Intranet 与网络安全
成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。
削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。
1) 明确远程访问的需求
首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。
WAN的连接有两类:内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。
对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。
围绕下属办事处,VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素,从下属办事处的密钥和锁,到计算设备的物理访问,再到可访问设施的非雇员数量等等。如果所有这一切都万无一失,在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证,因为我们认为这样的连接是安全的。但是,如果这些地方有问题,网络设计人员就要考虑采用更严格的安全措施。例如,VPN需要严格认证,或者将对总部网络的访问限制在某个孤立的子网中。
VPN对外联网的安全要求通常十分严格,对保密信息的访问只有在需要时才能获准,而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员,解决用户的变化问题则很有挑战性。从根本上说,这是严格政治问题。但在机构确定用户时,这是严格急需解决的技术问题。
2) 注重管理
26
Intranet 与网络安全
企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的,决策中还要确定相应的VPN设备和实施选择方法。
一般来说,决策者应解决VPN特有的几个问题:远程访问的资格,可执行的计算能力,外联网连接的责任,以及VPN资源的监管。另外,还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然,决策中应包括一些技术细节,例如加密密钥长度,如果VPN的加密算法要求公开认证,则还需要法律的支持保护。
对外另外而言,决策中应具体说明及时通报远程用户人员变更的步骤,被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常,企业的人事部门已制定有人事管理规定,这些规定可能也适用于VPN用户。
3) 确定最佳的产品组合
可选择的VPN产品很多,但产品基本上可分成三大类:基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。
硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。
基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道,而硬件产品则不同,它们一般为全部信息流量打开通道,而不考虑协议要求。因流量类型不同,特定的通道在远程站点可能遇到混合信息流时分优先级,例如有些信息流需要通过VPN进入总部的数据库,有些信息流则是在网上冲浪。在一般情况下,如通过拨号链路连接的用户,软件结构也许是最佳的选择。
软件系统的问题在于难于管理,它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制,甚至一些软件包需要对路由表和网络地址方案进行改动。
基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问
27
Intranet 与网络安全
进行限制。此外,它们还执行地址的翻译,满足严格的认证功能要求,提供实时报警,具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。
什么时候企业选择基于防火墙的VPN呢?一般是在远程用户或网络充满潜在敌意的时候。这时,网管员可建立起所谓的非军事区(DMZ),部分,系统一般使用在防火墙上的一个第三方界面,并有自己的访问控制规则。攻击者也许能到达DMZ,但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的,它是软件产品中最容易保证安全和管理的产品。
对于这三种VPN产品,网管员还要在四个领域进行考核:协议处理、IP安全支持、认证服务器支持和加密密钥的引出。
例如:虽然大多数公司网络为多协议型,但VPN产品只解决IP协议的传输,如果其他协议如IPX或SNA需要传送,用户需要寻找能为这些协议加密,或者能将它们打包成IP,让基于IP的VPN系统处理的方案。显然,后一种选择可能会降低系统性能。
Ipsec是IETF(Internet Engineering Task Force)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛,VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作,但是到目前为止,实施成功的VPN通常意味着要从同一家厂商购买所有的设备。
尽管大部分VPN可保留自己的认证数据库,但网管员也希望借助于现有的认证服务器。比如,许多远程访问服务器使用下述两种协议之一的外部系统来认证用户:远程认证拨入用户服务器(Radius)或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性,即无论增加多少台访问设备,一台认证服务器就足矣。
如果一个企业的VPN延伸到海外,网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口,尽管未来立法可能会或多或少地放宽限制,但一般跨国经营的美国公民可能需要部署两个VPN系统:一个加密功能较弱,用于国际用户的,一个加密功能较强,用于国内用户。
28
Intranet 与网络安全
4) 进行测试
企业不能武断地选择某种VPN方案,一般要通过广泛测试,运行两到三种VPN产品,再作出决定。企业首先要确定一个远程用户间的测试伙伴小组,由他们测试系统的情况。
注意,测试小组中一定要包括各种技术工种的员工,这一点对于保证VPN测试的公正以及评估系统管理人员排除故障的能力至关重要。
成功的VPN测试包括6个方面:首先,测试VPN是否可按照机构的远程访问决策进行配置;其次,测试VPN是否支持所有正在使用的认证与授权机构;第三,验证VPN可有效地产生和分配的密钥;第四,测试VPN是否允许远程用户加入到公司网络中,就像他们在物理上是连接起来的一样;第五,验证系统为排除故障和提供明显线索的能力;最后,验证是否技术与非技术人员同样能轻松运用VPN。
5) 确定系统大小
为企业系统选择合适的硬件时,网络决策者要估计系统用户的总数,同时举行网络会议的典型数量,以及数据的时间敏感性(它决定所需的密钥长度)。例如对于基于软件的VPN,假设采用三倍的DES(数据加密标准)加密,使用128位密钥、数据压缩和信息认证,这样,200MHz Pentium处理器就能处理T1网络连接。鉴于内存越大,可允许同时连接的信息流越多,因此,系统在服务器上可以指定尽可能多的RAM。正如以上所述,速度高于T1的网络连接则可能需要基于硬件的VPN。
如果厂商提供产品性能基准,网络管理员注意务必了解如何进行测试的详细说明。为了能对不同厂商的产品进行公平比较,网管员需考虑诸如帧长度、加密算法及密钥长度、压缩的使用及信息认证算法的现状。
另外,网管员在设计生产系统时,还要考虑备份和冗余问题,大型机构或信息流量大的机构也许还想考虑多服务器上的负载均衡问题。
29
Intranet 与网络安全
6) 为VPN服务器选择位置
远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说,VPN服务器最好直接放在专用网络中,但这一方法也最易成为攻击者的攻击目标。
对于员工企业,如果绝大多数远程用户属于外部机构,将VPN设备放在DMZ网络上意义更大,因为它要比内部网络更为安全,屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网,它会得到细心的管理和保护,免于内部和外部的威胁。
企业在设计安全内联网和外联网时,安置VPN和认证服务器是关键的一步。其中,建立与下属办事处的链路最简单:一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证,因此,它们建立与VPN服务器的链路,将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证,他们只需同另一台VPN服务器连接起来,这一台服务器应位于第二个DMZ上,以保护公司的认证服务器。另外值得注意的是,企业为业务伙伴进行的连接配置最需要技巧,连接请求首先到达第二个DMZ上的VPN服务器,之后请求被传送到第一个DMZ上的认证服务器,最后,批准的请求被传送到请求访问的资源中。
7) 重新配置其他网络设备
安装VPN,特别是涉及IP地址管理和防火墙时,公司可能要对网络上的其他设备重新进行配置。VPN通常使用网络地址翻译器(NAT),如IETF RFC 1918中所述,NAT将专用地址(通常从一组保留的地址中选出)映射到一个或几个在Internet上可见的地址上。
网管员至少要使VPN设备的配置清楚哪些地址要保留下来供内部使用。此外,许多基于VPN的防火墙还支持动态主机配置协议(DHCP)。网管员需将DHCP和VPN功能协调起来,否则,客户机可能最终将信息只发送到Internet而不是专用网络上。
一些VPN设备使用虚拟网络适配器将有效的IP地址分配到专用网络上,如
30