|
 |
|
 |
 首页 >> 网络产品 >> 网络技术 |
|
|
| SSL在VPN远程接入中的应用 [网络技术] |
| ngntech.net |
| 2005-6-2 10:46:00 文/ |
|
时至今日,SSL一直在基于HTTP协议的Internet浏览器中使用,以确保数据安全传输。大多数人可能都使用过SSL,它最明显的标志就是浏览器窗口下端的锁状图标。由于SSL的位置介于应用层和传输层之间,它是一种理想的保护应用层安全的协议,就像HTTP、FTP、E-MAIL等协议一样。因此,它迅速成为企业部署VPN时的更好的选择。
今天,员工在机场和咖啡厅远程接入企业内部网已经不是什么新鲜事了。随着西门子AG的发展,几乎3.3亿的员工被称为“mobile”(意思是他们有至少一半的时间在远程工作),到2005年,估计“mobile”人数会发展至5亿。企业以VPN的方式把内部企业网的应用扩展至每一个“mobile”,以满足他们的需求。这些VPN的特点是采用IPsec协议保护连接的安全性。IPsec是一种安全站点协议,它提供数据的私密性、终端可校验性、不可重复性。SSL也具有这些优点。IPsec和SSL不同之处在于工作原理,IPsec是在使用者之间建立一个安全的网络层“隧道”,所有的通信都在这个“隧道”中进行。举个例子,一个企业有远程站点或办公室。企业选择通过公网发送内部站点信息,而不是在站点间租用私人wan线路。企业把安全网关硬件放置在内部网和公网的连接处(一般放在企业防火墙的外部)。企业的远程机构和本地都有LANs。所有远程机构的使用者通过服务器端程序建立连接,这个程序用于连接本地LAN。公司也有mobile员工,他们要求远程接入内部网。
为了创建VPN,安全网关必须建立一个IPsec隧道。隧道建立的细节前面已经介绍过了,这种站点间的安全会话通常是用握手协议实现的。安全会话要定义所需参数(比如对称密匙等)。这些参数储存在会话的“database”中,由每个网关负责维护。多站点对主站点的连接是可以实现的,每一个站点都和主站点建立类似上述的安全会话。建立会话连接后,Ipsce也像SSL一样用诸如DES、3DES或AES等算法对数据进行加密、解密。从这点来说,两个不同的站点就像同一个站点一样。工作在分支机构的员工不会察觉到他发送信息要经过公网、或其公网堵塞时使用的其他传输路线。她可以获得所有有权限查看的数据。这些优点使得IPsec VPN解决方案十分吸引人,尤其是那些拥有多各个分支机构又希望公司所有的应用都能集中实现的企业。
远程员工使用的情况和上面讲的分支机构类似。不同的是,他们大多会用客户端软件来代替硬件设备,这些软件都是公司的IT部门预先在他们的电脑上安装的。这些软件和硬件设备的功能相同,也执行握手、建立安全会话和创建IPsec隧道的过程。但是这种情况是将一台单独的电脑连入企业内部网。客户端软件的参数必须配置的和内部网的安全网关一样。此外,客户端软件还要配置远程使用者身份校验证明的功能。这个功能一般用用户名/密码、发布给客户端的数字证书或安全ID来实现。
当然,这一切实现的前提是IT部门能连入mobile使用者的电脑,安装、配置客户端软件,或者使用者自己利用IT部门提供的工具完成这些工作。但并不是所有的情况都是这样的,比如使用者完全处于远程,或者使用者偶尔用自己的电脑或家里的电脑接入。此外,使用者可能是合作伙伴公司的员工,因为某个特殊的项目需要临时接入企业的内部网。企业当然不希望给这样的使用者提供固定的长久连接。不幸的是大多数商业IPsec VPN解决方案都不提供这种临时连接(粒状连接)的管理功能。
如前所述,IPsec VPN给远程机构或个人使用者提供到内部网络的虚拟连接。这种连接一旦建立,远程节点就变成企业内网的一个节点,它的接入权限就和员工真正身处总部使用时一样。使用者通过VPN验证后接入内部网,如果你是“candy” (外部脆弱、内部坚固)安全模式,就是使用者安全防护能力差,而内部网防御能力强,这时企业内部网抵御攻击的能力也会随之下降。除非企业给每一位远程使用者配备经过配置的笔记本电脑,否则很难确定使用者的电脑是否有防护措施,杀毒软件是否已经升级。此外,使用者可能让家人、朋友使用自己的电脑,随意连接一些internet站点。这就带来了潜在的安全隐患。一旦存在安全隐患的电脑通过IPsec隧道连入企业内部网,病毒就会悄悄的感染内部网中的其他电脑。
