|
实施一套安全的虚拟专用网络
虚拟专用网络(VPN)正在迅速地成为远程访问最为普遍的方法。该网络,通过借助公共云( Public cloud
),提供一条私人隧道、使您能够从远程访问应用中,充分利用互联网的优势,实现成本节约、并提高生产率。但是,专用并不一定就意味着安全。这是因为,虚拟专用网络,仍然由一个单一的密码保护。本白皮书制定的目的,就是帮助您能够了解有关虚拟专用网络的具体细节以及可供提高虚拟专用网络安全性的选择。
虚拟专用网络:机遇与挑战
远程访问正在逐渐成为商业运作的标准。在这个已经走入"电子"时代的日趋激烈的商业环境中,远程访间,将会提高您的生产率、从而保持竞争优势。远程访问,是注定要使通讯和彼此的交流最大化的商业运作。远程访问,使得移动办公员工和远程用户不论在任伺时间都能够接收重要信息。同时,远程访问,也使得公司、组织,除了与本公司、组织的员工保持联系外,还能与合同商、咨询顾问、以及客户、商业合作伙伴和供应商实现更加有效的运作。
远程访问,传统上是通过租用拨号上网的方法实现的。尽管很有效,但是,这种方法却遭受着缓慢的传输速度和昂贵的网络费用的侵害,因此,您很难运用它为您的用户提供有效的从事生意运作所需要的高水平服务。在虚拟专用网络(VPN)技术的发明和普遍应用前,远程访间已经走了一段相当长的路。虚拟专用网络能够使您在进行远程访问时,充分利用互联网的强大力量。也就是说,远程访问用户,首先拨通一个本地的点存在(POP),然后通过互联网,实现与公司网络的联接。其结果简直是戏剧性的:不管您在何地、亦或在任何时间上网,它大大的节省了成本、提高了生产率、改善了服务水平。
毋庸质疑,伴随着强大的虚拟专用网络力量的产物就是风险。毕竟,虚拟专用网络正是通过公共网络联接,从而将您的"网络之门"向大范围的用户开放一而这些用户,您是不可能看见或摸到的。这些用户正在通过互联网,访问着公司的、有价值的数据资产、并进行着赋有重要使命的商业交易。如果是适当的或被授权的人在使用这些珍贵的信息资产,那么,您再也不会找到任何一个其他的、比虚拟专用网络更加强大的商业工具;但是,如果虚拟专用网络的远程访问,落入不正当的或未被授权的人手中,那么,它将会给您的电子商务带来毁灭性的灾难。
虚拟专用网络基础
一套虚拟专用网络实施概述
最为简单的方式是,一套虚拟专用网络,首先将许多的远程访问用户、或远程办公室通过互联网与企业的网络联接在一起。不管是为一名正在旅行的员工、或某个分部办公室提供帮助,方式都很相似。首先,远程访问用户,拨通本地互联网服务商(ISP)的存在点(POP)。然后,该拨通通话被加密,随后通过互联网传输,并与您附近的目标服务器联接。此处需要特别提出也是最重要的是,您可以与本地互联网服务商(ISP)就与本地存在点(POP)完成高速联接而签定合同。实现昂贵、专一的、但具有同样益处的联接一然而,您无需支付长途电话费。
您需要支付的,仅仅是本地通话费和ISP访问费。这就使您能够享受较低价格的互联网协议(IP)访问服务的优点,而不需支付长途敏感带宽服务费(distance-sensitive
band-width
charges)。考虑到大多数的ISP提供包价收费制度成本价,因此,电话访问费用大大地得以降低、并且可以更加准确地进行预算。还有一些技术甚至可以帮助提供网上漫游支持,这种技术可以使得用户拨通任何地方的ISP,从而实现对加密的虚拟专用网络的访问。
虚拟专用网络的各种模式
还有几种使用虚拟专用网络的主要模式。这几种模式的每一种,都能为您带来如下的好处:降低了的带宽费用、低廉的网络运做成本、简化的行政管理、减少了的资本支出、以及增加的可伸缩性和灵活性。而您面临的最大挑战就是,为每一种应用,实施最为优化的安全解决方案。
远程用户访问
这种方法,可以使远程用户实现在互联网上通话传输。这些通话,被集中在一套远程访问服务器上,并为您的局域网(LAN)资源提供访问。用户可以通过模拟调制解调器、或使用基本率(Basic
Rate)
ISDN终端适配器,来实现联接。它们可以基于一个固定的地点一比如远程交换机、或合同商一也可以是机动性的一比如正在旅行的管理人员、或销售代理。这类应用中的安全挑战就是,用户身份认证,以确定他们确实与其实际身份相符。由于许多用户都是机动性的,即并非固定在某一特定位置,因此,"回调"技术并不适用。
