淺談虛擬專用網(wǎng)絡(luò)VPN的應(yīng)用安全

余維萍 國(guó)網(wǎng)江西省電力有限公司樂平市分公司

1 有關(guān)虛擬專用網(wǎng)絡(luò)VPN的概述

VPN網(wǎng)絡(luò)已經(jīng)廣泛應(yīng)用于社會(huì)中的各個(gè)領(lǐng)域，那么網(wǎng)絡(luò)安全是否得到一定程度的保障，也是網(wǎng)絡(luò)管理人員不得不考慮的一個(gè)問題[1]。針對(duì)虛擬專用網(wǎng)絡(luò)VPN，首先了解到的是，它主要由加密技術(shù)、解密技術(shù)、隧道技術(shù)、密鑰技術(shù)以及使用者登錄身份驗(yàn)證技術(shù)組成。其中涉及到的SSL加密協(xié)議與虛擬專用網(wǎng)絡(luò)VPN緊密相關(guān)，也就是在用戶進(jìn)行網(wǎng)絡(luò)驗(yàn)證的過程當(dāng)中和電腦服務(wù)器公用密鑰之間的協(xié)議，SSL加密協(xié)議使得虛擬網(wǎng)絡(luò)VPN的安全性能相對(duì)較高。

在修整網(wǎng)絡(luò)中用戶位置區(qū)的具體參數(shù)信號(hào)時(shí)，VPN網(wǎng)絡(luò)在理論上應(yīng)該比其他網(wǎng)絡(luò)的安全性能高。但是網(wǎng)絡(luò)中沒有絕對(duì)的安全，或多或少的都會(huì)有一定的安全隱患存在，特別是現(xiàn)已普遍的虛擬專用網(wǎng)絡(luò)VPN。它在獲取用戶信息的手段上可通過變更自身網(wǎng)絡(luò)客戶端，讓網(wǎng)絡(luò)信號(hào)受到強(qiáng)烈的干擾，而且還會(huì)通過這種方式暴露用戶的具體位置信息。

2 有關(guān)虛擬專用網(wǎng)絡(luò)VPN的形態(tài)及影響

隨著技術(shù)的不斷更新，虛擬專用網(wǎng)絡(luò)VPN的形態(tài)與功能性也越來(lái)越先進(jìn)。在此基礎(chǔ)上，一些不法分子將VPN網(wǎng)絡(luò)作為傳播非法消息的媒介，利用網(wǎng)絡(luò)隱蔽性強(qiáng)的特點(diǎn)，獲取網(wǎng)絡(luò)連接密碼、用戶信息、終端數(shù)據(jù)等，對(duì)社會(huì)和網(wǎng)民的生活造成極其惡劣的影響。

2.1 VPN的基本形態(tài)

虛擬專用網(wǎng)絡(luò)VPN是由若干個(gè)自動(dòng)化軟件構(gòu)成，相較于其他系統(tǒng)軟件站點(diǎn)來(lái)說(shuō)，已經(jīng)是一個(gè)比較完善的對(duì)于網(wǎng)絡(luò)流量自動(dòng)化的檢測(cè)系統(tǒng)技術(shù)，它的主要形態(tài)在是否可移動(dòng)的條件下大致分為兩種：非定點(diǎn)式和定點(diǎn)式。例如，非定點(diǎn)式的網(wǎng)絡(luò)在大眾用戶系統(tǒng)中較為普遍，通常情況下VPN網(wǎng)絡(luò)作用于電腦系統(tǒng)中的電子圍欄處，路口位置穩(wěn)定且形狀的變化不顯著，給網(wǎng)民在日常瀏覽網(wǎng)站獲取有效信息時(shí)造成極大的困擾，它阻礙了網(wǎng)站信息與搜索內(nèi)容之間的聯(lián)系；定點(diǎn)式的VPN網(wǎng)站大多數(shù)存在于用戶管理賬戶中，其形態(tài)各式多樣，具有潛伏周期長(zhǎng)，隱蔽性強(qiáng)等特征[2]。

