時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(1)
?? 除了傳統(tǒng)的VPN方式,職員還有其他一些遠(yuǎn)程登陸公司網(wǎng)絡(luò)并使用其資源的選擇。Informit.com的一篇文章稱,如果你將訪問和安全的需求與開銷和復(fù)雜性相權(quán)衡,也許你會尋求除了傳統(tǒng)的VPN之外其他的選擇。
?? 遠(yuǎn)程訪問網(wǎng)絡(luò)的最好方式是什么?
?? 固定的虛擬專用網(wǎng)絡(luò)(VPN)是最能使網(wǎng)絡(luò)管理員安然入夢的答案。VPN采用端到端的加密方式在公網(wǎng)上建立一條獨立傳輸信道。
?? 最安全的VPN的傳統(tǒng)做法是,職員遠(yuǎn)程從固定地點,最理想的是采用可控的,公司提供的設(shè)備,連接到安全的私有網(wǎng)絡(luò)。建立這樣的連接設(shè)置需要花費相當(dāng)?shù)木?,不管用戶采用軟件,固件還是硬件,你都需要在兩端建立并維護(hù)硬件、軟件以及各種設(shè)置,同時還包括認(rèn)證。但是所獲得的安全性將使你感到付出的勞動是值得的。
?
?? 現(xiàn)在,我們看看相關(guān)的協(xié)議。在這方面,一共有三到四個協(xié)議。其中只有一個值得我們特別重視——IPSec,它足夠安全,特別是在和L2TP一同使用時。
?? IPSec是合格的選擇。它在數(shù)據(jù)包級進(jìn)行加密。PPTP具有較弱的密鑰,較弱的密碼散列算法和不可靠的通信控制。L2TP數(shù)據(jù)可以被網(wǎng)絡(luò)嗅探器讀取。但是,當(dāng)與IPSec結(jié)合進(jìn)行加密時,L2TP變?yōu)椴豢勺x,并為IPSec提供多種協(xié)議的認(rèn)證訪問。需要注意的是,購買的設(shè)備需要支持IPSec與L2TP結(jié)合的標(biāo)準(zhǔn)。
?? SSL
?? 也許你的員工工作地點不固定,他需要從不同的地點進(jìn)行訪問。銷售人員是最典型的例子,他們也許會從旅館房間或客戶那里連接到你的網(wǎng)絡(luò)。
?? 對于這些用戶來說,事情可以變得更簡單,這取決于他們需要從你的網(wǎng)絡(luò)取得什么樣的權(quán)限。近年來,SSLVPN設(shè)備已經(jīng)浮出水面,如Aventail和Juniper公司的一些產(chǎn)品。它們對訪問者無任何其他要求——不需要安裝軟件,不需要匹配的硬件,只需要其使用支持SSL的瀏覽器。遠(yuǎn)程用戶可以從任何具有SSL瀏覽器或公共信息亭的地方登陸VPN。
?? 網(wǎng)絡(luò)管理員事先設(shè)置訪問權(quán)限和認(rèn)證形式,根據(jù)不同的用戶以及他登陸位置的安全程度等因素制定不同的規(guī)則。如果用戶從公共信息亭電話撥入,那么他將看不到那些他從家中經(jīng)過許可的設(shè)備上登錄所能看到的信息,如病例檔案——如果網(wǎng)絡(luò)管理員設(shè)置正確的話。你不會希望你的醫(yī)生在機(jī)場查看你的病歷——因為他有可能忘記退出系統(tǒng),那樣的話,其他機(jī)場的旅客也將會有機(jī)會對你的病歷進(jìn)行一下分析。
?? 以上是SSLVPN的一個安全問題。另一個SSLVPN的安全問題是,最近發(fā)現(xiàn),盡管VPN具有清除自己緩存的工具,但是本地的桌面搜索引擎會保留SSLVPN會話,并對其建立索引。目前已經(jīng)出現(xiàn)了一些SSLVPN制造商提供的工具來對付這一新的安全威脅。
?? 終端服務(wù)(TerminalServices)
