安全VPN保护无线游民

安全漏洞实际上并不是出现在VPN本身，而是因为它所处的环境。

设想一下这幅场景: 经常在外出差的人士在机场或咖啡馆的热点场所，通过无线方式连接至公司网络，甚至连旁边的过路人也能进入这个网络。虚拟专用网（VPN）几乎成了商务人士使用无线网络的一种常规方式。

但是，VPN安全吗？答案看来是“不如你想像安全”。

那么，首席安全官该如何选择一款安全而可靠的VPN呢，VPN技术层面的安全设置对于它提供的总体连接安全会带来多大的影响？由于越来越多的远程用户通过无线VPN与公司网络进行通信，这些问题备受关注。

选择合适产品

安全漏洞实际上并不是出现在VPN本身，而是出现在它所在的环境。

说到VPN的选择，市面上肯定有众多选择和价位。比方说，想获得免费的开源VPN，可以使用OpenVPN，它号称有300万用户，每月下载人次多达15万。微软Windows XP也内置了免费的VPN，它采用了点对点隧道协议（PPTP）。

总部设在纽约的Castle Brands公司发展迅速，最初比较了开源VPN和专有VPN之后，使用了基于PPTP的VPN。

公司IT主管Andre Preoteasa说: “我们设法在不危及安全的前提下降低成本。如果算上一些VPN的先期成本、额外硬件、许可费和每年的支持费用，成本很快就会猛增。至于PPTP，如果你有Windows XP，实际上也就有了PPTP。”

Preoteasa解释，最初访问网络时借助了密码，后来采用基于角色的规则来进行访问控制，这些规则保存在微软活动目录服务器上。他说: “员工根本无法顺便进行访问; 会计人员可访问会计内容，而销售人员访问不了。”

安全培训认证公司SCIPP International的创办人兼信息安全专家Winn Schwartau表示，PPTP作为VPN也并非没有缺点，这就是为什么市场上存在众多的商用独立VPN。

Schwartau说: “PPTP并不理想，但总比没有强得多。除非要保护国家机密，否则PPTP就足以把许多人挡在外面。在机场想伺机下手的人会窥视你的无线连接，看到连接经过了加密，就会走开。现在外面存在太多容易下手的其他目标，比如所用VPN没有经过加密连接的一些马大哈。”

严格控制电脑

在评估商用VPN时，复杂性急剧增加。技术方面在选择过程中起到了极其重要的作用。比如密苏里州乔普林五旬节派教堂（Pentecostal Church of God）的几名高级主管购买了运行64位Vista的笔记本电脑后，IT主管Don Allen选择了总部设在德国纽伦堡的NCP Engineering这家厂商的VPN产品。

Allen说: “我下载了公司的试用版，与NCP进行沟通后买了许可证。我们再次有了安全通信，这比购买一只新的路由器省钱多了。”他说，现在，教堂的主管们在出差时经常访问网络，“这实际上是一个相当不错的解决方案。”

亚特兰大的作家兼安全专家James DeLuccia表示，首先让管理人员牢牢控制笔记本电脑。他说: “VPN应当安装在公司拥有的笔记本电脑上，而不是安装在家用电脑上; 然后我希望在这些笔记本电脑上强制采取一些安全政策和设置，以便进一步提高VPN连接的安全性。”

这么做是考虑到了心理因素和实用因素。如果桌面系统上出现的是公司标识、运行的是公司的应用软件，用户就不大可能访问安全问题比较猖獗的网站。然后，安全政策可以进一步缓解这个风险。

总部设在伦敦的律师事务所Lawrence Graham的IT主管Jason Petrucci表示，结合使用没有令牌的双因子验证技术有助于确保远程VPN无线访问的安全性。他说: “律师通过笔记本电脑远程登录公司系统时，会看到三个验证对话框: 一个用于输入用户名，一个用于输入登录密码，最后一个用于输入个人身份识别号（PIN）代码和通行码（passcode）。SecurEnvoy用来管理及传送这个通行码，它事先把三个一次性通行码装入一个文本消息里面，然后文本消息传送到用户的‘黑莓’手机上。”

一旦通行码被使用，替换的通行码就会自动发送到每个律师的“黑莓”手机上。Graham表示: “我们的律师不管去哪里都随身带着‘黑莓’手机。物理令牌有可能被落下或者丢失。”

同时运行多路网络连接（包括有线和无线连接）是带来危险的另一个根源。IT安全公司ESET的技术教育主管Randy Abramsa警告说，比方说，如果有两路敞开的连接，笔记本电脑就会成为通向公司网络的桥梁。黑客只要搭上VPN连接，就可以访问网络。

他多次遇到过这样的情况: 虽然用户通过加密的VPN安全下载了公司文档，但后来却通过公共互联网，未经加密就把文档转发到自己的网络邮箱账户。更糟的是，浏览器助手对象可能含有恶意的击键记录程序。解决办法就是: 一开始VPN连接，就通过非常严格的政策来关闭并行网络连接。

连并行、经过加密的VPN连接也不是安全的。总部设在明尼阿波利斯的安全咨询机构NetSPI的首席技术官Seth Peter提醒，提供这种并行连接的分离VPN隧道在VPN客户端中非常常见。“其想法是，一条隧道连接至公司网络，另一条隧道连接至公共互联网。我们建议关闭第二条隧道，这样只有通过公司网络才能连接至互联网。问题是，我们发现许多用户并没有这么做。”

加密再加密

鉴于需要考虑的这些因素，又该如何实际选择、管理及运行无线VPN？

开办美容学校的帝国教育集团（Empire Education Group）公司88所学校的职员在出差时，使用思杰VPN连接至公司网络。在网络上，思杰访问网关（Citrix Access Gateway）会向他们“提供”获准使用的应用软件，比如Word、Outlook以及学员成绩和出席情况的班级数据库。

随后，管理政策拒绝用户在上网期间把数据保存到本地，迫使他们把数据保存到网络上。帝国教育集团的IT副总裁JosephDrasdis说: “用户只能看到向他们提供的驱动器，而看不到本地系统上的驱动器。从安全的角度来看，即使笔记本电脑被偷也不成问题，因为上面根本没有什么信息。信息必须保存到网络上。”

他补充说，值得关注的是，IE浏览器在VPN网上也提供给用户，从而便于公司控制使用公司笔记本电脑的员工可以访问哪些网站――他们其实只能访问帝国教育集团自己的网站，还有微软网站及支持网站，结果降低了遇到恶意软件的可能性。

与此同时，在名列《财富》50强的大都会人寿保险公司（MetLife），提供远程无线访问功能的同时，防范泄露数据、特别是客户信息至关重要，企业安全助理副总裁Jesus Montano这样表示。他说: “面临的难题是，如何兼顾员工的访问要求与公司的整体安全要求，然后与员工们一起想方设法在不危及安全的前提下拿出行之有效的解决方案。”

他解释，就来自机场和咖啡馆的无线访问而言，如今这意味着要通过VPN厂商Check Point来访问（全部使用大都会人寿保险公司拥有的笔记本电脑），而登录信息由基于RSA“硬令牌”的双因子验证技术提供保护。他补充说，除了VPN内置的加密措施外，笔记本电脑上的所有数据都得到了保护。

Montano强调: “所有无线流量都经过了加密; 设备由防火墙进行了加密及保护。我们认为自己已避免了远程访问方面最明显的潜在危险; 我们拥有一个稳定可靠、设计严密的解决方案。”