针对IPsec VPN的这些缺点,厂商开始评估替代方案。SSL迅速崛起,代替IPsec实现VPN远程连接,主要有两个原因:一是可资证明的安全性,二是几乎所有的商业浏览器都集成了SSL。
这些优点促使SSL VPN成为VPN市场增长最快的亮点。John Girard是Gartner Group研究部门的负责人,他预言“到2004年,60%的企业用户将会使用瘦客户端VPN(SSL VPN),而不是胖客户端VPN(IPsec VPN)”。这仅仅是指远程接入类型的VPN,主要是提供给mobile使用者,而不是远程站点。IPsec VPN在站点通信方面有着不可置疑的优势,它仍占有自己的市场份额。
SSL VPN 不能完全替代IPsec VPN,它是VPN在远程接入方面的有益补充。最好的证明就是SSL VPN的生产厂商同时也会提供IPsec VPN设备。下一节我们将从以下几个标准来比较IPsec VPN和SSL VPN:
●客户端软件需求
●安全性(例如:密码算法和身份校验)
●应用程序支持性
●工作效率
1. 客户端软件需求
SSL VPN 优于IPsec VPN的其中一点就是不需要安装、管理和支持个人电脑上的客户端软件。通常企业都会选择软件、硬件相结合的方案。除非IT组织控制了所有的硬件,才可能统一硬件的规格标准。IPsec VPN需要安装并配置好客户端软件才能建立连接。但是不同的IPsec VPN生产厂商的客户端软件并不都能和其他厂商生产的硬件兼容。对于外部使用者来说就存在一个问题,他使用的硬件可能是其他厂商制造的。而且生产厂商提供的VPN客户端软件也不能支持所有的操作系统。更重要的是,IPsec VPN在处理地址转换Network Address Translation (NAT)方面存在问题。使用者在具有NAT功能的防火墙后请求连接会有困难,因为不是所有的NAT路由器都支持IPsec,或者需要改变VPN的参数设置才能连接。这就增加了IT技术支持人员的负担,他必须解决每一个使用者的具体故障。反过来看,几乎所有的主流商业浏览器都集成了SSL,不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能,“signed plugins”可以跟随浏览器自动传输给客户端。
2. 安全性
SSL和IPsec都支持同样的密码算法标准:40/128-bit RC4, 56-bit DES, 168-bit Triple-DES。除此之外,IPsec还支持AES,SSL不支持AES,但TLS支持。IPsec的优点之一就是它的每一个连接都由安全会话控制着。使用IPsec VPN,只要使客户端软件和网关的参数设置一样,就可以很容易的在连接中采用特殊的密码算法。而使用SSL VPN时,需要更改参数设置的是浏览器,但不是所有的浏览器都支持所有的密码算法。此外,浏览器会把密码算法的强度降低到服务器和客户端都能接受的最低平衡点。例如:某些浏览器可能会采用40-bit RC4算法,尽管它不是很安全。当然,管理员可以在网关设置具体的最小安全级别,但是这样增加了一些客户端不能连接的风险,这可能是由于客户端浏览器配置比较特殊,或者是因为浏览器的版本不符。
至于身份验证,SSL VPN和IPsev VPN都把双向验证作为规格标准的一部分。由于IPsec的客户端软件安装在电脑硬件上,它会继承硬件的一些验证性能。IPsec客户端还能预先设置成只接受某一特定服务器证书或者是只接受企业规定的用户名/密码。SSL VPN不采用这种方式,当服务器发来新的证书,它会提示用户,由用户自己选择接受或拒绝这个证书。大多数没有经过专业训练的用户通常会选择接受证书,他们认为这样可以使他们更快的获得需要的信息。这样做的结果是造成“man-in-the-middle”攻击。虽然服务器证书可以预先安装到浏览器上,但是这样做就抵消了SSL不需要安装、配置客户端的优点。
SSL还有一个潜在的安全隐患来自于使用者,因为会话结束后他们一般不会及时关闭浏览器。如果连接请求来自于共享的公众场所,这样做是极其危险的。如果浏览器没有及时关闭,前一个使用者建立的信任连接状态就会一直保持,后来的使用者可以继续利用这台电脑的信任状态接入公司内部网。针对这种情况,很多厂商生产的浏览器都提供了“inactivity timeouts”功能,但这不是全面解决方案,因为电脑仍然在一段时间内存在安全弱点。此时,如果连接请求来自不可控制的公众场所,电脑则处于危险状态,因为攻击者可以利用电脑上的键盘纪录来重复使用者的会话。
