

[2]王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004.

作者单位

泉州市公安边防支队 福建省泉州市 362000