专家探讨安全VPN部署的必备因素

日期: 2014-03-17 作者:Dave Shackleford翻译:邹铮 来源:TechTarget中国 英文

某些VPN部署可以为远程访问网络提供更好的安全性。需要注意的是,不同的供应商产品都提供了不同的特定功能。 确保使用强大的加密设置。所有VPN产品都允许对使用的加密密码套件进行配置。

对于IPSec部署,这可能是3DES(数据加密标准)或高级加密标准(AES),而安全套接字层(SSL)VPN则有更多选择,包括流加密(例如RC4)。IPSec让加密更简单,因为客户端将被预配置为使用特定算法,从而确保了兼容性。而在另一方面,SSL VPN则需要考虑浏览器加密支持。由于SSL和传输层安全(TLS)漏洞的普及,特别是最近的BEAST和CRIME攻击,笔者强烈建议使用TLS 1.2等强大的密码,即使客户端需……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

某些VPN部署可以为远程访问网络提供更好的安全性。需要注意的是,不同的供应商产品都提供了不同的特定功能。

确保使用强大的加密设置。所有VPN产品都允许对使用的加密密码套件进行配置。对于IPSec部署,这可能是3DES(数据加密标准)或高级加密标准(AES),而安全套接字层(SSL)VPN则有更多选择,包括流加密(例如RC4)。IPSec让加密更简单,因为客户端将被预配置为使用特定算法,从而确保了兼容性。而在另一方面,SSL VPN则需要考虑浏览器加密支持。由于SSL和传输层安全(TLS)漏洞的普及,特别是最近的BEAST和CRIME攻击,笔者强烈建议使用TLS 1.2等强大的密码,即使客户端需要验证浏览器兼容性。对于完整性哈希,安全哈希算法(SHA)-1优于MD5。加密密钥长度应该要适当,最少256位密钥(AES)或168位(3DES),1024位密钥用于密钥交换算法(例如RSA),而512位密钥用于哈希算法(例如SHA-1)。

审查终端安全政策。不同的供应商提供不同的端点安全政策,包括操作系统和浏览器检查、反恶意软件检查、浏览器缓存和注销后cookie清除,以及客户端多因素身份验证(包括智能卡、USB令牌等)。站点到站点VPN则没有这种类型的政策。

设置会话超时。所有VPN部署都允许会话超时设置,这种会话超时应被设置为你可以接受的尽可能短的时间。根据不同的业务需求,10到15分钟的会话超时已经足够,SSL VPN通常还支持自动关闭浏览器窗口。

确保建立安全的IPsec设置。IPsec有大量配置选项。然而,很多企业会下意识地选择便利性和简洁性,而不会考虑安全性。例如,很多IPsec部署利用VPN网关已知的“共享秘密”,并将其包括在身份验证配置中。对此,笔者建议为每个端点使用不同的共享秘密,这并不难设置。另外,企业应该使用从内部证书颁发机构部署的证书,虽然这需要更多工作,但这样做更加安全。此外,用于建立IPsec安全关联的Internet密钥交换协议通常因为便利性和性能而被配置为使用Aggressive Mode,但这是更薄弱的交互方法,企业应该使用Main Mode。

使用强大的多因素身份验证。所有VPN都应该支持某种形式的多因素身份验证,这是非常重要的工具,特别是对于远程访问配置。客户端证书和智能卡,以及双因素令牌和发送到移动设备的一次性密码,都是比较受欢迎的验证方法,这都比单靠用户名和密码要更安全。

修复和升级设备或软件。所有VPN软件和设备都需要不定期更新。确保这些系统集成到你现有的漏洞管理战略中,以避免暴露的漏洞或可用性问题。

当然,这些还只是起点,为特定应用程序和用户创建访问控制将需要更多的规划工作。一些VPN还支持到虚拟桌面基础设施和其他内部资源的访问,以帮助远程客户端简化和加强安全连接。由于所有供应商提供不同的配置选项,企业需要了解所有这些可用的安全设置,并根据性能、可用性和安全性,从中选出最佳解决方案。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

邹铮
邹铮

相关推荐