局域网与局域网的联接
这种应用减少了对昂贵的租用线路解决方案的需求。远程办公室,通常通过一个多协议路由器,将局域网通讯合并、并与一高速的互联网实现固定联接。这样就提供了与其他分部办公室和企业网络的联接。这种应用的安全挑战就是,同时实施双因素用户认证和对话加密。这种方法,在允许对每一个局域网的网络访问进行认证的同时,还允许对虚拟网络联接进行安全加密,从而保护对话内容不被窃听。
外联网(EXtrane)
公司与公司之间的通讯,由于外联网的使用而得以加强。外联网的使用,为您和您的商业伙伴、客户、甚至供应商之间,提供了局域网与局域网之间的联接。通过实现对供应链的精简管理、改善客户服务、以及为分销渠道提供更高质量的通讯服务,外联网的应用,使得公司、组织提高了生产率、并实现了竞争上的优势。其中,生产、订单处理、销售、以及客户支持的应用,是最为普遍的外联网应用。外联网需要提供安全标准,因此,您需要具备不断地分派多种安全水准的灵活性。
虚拟专用网络的商业案例
虚拟专用网络可降低成本、并简化成为可伸缩性带宽费用,但这并非虚拟专用网络所能提供的唯一节约成本的方式。同样重要的是,虚拟专用网络还降低了网络的复杂性、从而实现了低廉的网络运作成本。帮助台访问是集中于将用户与网络实现联接的传统方式,现在却可在ISP帮助桌面上卸载,并作为月包价格收费制的一部分被提供。这种简化的、将所有的用户通过一个或多个ISP联接起来的体系结构,为所有的远程用户提供了一个模块式的、虚拟并协调的体系架构,不管他们所处的位置、或所需要的网络如伺不同。对于这种虚拟专用网络技术,不管是为一个通过56kbPS调制解调器进行联接的、正在旅行之中的销售代理,还是为某个使用路由器以T1速度进行联接的本部办公室提供远程虚拟专用网络联接,该种体系结构都是相似的、而且很容易再生。
由于您能够使ISP行政管理系统实现先使用,后交网络使用费。因此,通过采纳虚拟专用网络体系结构,可以增强对成本价格的控制和网络服务部门的责任感。因此您只是需要支付ISP网络访问费用,从而大大降低了资本成本。ISP负责为互联网的联接完成该体系结构。也就是说,为了能够使您的远程访问用户实现对ISP的本地访问,您仅需要在设备上投资即可。这种方法还降低了技术退化成本,这是因为,该体系结构的资金成本已经转移到了ISP身上,而您仅仅需要为访问技术的成本负责。
虚拟专用网络提供了竞争优势
虚拟专用网络之所以称为虚拟,是因为,您得到了能够满足随时需要的、专门的网络联接。因此,您可以利用互联网实现远程商务运作,而不必通过价格昂贵的私人线路-
通过它,就能够在一个充满激烈的商业竞争的环境下,武装您的员工。您还可以借助虚拟专用网络,实现商业上的竞争优势,这是因为,虚拟专用网络可以比任何私有网络拥有更多的投资竞争对象;在网络发展方面,它更快、更方便。随着网络联接商业需求的变化,对您的网络基础结构的变化,将不会有太大幅度的要求。这种方式,相比私有网络方式而言,提供了很大的、经过改善后的可伸缩性,因为,前者可以很容易地增加访问设备,也可以与额外的互联网服务商(ISP)实现联接,迅速满足在互联网上完成额外的网络应用程序。
在采用虚拟专用网络方面,网络安全承担着一个非常重要的角色
网络安全的风险
节约成本和简化管理,是虚拟专用网络非常重要的优势所在,但您只有保证在互联网上传输的信息安全的情况下,您才能从虚拟专用网络中赢得竞争上的优势。今天的在线商业活动,将不受不合逻辑的通讯交流、和对相对公开的文件进行无害处的访问的局限。您可能正在网络上做着任何您想做的事。您也许正在访问客户的记录、销售提议、以及公司合同。您也许正在发送着产品规格、产品定单、或法律文件。您甚至可能正在网上结束一笔交易、并开发着您的在线产品。
因此,您需要知道您的虚拟专用网络是安全的。众所周知,网络上到处充满威胁。网络黑客、或其他形式的计算机犯罪,已经不再是电脑专家的专利。现在,任何一个拥有个人电脑的人,都可以从网上下载、井利用免费工具来攻击您的电脑网络。您所能遭受的损失可能是无法计算的:比如,黑客可能偷窃了您的信息,甚至某些内行的家伙正在设法给您的网络制造破坏。在互联网上,没有任伺人是可以免疫的。