3. 应用程序支持性
IPsec VPN运行在网络层,它可以支持所有运行在IP-based network之上的程序。如前所述,IPsec VPN就像企业内部网的延伸,所有在公司内部网能够运行的程序也能通过IPsec隧道原模原样的运行。这对那些需要运行多种类型的客户端程序的企业来说,IPsec VPN是一种无缝方案。
SSL是源于浏览器应用程序发展而来的。它支持很多典型的网络应用程序,例如:email、文件传输、聊天室。但是许多服务器-客户端程序则需要重新编写才能在SSL中使用。很多厂商都提供了一些常用程序的应用代理。即就是客户端Web浏览器与代理网关通信,代理网关将应用翻译后交给终端服务器。但是这样会降低执行效率,而且也不是所有的程序都可以通过这种方式运行。如果企业使用大量的服务器-客户端程序,SSL VPN将变得不实用了。
4. 工作效率
IPsec VPN远程使用者的数量增加后一般需要升级。很多IPsec VPN的单个硬件网关可以同时建立5000个隧道。而且大多数厂商都由提供一些升级用的标准组件,以便远程用户数量增加时可以升级硬件。当使用者人数增加时,IPsec VPN的可维护性下降,IT部门不得不花费更多的时间来配置和维护客户端软件。因此,IPsec VPN实际上可维护性不太好。SSL协议由于使用公匙密码算法,运算强度要比IPsec VPN大,SSL VPN的性能也会随着会话数量的增加而下降,但下降幅度比IPsec VPN要小。很多厂商都提供单独的SSL加速方案,这样SSL可以把一些运算交给其他的硬件完成,这些硬件已经针对SSL运算作了优化。当然,这样做会增加成本,当使用者人数增加时需要权衡成本。既然IPsec和SSL都要对数据进行加密和解密,工作效率自然低于没有安全措施的程序的运行效率。程序对数据延迟非常敏感,在一些程序比如声音或媒体流程序中,是不适合出现数据延迟的。此外SSL是会话导向程序,就是说安全参数是在会话开始时商定的,与一次会话中单个连接的次数无关。因此一些不考虑会话因素的程序,例如基于局域网的客户机-服务器程序,使用SSL可能会出现执行效率方面的问题,这些程序需要经常不断的重新确定安全参数,而这个过程正是SSL运算量最大的过程。
总结:
用户希望在任何地方都能连接他们需要的数据和应用程序。企业为了节约成本取消了集中拨号的modem池和私人wan线路,取而代之的是更多的使用公网进行远程连接。企业还部署了extranets,供合作伙伴远程连接。为了确保这些连接的安全性,企业采用了VPN技术。传统的VPN技术都采用的是IPsec协议,建立安全隧道,连接远程站点、远程用户和企业内部网。IPsec的安全性和信任度已经得到证实,但是它需要在每一个客户端设备上安装、配置客户端软件,导致大规模的远程接入管理困难。mobile用户必须携带已经安装、配置好的笔记本电脑才能接入内部网。这就增加了IT部门的管理难度和成本负担。
SSL也是得到证实的网络安全协议。Netscape Corp.发展了SSL协议,将之用于HTTPS协议中来保护web浏览器会话的安全性。SSL和IPsec一样,都提供服务器和客户端数据的私密性、完整性和可验证性。但SSL和IPsec不同的是它被集成到几乎所有的商业浏览器中,因此不需要安装额外的客户端软件。此外,一些web、email和文件传送协议的安全版本规格都直接采用了SSL。近来,厂商开始用SSL VPN代替IPsec VPN,以减轻客户端软件的管理工作量。许多应用程序开始升级或重新编写成“web-enabled”,以便他们能够很好的采用SSL。Gartner Group预言到2004年末,绝大多数远程用户会选择SSL VPN。因为SSL VPN在降低企业管理成本和提高工作效率方面优于IPsec VPN。但IPsec VPN作为intersite VPN解决方案还是占据重要地位,而SSL VPN的设计初衷不是用于此方面的。SSL VPN在应用程序的支持性方面也有缺点,一些原有的服务器-客户端程序不能在SSL接入中使用。
IPsec和SSL可以看作是互补的方案,可以使企业给mobile员工和合作伙伴提供安全、标准和随时随地的远程内部网连接。两种方案在不同的应用方向上各有优缺点。每个方案都应该针对个别的应用目的和应用环境单独评估。IPsec和SSL将会继续共存,满足企业不同的远程接入要求。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