2.2 VPN網(wǎng)絡(luò)的影響

目前發(fā)現(xiàn)的虛擬專用網(wǎng)絡(luò)所帶來(lái)的影響，主要涉及到電信詐騙，以及用戶賬戶系統(tǒng)等領(lǐng)域。由于VPN網(wǎng)絡(luò)采用的是將站點(diǎn)與偽終客戶端相結(jié)合的方式，用冒充的名義給用戶發(fā)起電話呼叫或者直接發(fā)送類似中獎(jiǎng)的短信等方式，騙取用戶的有效信息。對(duì)于現(xiàn)階段部分網(wǎng)絡(luò)安全意識(shí)比較薄弱的網(wǎng)民而言，這種欺騙方式無(wú)疑成為大多數(shù)人的噩夢(mèng)，因?yàn)樵谟脩暨M(jìn)行短信回復(fù)或者透露給對(duì)方有效證件信息時(shí)，自己的合法權(quán)益就已經(jīng)受到侵害。VPN網(wǎng)絡(luò)中的安全隱患就是攻擊者通過在客戶端收集到的數(shù)據(jù)，直接反饋到系統(tǒng)，致使誘騙成功。另外，虛擬專用網(wǎng)絡(luò)VPN在對(duì)用戶系統(tǒng)進(jìn)行干擾時(shí)，所產(chǎn)生的功率可能會(huì)嚴(yán)重影響到周圍用戶的網(wǎng)絡(luò)環(huán)境，給其他人以及自身的網(wǎng)絡(luò)安全造成隱患，直接影響到網(wǎng)民的日常生活。

3 VPN網(wǎng)絡(luò)安全隱患

由于SSL VPN不需要通過特殊的客戶端軟件，而是用Web瀏覽器替代，因此SSL VPN的安全隱患主要集中在瀏覽器和服務(wù)器上。

首先，瀏覽器中的用戶客戶端存在的威脅在于臨時(shí)文件的不主動(dòng)清除，許多用戶在公眾場(chǎng)合的電腦上進(jìn)行登錄個(gè)人信息時(shí)，不知道如何正確退出VPN系統(tǒng)，一般都是直接關(guān)閉瀏覽器，其實(shí)這并沒有真正退出VPN系統(tǒng)，單位管理人員也不會(huì)刻意要求用戶及時(shí)退出系統(tǒng)。其中用戶事后產(chǎn)生的臨時(shí)文件包括系統(tǒng)運(yùn)行和上網(wǎng)瀏覽所產(chǎn)生的文件沒有技術(shù)清除，尤其是SSL VPN通過瀏覽器與服務(wù)器進(jìn)行通信活動(dòng)的臨時(shí)文件，瀏覽器中有緩存的信息，這就給攻擊者在遠(yuǎn)程登錄電腦中的病毒隧道感染提供了契機(jī)。這些病毒將會(huì)通過VPN隧道感染SSL VPN網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，即使部分用戶網(wǎng)絡(luò)中設(shè)有防火墻，但這些病毒仍然會(huì)借他人的臨時(shí)身份，進(jìn)入用戶內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問。

其次，服務(wù)器端的安全問題。WINDOWS系統(tǒng)中的應(yīng)用層是通過兩個(gè)方法實(shí)現(xiàn)：一是基于VPN SSL的系統(tǒng)平臺(tái)是Web服務(wù)器，兩者之間的聯(lián)系是緊密相關(guān)的，所以一臺(tái)設(shè)備的損壞必然會(huì)牽連到其他的系統(tǒng)設(shè)備。另外，系統(tǒng)中的多功能網(wǎng)絡(luò)終端認(rèn)證是運(yùn)用網(wǎng)絡(luò)把計(jì)算機(jī)與系統(tǒng)服務(wù)器中的設(shè)備通過程控的方式連接的。在需要時(shí)，必須令Web服務(wù)器與VPN SSL的系統(tǒng)平臺(tái)之間形成配合的狀態(tài)[3]。二是內(nèi)部網(wǎng)絡(luò)應(yīng)用程序的服務(wù)器是網(wǎng)絡(luò)IP地址的內(nèi)部機(jī)器名，遠(yuǎn)程用戶使用VPN SSL虛擬專用網(wǎng)絡(luò)應(yīng)用程序時(shí)，VPN SSL需將這些內(nèi)部網(wǎng)址轉(zhuǎn)化為可識(shí)別的因特網(wǎng)，通過獨(dú)立設(shè)備中的VPN SSL進(jìn)行操控時(shí)，其安全性能比較高。經(jīng)過一段時(shí)間后，這種方式也會(huì)隨著經(jīng)濟(jì)的不斷進(jìn)步，將自身的弊端逐漸顯現(xiàn)出來(lái)，獨(dú)立硬件的漏洞影響了整個(gè)系統(tǒng)的安全性。