同样重要的是,一旦谈论起计算机犯罪,其厉害关系是非常之大的。除了金融、财务损失外,您的信息可能已经处于非常危险之中一比如,客户数据、信用卡信息、公司的应用程序、产品秘密、公司员工的数据等等。信息和其他的数据资产是您生意的命脉。更为糟糕的是,计算机犯罪使您辛辛苦苦建立起来的的声誉和所获得的信誉,将可能顷刻间付诸东流。一旦您的信誉和声望受损,要想还回您的清白相当困难。
虚拟专用网络增加的安全性能
对许多IT公司、组织而言,网络安全是他们实施虚拟专用网络的主要障碍。在私有网络,您能够知道您在控制着信息的流通、并能够制定和执行网络安全的方法。但是,在虚拟专用网络上进行的安全的远程访问,只能通过对所有的商业应用实行强大的安全服务才能实现:即对信息加密、对网络访问的用户进行身份认证。
加密:为您的信息保密
对信息的一个层面的保护一即确保您正在发送的、接收的、或分类的信息的保密性和完整性一可以通过使用加密技术而很容易地得以实现。
信息的保密与安全
通常的情况是,信用卡号码、用户的个人信息、商业秘密、以及保密文件都被静静地、毫无保护地置于网络设备上。保护这些信息的最为简单的方法之一,就是采用加密技术。加密技术将把信息"搞乱",一旦网络上的某些人访问这些信息,加密技术将使得它们不可读。
网络传输过程中的信息保密
为使生意能够"以一想即到的速度"存在,数据必须在开放的、公共的网络中以电子速度进行传输一而这种开放的和公共的网络的确是不能令人相信的。在此,我们再次强调,使在网络传输中的信息保密的一个最为简单的一步,就是采用加密技术,这种技术,将确保在公共网络中流动的信息,对偷窥者而言,它莫名其妙,难以理解。
数据的完整性
最后,不管这些数据是处于静止状态、还是传输状态,数据的完整性,对任何商业交易而言,都非常重要。一项以十万为单位的电子定单与一项以一千万为单位的电子定单显然存在着巨大的不同。在通过互联网进行电子商务过程中,您应该有信心,不让任何人控制、改变您的保密信息。加密技术能有为您的数据"设置陷阱"的能力,从而,让您知道您的信息是否已经遭到损害。
认证:保密性与安全性
截止目前为止,您已经知道,虚拟专用网络是专有性质的,即保密的一也就是说,经过加密的信息隧道将对您的、在互联网上传输的数据,实施加密保护。但您必须考虑的是,其专有性质、或保密性,并不完全等同于安全性。要想保证您数据的绝对安全,仍然需要注意其中的一项一即信息访问用户的身份鉴别。当某个远程访问用户,对您公司的网络进行访问时,您如伺能够知道该访问用户的确实身份,也就是说,您如伺知道其所宣称的身份与其真实身份相符?在没有增强的安全措施前,您将不会知道答案一至少您不敢说您确切地知道。
在对访问用户进行鉴别的尝试中,许多虚拟专用网络都仅仅是通过密码加以保护的。但由于单一密码本身是相当脆弱的一种安全保护形式,因此,仅用密码本身不能对远程访问实施完全的安全防护。密码可以很容易地被别人猜出、偷窃、或遭受到安全威胁。而一旦您的密码遭受到安全威胁,您甚至根本不知道在虚拟专用网络的另一边究竟是谁在捣乱。
虚拟专用网络实施认证的选择
现在您已经知道,虚拟专用网络安全的基石,就是身份认证一在用户对您的重要数据资产和资源进行访问之前,对其身份进行认证和核实。根据您正在保护的信息的价值或敏感性,在对其他方面,比如可用性、配置、以及预算等进行均衡考虑后,您将希望从具有不同水平、标准的身份认证优势中进行选择。下面我们将对几种不同选择的优势进行分析:
密码破译技术在很多情况下,虚拟专用网络访问,都仅仅是通过单一密码加以防护。但由于密码本身可以很容易地被别人猜出、偷窃、或遭受到安全威胁,因此,密码是一种相当脆弱的安全保护形式。为了攻破密码防线,您不必是一位电脑专家。实际上,虚拟专用网络每天都会被满腹牢骚的前公司员工、寻求刺激的少年、或深具竞争性的间谍们进行黑客袭击。
> 密码破译工具:有几种软件工具,比如 10phtcrack和 NT
Crack,都有通过蛮干技术以及借助于经常使用的包罗万象的密码词典、而对密码进行自动猜测的能力。况且,由于大多数用户都倾向于选择可预测性的密码,比如"密码"、或儿童的名字来对网络设密,因而,密码很容易被破译。
