导航仪 2007-10-31 13:15
远程访问除VPN外的其他选择
除了传统的VPN[font=宋体]方式,职员还有其他一些远程登陆公司网络并使用其资源的选择。[/font]Informit.com[font=宋体]的一篇文章称,如果你将访问和安全的需求与开销和复杂性相权衡,也许你会寻求除了传统的[/font]VPN[font=宋体]之外其他的选择。[/font]
[font=宋体][b] 职员远程访问网络的最好方式是什么?[/b][/font]
[font=宋体] 固定的虚拟专用网络([/font]VPN[font=宋体])是最能使网络管理员安然入梦的答案。[/font]VPN[font=宋体]采用端到端的加密方式在公网上建立一条独立传输信道。[/font]
[font=宋体] 最安全的[/font]VPN[font=宋体]的传统做法是,职员远程从固定地点,最理想的是采用可控的,公司提供的设备,连接到安全的私有网络。建立这样的连接设置需要花费相当的精力,不管用户采用软件,固件还是硬件,你都需要在两端建立并维护硬件、软件以及各种设置,同时还包括认证。但是所获得的安全性将使你感到付出的劳动是值得的。[/font]
[font=宋体] 现在,我们看看相关的协议。在这方面,一共有三到四个协议。其中只有一个值得我们特别重视——[/font]IPSec[font=宋体],它足够安全,特别是在和[/font]L2TP[font=宋体]一同使用时。[/font]
IPSec[font=宋体]是合格的选择。它在数据包级进行加密。[/font]PPTP[font=宋体]具有较弱的密钥,较弱的密码散列算法和不可靠的通信控制。[/font]L2TP[font=宋体]数据可以被[color=black]网络嗅探器读取。但是,当与[/color][/font][color=black]IPSec[/color][color=black][font=宋体]结合进行加密时,[/font][/color][color=black]L2TP[/color][color=black][font=宋体]变为不可读,并为[/font][/color][color=black]IPSec[/color][color=black][font=宋体]提供多种协议的认证访问。需要注意的是,购买的设备需要支持[/font][/color][color=black]IPSec[/color][color=black][font=宋体]与[/font][/color][color=black]L2TP[/color][color=black][font=宋体]结合的标准。[/font][/color][color=black][/color]
[color=black] [/color]
[size=3] SSL[/size][b][color=black] [/color][/b]
[color=black][font=宋体] 也许你的员工工作地点不固定,他需要从不同的地点进行访问。销售人员是最典型的例子,他们也许会从旅馆房间或客户那里连接到你的网络。[/font][/color][color=black][/color]
[color=black] [/color]
[color=black][font=宋体] 对于这些用户来说,事情可以变得更简单,这取决于他们需要从你的网络取得什么样的权限。近年来,[/font][/color][color=black] SSL VPN[/color][color=black][font=宋体]设备已经浮出水面,如[/font][/color][color=black]Aventail[/color][color=black][font=宋体]和[/font][/color][color=black]Juniper[/color][color=black][font=宋体]公司的一些产品。它们对访问者无任何其他要求——不需要安装软件,不需要匹配的硬件,只需要其使用支持[/font][/color][color=black]SSL[/color][color=black][font=宋体]的浏览器。远程用户可以从任何具有[/font][/color][color=black]SSL[/color][color=black][font=宋体]浏览器或公共信息亭的地方登陆[/font][/color][color=black]VPN[/color][color=black][font=宋体]。[/font][/color][color=black][/color]
[color=black] [/color]
[font=宋体] 网络管理员事先设置访问权限和认证形式,根据不同的用户以及他登陆位置的安全程度等因素制定不同的规则。如果用户从[color=black]公共信息亭电话拨入,那么他将看不到那些他从家中经过许可的设备上登录所能看到的信息,如病例档案——如果网络管理员设置正确的话。你不会希望你的医生在机场查看你的病历——因为他有可能忘记退出系统,那样的话,其他机场的旅客也将会有机会对你的病历进行一下分析。[/color][/font][color=black][/color]
[color=black] [/color]