再次，用戶的身份認(rèn)證容易出現(xiàn)安全隱患。用戶在通過任意獨(dú)立設(shè)備登入到VPN系統(tǒng)的過程中，需要對(duì)VPN系統(tǒng)頁(yè)面進(jìn)行驗(yàn)證時(shí)，有可能會(huì)使用戶的名稱或者密碼泄露。所以在服務(wù)器端對(duì)請(qǐng)求接入的賬號(hào)的過程中要加大其驗(yàn)證復(fù)雜程度，這也是從另一方面增強(qiáng)服務(wù)器的安全性，保證廣大用戶的隱私。

4 VPN網(wǎng)絡(luò)安全解決方案

因?yàn)閂PN SSL技術(shù)已經(jīng)是相當(dāng)普及，網(wǎng)絡(luò)管理人員在利用網(wǎng)絡(luò)安全性能的基礎(chǔ)上，需要對(duì)VPN網(wǎng)絡(luò)異常情況進(jìn)行評(píng)定。但是由于系統(tǒng)網(wǎng)絡(luò)的不可復(fù)制性，許多技術(shù)無(wú)法做到復(fù)制、粘貼的功能，所以目前虛擬專用網(wǎng)絡(luò)VPN技術(shù)還在進(jìn)一步的探究過程當(dāng)中。這就要求各網(wǎng)絡(luò)管理人員建立相應(yīng)的機(jī)制來(lái)解決以上的問題，具體體現(xiàn)在一下三個(gè)方面：

4.1 對(duì)網(wǎng)絡(luò)信息加密

現(xiàn)階段，設(shè)備登錄頁(yè)面都具有掃描功能，用戶使用掃一掃可進(jìn)行頁(yè)面成功登錄，但是正是這種簡(jiǎn)捷的快速登錄，使得設(shè)備主機(jī)名稱、IP地址等信息暴露，成為攻擊者侵害的常用手段。因此需將 VPN SSL應(yīng)對(duì)的網(wǎng)內(nèi)主機(jī)名、服務(wù)器IP地址等網(wǎng)絡(luò)信息進(jìn)行加密，具體方法就是在服務(wù)器端使用一定時(shí)間內(nèi)，用戶需要修改數(shù)字身份驗(yàn)證的密碼，預(yù)防身份驗(yàn)證設(shè)備被人“借用”。

4.2 臨時(shí)文件信息處理

用戶在瀏覽網(wǎng)頁(yè)時(shí)，對(duì)文件痕跡的不及時(shí)清除，就很有可能給攻擊者乘機(jī)而入的機(jī)會(huì)，從而盜取用戶個(gè)人的相關(guān)數(shù)據(jù)，造成隱私的泄露。因此在客戶端自動(dòng)下載運(yùn)行過程中，應(yīng)重視數(shù)字證書的作用，如果數(shù)字證書長(zhǎng)期與電腦連接，這種情況不僅會(huì)擾亂單位制定的操作規(guī)章，還會(huì)給系統(tǒng)造成超時(shí)進(jìn)程機(jī)制的后果。當(dāng)用戶在一定時(shí)間內(nèi)沒有進(jìn)行相關(guān)的操作時(shí)，系統(tǒng)應(yīng)該自動(dòng)化斷開VPN的連接，及時(shí)對(duì)臨時(shí)文件進(jìn)行處理，用戶在下次連接使用時(shí)需要重新進(jìn)行驗(yàn)證[4]。

4.3 認(rèn)證機(jī)制的使用

取消傳統(tǒng)的靜態(tài)用戶名以及口令類型的身份認(rèn)證，使用更為強(qiáng)制的認(rèn)證機(jī)制。例如，用戶手機(jī)短信驗(yàn)證，用戶一段時(shí)間內(nèi)要修改數(shù)字證書的密碼等，這樣可以有效地抵制黑客對(duì)服務(wù)端應(yīng)用層的漏洞進(jìn)行攻擊，防止電腦病毒的傳播。

5 結(jié)束語(yǔ)

綜上所述，虛擬專用網(wǎng)絡(luò)VPN作為一種安全技術(shù)的前提，就是排除各種外界因素以及人為因素的影響，對(duì)于其中存在的安全隱患，應(yīng)從多個(gè)角度進(jìn)行解決，使VPN網(wǎng)絡(luò)安全更上一層樓。本文就是從有關(guān)虛擬專用網(wǎng)絡(luò)VPN的概述、虛擬專用網(wǎng)絡(luò)VPN的形態(tài)及影響、VPN網(wǎng)絡(luò)安全隱患以及VPN網(wǎng)絡(luò)安全解決方案四個(gè)方面進(jìn)行淺析，希望能夠?qū)V大讀者具有一定的參考價(jià)值。