>
网络监测:也称为"嗅闻检错校错法",网络监测是基于下述这一事实的,即经过所有网络通讯的个体用户节点,在一般情况下,它仅仅捕获具体针对它们的信息。嗅闻检错校错设备,允许您将您的个人电脑重新设定在"混杂"状态,这样,在不对网络上经过的任何内容进行检测的同时,对其实施监测,并根据诸如"登录"、"密码"等类的关键词,对通过的信息进行标记,以便捕获所希望捕获的信息。
> 蛮干(Brute Force)拨号:如Tonebc这样的项目程序,是一个能够自动执行查找调制解调器电话线路位置的程序。一旦发现了某个线路,该程序将会通过各种不同的密码,不断地尝试开始指令。对于连接在公司电话线路上的未经授权的调制解调器、或在对尝试拨号上网没有监测的组织而言,这种方法尤其有效。
> 行政管理工具的滥用:许多为控制和改进网络而设计的工具,可能为某些破坏性的目的错用、滥用。比如一种叫做s·A·T·A川·的软件应用程序一即网络分析系统执行工具(System
Administrator's Tool for Analyzing
Networks)的第一个字母缩写一是为帮助网络管理人员加强他们所管理的网络安全而设计的。然而,该系统却被网络黑客广泛地用于确定网络弱点、为自己获利。
>
社会工程师与为进行密码解密所使用的高技术工具截然相反的是,目前有一些网络入侵者,开始利用非技术方法来偷窃网络密码。其声名狼藉的诡计的操作非常类似于一个典型的骗子行为通过装扮成一名IT部门的工作人员,网络黑客拨通一位新的公司员工,声明将帮助加速启动这位新员工的电脑系统,该位处世不深的新员工会很自愿地将其电脑密码通报给这位黑客,从而为黑客侵袭大开方便之门。
密码
尽管密码已经得到了最为广泛的使用,但密码本却是最为脆弱的身份认证方式。密码将通过向访问用户要求一个单一的身份认证因素一秘密的代码一而对用户的身份实施鉴别。这种身份认证的方法,很容易被配置,而且也很便宜。然而,事实已经证明,这些密码很容易被人猜出,偷窃,要不就是遭受到威胁,此外,也远非如同您所想象的那样很容易、且廉价地予以维护。说来实在令人吃惊,密码是进行身份认证的最为无效的方式之一。
数字证书
随着互联网交易的不断增长,对作为实施身份认证而使用的数字证书变的越来越普遍。当单独、或与密码保护一起使用时,数字证书通过向访问用户要求提供只有真正的所有者才能使用的属于个人的数字保密资料,而帮助对访问用户的身份实施认证。但是,作为对用户实施身份认证之解决方案的数字证书,其相对优势,将取决于对这些数字的安全保护程度。比如,在一个硬件驱动器中放置没有安全存储的数字证书,就如同把您的钱包放在桌面上一样,他们都处于非常不安全的状态中。
数字证书与密码政策
一旦与受控制的密码策略共同实施,数字证件将获得优势。在此,一个可以信赖的数字证书机构,将用来签发对用户的私人键码的数字身份进行核实的证明。在制定密码需求的(即:每一个密码必须由9个文字数字组成)一个经过中央管理的证明策略声明中,加入一个公共密钥制序,将能够增加作为对用户实施身份认证的数字证书的优势。
双因素身份认证
由于对经过保护的网络资源进行访问前,需要用户首先以两种形式出示身份,因此,相对密码或不受保护的数字证书而言,该种身份认证方法将更加强大。与银行的自动取款机(ATM)一样,采用这种方法,用户必须知道自己的PIN码,并拥有自己的身份认证装置(令牌)。两种身份的组合,将证明访问者与其真实身份相符。
双因素身份认证与数字证书
如果将双因素身份认证与数字证书结合起来使用,那么您的身份认证服务的优势,将会戏剧性地得到加强。通常是,数字证书的储存不太安全,任伺人都可能利用合法用户的身份。通过要求访问者出示两组属于个人保密信息的身份数据,您就能够将用户的数字身份与他们的自然身份凝台在一起,从而使您更加确信,访问用户与其所声明的身份确实相符。
智能卡 (Smart Cards)与证书
