6月14日消息,深信服SSL VPN產(chǎn)品存在安全隱患。經(jīng)分析,SSL VPN某接口存在注入漏洞,攻擊者可以構(gòu)造特殊參數(shù)來利用此漏洞,以達(dá)到非法登錄控制臺的目的。
筆者因此特別分析了市場常見的安全接入系統(tǒng):
方式一:IPSec VPN技術(shù)
優(yōu)點(diǎn):可實(shí)現(xiàn)LAN到LAN的透明通訊
缺點(diǎn):由于透明通訊,所以無法防止病毒木馬傳播,難以實(shí)現(xiàn)對應(yīng)用和主機(jī)分離保護(hù),比如Windows的BadTunnel漏洞充分暴露了IPSec VPN技術(shù)的安全性弱點(diǎn);部署時(shí)候需要規(guī)劃內(nèi)網(wǎng)IP和外觀IP地址,整體部署時(shí)候所有的網(wǎng)絡(luò)地址不能沖突,這在節(jié)點(diǎn)眾多時(shí)候很難實(shí)施;
方式二:SSL VPN技術(shù)(即深信服采用的接入技術(shù))
優(yōu)點(diǎn):在應(yīng)用層實(shí)現(xiàn)安全通訊,無需更改用戶網(wǎng)絡(luò)地址;
缺點(diǎn):只支持WEB應(yīng)用;如果要實(shí)現(xiàn)三層、四層應(yīng)用需要安裝控件,只能在windows系統(tǒng)上運(yùn)行,如客戶端設(shè)備是Linux則難以部署;
其他技術(shù)
其他如PPTP、L2TP、GRE/IPIP都存在各種不足。如PPTP安全性不夠,也無法支持大容量的用戶接入;GRE/IPIP通道沒有加密功能;這些協(xié)議在現(xiàn)在的市場情況也是日漸減少。
近年來,筆者特變關(guān)注到一個(gè)新的安全接入技術(shù):NTLS(NextTransport Layer Security)即傳輸層安全協(xié)議。也發(fā)現(xiàn)了其幾個(gè)特點(diǎn),參考了一定的資料后,也想拿出來分析下:
NTLS采用多框架密鑰交換協(xié)議和支持包括標(biāo)識密碼算法在內(nèi)的各種國密算法,同時(shí)結(jié)合網(wǎng)絡(luò)封包截獲和代理技術(shù),實(shí)現(xiàn)遠(yuǎn)程訪問用戶的身份認(rèn)證和遠(yuǎn)程數(shù)據(jù)的加密傳輸,讓訪問者更安全地遠(yuǎn)程訪問遠(yuǎn)程內(nèi)部資源。
NTLS通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通,并且采用密碼技術(shù)對遠(yuǎn)程節(jié)點(diǎn)身份做強(qiáng)制認(rèn)證,有效保證了遠(yuǎn)程訪問和遠(yuǎn)程數(shù)據(jù)傳輸?shù)目设b別性和安全性。
NTLS安全通道方案可同時(shí)支持三、四層安全機(jī)制,三層安全機(jī)制可以實(shí)現(xiàn)站-站、站-網(wǎng)、網(wǎng)-網(wǎng)的數(shù)據(jù)安全保護(hù),并對三層數(shù)據(jù)按照四層的安全策略進(jìn)行控制。細(xì)粒度的安全策略可以保證系統(tǒng)免于傳統(tǒng)IPSec VPN面臨的安全風(fēng)險(xiǎn)。四層安全機(jī)制采用數(shù)據(jù)重定向技術(shù),節(jié)點(diǎn)無需分配IP,中心端無需開放某個(gè)IP或者網(wǎng)段給遠(yuǎn)端,支持基于端口、協(xié)議等多種訪問控制和完善的訪問日志記錄,具有更高的安全性和可管理性。
C/S模式安全通道實(shí)現(xiàn)過程
安全通道的建立主要通過客戶端和服務(wù)器端來構(gòu)成專用隧道。構(gòu)成和形式如下:
NTLS客戶端:軟件形式。可支持Windows、Linux、Unix、iOS、Android平臺,基于標(biāo)識進(jìn)行身份認(rèn)證,連接服務(wù)器端進(jìn)行安全通訊;
NTLS服務(wù)器端:有軟件形式和硬件形式兩種。
其中,軟件方式可支持Windows、Linux、Unix、iOS、Android平臺,僅提供接入功能;
硬件形式為專用硬件設(shè)備: 云安全接入平臺,具備完整的用戶管理、策略管理、日志管理、網(wǎng)絡(luò)設(shè)置、資源查看等等功能。
通訊時(shí),需要NTLS客戶端向NTLS服務(wù)器端發(fā)起請求并建立安全通道,訪問服務(wù)器端的資源。
NTLS客戶端到服務(wù)器端通訊的工作原理如下:
支持海量用戶接入:
方案中使用的加密算法均可擴(kuò)展:
1、對稱算法:用于保障通道中的數(shù)據(jù)加密,可擴(kuò)展用戶自定義算法;
2、非對稱算法:用于身份鑒別和簽名運(yùn)算,也可以擴(kuò)展用戶自定義算法。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。