?? 微軟終端服務(wù)使用戶從遠(yuǎn)程以精簡客戶機(jī)形式使用應(yīng)用程序。終端服務(wù),作為WindowsNTServer4.0TerminalServices版、Windows2000以及.NETServer的一部分,對許多具有身份胸牌的企業(yè)和遠(yuǎn)程訪問時須出示認(rèn)證標(biāo)識的職員來說是一個歷史悠久的制度。從用戶登錄起,每30秒用戶得到一個新的密碼號,用戶需要將此信息連同他的登錄信息一起輸入。這當(dāng)然只是認(rèn)證的方法之一。
?? "終端服務(wù)器"從最初發(fā)布的時候,就象它的前輩CitrixSystems公司的CitrixWinFrame一樣,成為對諸多企業(yè)頗具吸引力的一種提供員工遠(yuǎn)程登錄的方式,至今仍然如此。融合了Citrix的’SecureICAServices,128位端到端加密,TermServer的數(shù)據(jù)流變得更加安全。但你不得不去考慮那些在安全登錄以后發(fā)生的情況。
?? 遠(yuǎn)程控制
?? 也許最易于設(shè)置,成本最低的遠(yuǎn)程職員接入方法就是遠(yuǎn)程控制,例如Symantec的PCAnywhere。這些產(chǎn)品使遠(yuǎn)程用戶可以控制遠(yuǎn)端辦公室中的設(shè)備。開放源碼的VNC是一種選擇,它可以在Windows、Mac、Linux和其他平臺上運行,它使用起來比較復(fù)雜,而且需要掌握相當(dāng)?shù)念~外技能。但你只需在你覺得它勝任的情況下才為它埋單。
?? 一些遠(yuǎn)程控制軟件,如Netopia的TimbuktuVersion7,在將你屏幕的備份通過internet發(fā)送的時候,采用非標(biāo)準(zhǔn)化的加密。目前,Timbuktu采用私有的方法將位打亂,并將屏幕的部分隨機(jī)處理。專家建議不要采用私有的加密方法,因為,即使是很出名的方法也常常經(jīng)不起嚴(yán)格的檢測,此外,對于一種私有的加密方法來說,你很有可能會碰上掛羊頭賣狗肉的情況。(Netopia稱,在下一版本的Timbuktu中,它們將采用一種目前尚未公布的標(biāo)準(zhǔn)加密方法。)
?? 目前,Altiri公司的CarbonCopy軟件只在認(rèn)證時采用128位的MD5加密方法,在2004年曝光的MD5所具有的沖突性弱點對CarbonCopy來說將不會是個問題。CarbonCopy的數(shù)據(jù)流通過對每個發(fā)送的數(shù)據(jù)包采用64位的私有加密密鑰進(jìn)行防護(hù)。用戶可以任意定義對數(shù)據(jù)流進(jìn)行認(rèn)證的密鑰——如果他們能提供密鑰的話。
?? Symantec剛剛發(fā)布了具備同時為認(rèn)證和數(shù)據(jù)流進(jìn)行AES加密(達(dá)到256位加密長度)的PCAnywhere11.5。此一新版本的PCAnywhere同樣提供了主機(jī)地址屏蔽,13種認(rèn)證方法(包括RSASecurID認(rèn)證),可以識別TCP/IP地址和子網(wǎng)以決定是否允許接入,以及將PCAnywhere主機(jī)從TCP/IP瀏覽器列表中隱藏的選項。
?? 在購買產(chǎn)品前,需要仔細(xì)閱讀安全規(guī)范說明,因為情況在不停地變化,到BugTraq根據(jù)產(chǎn)品名錄查找(按時間順序)相關(guān)的安全報告。
?? 同時,確定你可以清空辦公室電腦的屏幕顯示,這樣遠(yuǎn)程職員就不會擔(dān)心他們在家中所做的事情被其他人看到。
關(guān)鍵詞標(biāo)簽:VPN,遠(yuǎn)程網(wǎng)絡(luò)
相關(guān)閱讀
熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議
人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置