在对数字证书进行保护的过程中引人智能卡,是身份认证服务的最为强大的水平表现之一。这不仅仅是因为对智能卡的访问,也受两组身份认证码的保护,而且,智能卡也可以生成键码组合并将其储存在智能卡中。事实上,私人键码从不会离开该智能卡,因此,未经授权的用户,将无法访问您的智能卡,而且其内部储存的键码信息,也不会被拷贝到任何一台服务器上。
智能卡、证书以及生物认证
如果在您的身份认证过程中再引入第三个因素一生物认证因素一那么您就能够达到目前最为强大的身份认证水平。所谓生物认证,是指那些唯独某个特定的用户所拥有的一些独特的特征。生物认证是通过诸如指纹、视网膜扫描、以及话音打印等方法来实现的。一旦与储存在智能卡中的数字证书联合使用,这第三种身份认证因素,将是战无不胜的选择。
IPSec的虚拟专用网络实施
由互联网工程特别工作组(IETF)工作执行组开发的互联网协议安全(IPSec),为提供网络服务设定了标准一即为网络设备和网络应用之间的通讯安全提供了分层身份认证、访问控制、加密、信息完整性、以及重放保护。IPSec对发送到网络界面、或从网络界面接收到的IP信息包进行分析,允许那些符合配置的安全管理得以顺利通过。而不符合配置的安全管理,则统统被丢弃掉。
IPSec提供了两种运作模式:传输和隧道。在传输模式中,安全终点与通讯终点一致(即信息发放者与信息接收者一致),为经过一个多网段网络一如互联网一的通讯信息,提供终点对终点的网络安全。在隧道模式中,信息安全被应用在信息发送者与接收者(二者都不需要了解IPSec)的一个或多个网络段中,从而达到对通讯终点透明的网络信息安全。
值得说明的是,IPSec支持对作为数字证书身份认证方法的X
5.9数字证书行业标准的应用。在一个公共密钥体系(PKI)的管理下,数字证书将允许您对客户方和服务器方两个方面的设备进行认证。在一个典型的虚拟专用网络环境下,对设备身份的认证是通过一个单一的、共同的秘密交换来完成的。相反,由PKI管理的数字证件利用一个独特的密钥组(一个是秘密的、一个是公开的),而每一个虚拟专用网络客户将与虚拟专用网络网关共同分享该密钥组,以确保一种设备的真实性。
在一个IPSec编译的虚拟专用网络环境下,由于在诸多的应用中,它将能够在很多现有的投资中扩大其益处,因而,对已经在PKI内投资的商业而古,数字证书的利用,是非常吸引人的。此外,在一个IPSec编译的虚拟专用网络环境下,PKI的利用,同样能拓展协同的工作能力,允许企业将对虚拟专用网络的应用拓展到企业以外的领域(比如合作伙伴、客户以及合同商的虚拟专用网络远程访问),而不会产生供应商协同的工作能力的问题。
结论
为您自己寻找一个电子安全的战略合作伙伴
虚拟专用网络已经成为减低远程访问成本、提供通过互联网从事私人商业交易的主要技术。诚然,虚拟专用网络能够带来巨大的商业价值,但这也只有在下述情况下才能实现,即:除非它们提供了适当的网络安全方案,以确保那些只能被经过授权的用户访问的公司信息的保密性与完整性。每一个虚拟专用网络,都应该提供所需要的网络安全,以防止在网络通讯过程中的未经授权的浏览或偷听,同时设置强大的身份认证功能,以对每一用户和网络的完整性,进行确实的身份认证,避兔信息数据在互联网传输过程中遭到破坏。
请记住,您不必采用一种"要么实施一切措施、要么什么措施都不实施"的方案。可能您会发现,您需要采取应用不同网络安全标准的电子商务行动计划一在这种情况下,您可能需要选择一种混合方案。也就是说,对高价值的资源,您配置一套有双因素身份认证保护的PKI解决方案,但在并非很重要的网络应用中,您仅仅依靠简单的密码保护就可以了。如果市场时机、预算、以及人力资源是您所关心的其中的一些问题,那么,您甚至可以决定对您的电子安全计划实行一个阶段性的方案。在此,您或许可以首先以数字证书取代脆弱的密码,一旦资源成为可能后,再增加双因素身份认证,以便将用户身份提高到一个更高的标准。
所有上述这些方案都需要一套不同、但强大的网络安全工具。因此,在寻找一个战略性合作伙伴来帮助实现您的虚拟专用网络安全时,请寻找一个能提供选择的网络安全服务商一只有这样,您才能为您的独特的虚拟专用网络需要选择合适标准的网络安全。所有这些都仅仅是建议,而您所选择的合适的战略性电子安全合作伙伴,将能够为您提供一整套的各项选择。最终,您将会拥有一套恰恰适合您的商业运作的电子安全解决方案。
|