虽然虚拟专用网络技术(VPN)的历史已经超过10年了,但是今天仍有很多引人关注的VPN攻击发生。像Comodo, Gucci 和花期银行这样的公司,他们的VPN是怎么了?我们列举了2011年最著名的几个案例,并以此说明企业应该如何加强VPN安全。
2011最严重的VPN攻击
1. Gucci:前Gucci网络工程师创建了一个假员工账号来访问和控制公司电脑系统,他切断了Gucci服务器上邮件和文件的通道,Gucci因停产和修复还原的损失超过20万美金。
2. DigiNotar:黑客入侵数字证书授权系统,分发超过500个欺骗性数字证书给顶级互联网公司,如谷歌,Mozilla和Skype。这次黑客攻击发生在六月初,但是DigiNotar直到7月中旬才发现。该公司在9月申请破产。
3. Comodo:黑客分发欺骗性SSL证书给7个网页域名,包括谷歌,雅虎和Skype。
4. 花旗集团:黑客访问了36万多个账号信息,查阅客户联系信息和交易历史,直接了曝光他们网站的安全漏洞。
这4次VPN攻击中的2次——DigiNotar和Comodo是由SSL VPN安全漏洞引起的。“SSL VPN使用因特网浏览器作为客户端,而IPsec VPN使用专用客户端,但是每个浏览器都有它自身的安全缺陷。”美国NCP工程公司首席技术官Rainer Enders解释道,这意味着SSL VPN的客户端天生比较脆弱。黑客可以发掘这些浏览器的弱点,伪造一张CA证书。CA证书是通过“SSL VPN握手”来核实信息的。
Enders说:“这些安全攻击对SSL认证过程的完整性提出疑问——所有这些证书授权实体并没有很好的组织和控制。
除了使用欺骗的数字证书外,黑客还利用了DigiNotar缺少高级口令,脆弱的防毒保护和软件过期的弱点。
攻击花旗集团的黑客没有伪造一张证书,而是在银行的IPsec VPN中发现了一个授权不完善的漏洞。通过首次登陆到信用卡客户的网页,黑客可以入侵花旗集团的防御系统。一旦进入,通过在浏览器地址栏的文本字符串中输入不同账号,黑客就能访问不同花旗客户账号。黑客的编码系统自动重复这样的操作成千上万次以捕捉个人数据。
Enders说:“然而,Gucci网络受到攻击并不是因为VPN内在安全缺陷,这次是源于VPN的简陋部署。”
预防VPN攻击
Enders表示:“没有‘仙丹灵药’可以防止VPN攻击。任何类型的VPN都会受到内部人士或社会工程师的攻击,黑客发邮件或打电话给员工,骗取他们共享证书。然而,身份管理系统可以解决由单一网络工程师完全控制整个网络带来的问题。在很多我们接触到的案例中,虽然网络工程师被解雇了,但是他们仍能完全控制整个网络。如果Gucci网络的可管理的IPsec VPN和身份管理系统绑定,管理用户权限分配,就可以避免问题。”
最近VPN攻击暴露出来的缺陷证明IPsec VPN要比SSL VPN更安全。应对当今VPN攻击最有力的保障是拥有一套策略,它不仅涵盖先进的技术,而且有关键安全策略和对终端用户的正当引导。
Enders总结道:“部署IPsec,再将可管理客户端,可管理客户端防火墙和集成管理VPN系统捆绑到你的身份管理系统,这样就可以做到真正全面的安全保障。”