[color=black][font=宋体] 以上是[/font][/color][color=black]SSL VPN[/color][color=black][font=宋体]的一个安全问题。另一个[/font][/color][color=black]SSL VPN[/color][color=black][font=宋体]的安全问题是,最近发现,尽管[/font][/color][color=black]VPN[/color][color=black][font=宋体]具有清除自己缓存的工具,但是本地的桌面搜索引擎会保留[/font][/color][color=black]SSL VPN[/color][color=black][font=宋体]会话,并对其建立索引。目前已经出现了一些[/font][/color][color=black]SSL VPN[/color][color=black][font=宋体]制造商提供的工具来对付这一新的安全威胁。[/font][/color][color=black][/color]
[color=black] [/color]
[font=宋体] [b]终端服务([/b][/font][b]Terminal Services[font=宋体])[/font][/b]
[font=宋体] 微软终端服务使用户从远程以精简客户机形式使用应用程序。终端服务,作为[/font]Windows NT Server 4.0 Terminal Services[font=宋体]版、[/font]Windows 2000 [font=宋体]以及[/font] .NET Server[font=宋体]的一部分,对许多具有身份胸牌的企业和远程访问时须出示认证标识的职员来说是一个历史悠久的制度。从用户登录起,每[/font]30[font=宋体]秒用户得到一个新的密码号,用户需要将此信息连同他的登录信息一起输入。这当然只是认证的方法之一。[/font]
[font=宋体] “终端服务器”从最初发布的时候,就象它的前辈[/font]Citrix Systems[font=宋体]公司的[/font]Citrix WinFrame[font=宋体]一样,成为对诸多企业颇具吸引力的一种提供员工远程登录的方式,至今仍然如此。融合了[/font]Citrix[font=宋体]的[/font]' Secure ICA Services[font=宋体],[/font]128[font=宋体]位端到端加密,[/font]Term Server[font=宋体]的数据流变得更加安全。但你不得不去考虑那些在安全登录以后发生的情况。[/font]
[font=宋体] [b]远程控制[/b][/font]
[font=宋体] 也许最易于设置,成本最低的远程职员接入方法就是远程控制,例如[/font][size=10pt]Symantec[/size][font=宋体][size=10pt]的[/size][/font][size=10pt]PC [/size]Anywhere[font=宋体]。这些产品使远程用户可以控制远端办公室中的设备。开放源码的[/font]VNC[font=宋体]是一种选择,它可以在[/font]Windows[font=宋体]、[/font]Mac[font=宋体]、[/font]Linux [font=宋体]和其他平台上运行,它使用起来比较复杂,而且需要掌握相当的额外技能。但你只需在你觉得它胜任的情况下才为它埋单。[/font]
[font=宋体] 一些远程控制软件,如[/font]Netopia [font=宋体]的[/font]Timbuktu Version 7[font=宋体],在将你屏幕的备份通过[/font]internet[font=宋体]发送的时候,采用非标准化的加密。目前,[/font]Timbuktu[font=宋体]采用私有的方法将位打乱,并将屏幕的部分随机处理。专家建议不要采用私有的加密方法,因为,即使是很出名的方法也常常经不起严格的检测,此外,对于一种私有的加密方法来说,你很有可能会碰上挂羊头卖狗肉的情况。([/font]Netopia[font=宋体]称,在下一版本的[/font]Timbuktu[font=宋体]中,它们将采用一种目前尚未公布的标准加密方法。)[/font]
[font=宋体] 目前,[/font]Altiri[font=宋体]公司的[/font]Carbon Copy[font=宋体]软件只在认证时采用[/font]128[font=宋体]位的[/font]MD5[font=宋体]加密方法,在[/font]2004[font=宋体]年曝光的[/font]MD5[font=宋体]所具有的冲突性弱点对[/font]Carbon Copy[font=宋体]来说将不会是个问题。[/font]Carbon Copy[font=宋体]的数据流通过对每个发送的数据包采用[/font]64[font=宋体]位的私有加密密钥进行防护。用户可以任意定义对数据流进行认证的密钥——如果他们能提供密钥的话。[/font]
Symantec[font=宋体]刚刚发布了具备同时为认证和数据流进行[/font]AES[font=宋体]加密(达到[/font]256[font=宋体]位加密长度)的[/font]PC Anywhere11.5[font=宋体]。此一新版本的[/font]PCAnywhere[font=宋体]同样提供了主机地址屏蔽,[/font]13[font=宋体]种认证方法(包括[/font]RSA SecurID[font=宋体]认证),可以识别[/font]TCP/IP [font=宋体]地址和子网以决定是否允许接入,以及将[/font]PC Anywhere[font=宋体]主机从[/font]TCP/IP[font=宋体]浏览器列表中隐藏的选项。[/font]
[font=宋体] 在购买产品前,需要仔细阅读安全规范说明,因为情况在不停地变化,到[/font]BugTraq[font=宋体]根据产品名录查找(按时间顺序)相关的安全报告。[/font]
[font=宋体] 同时,确定你可以清空办公室电脑的屏幕显示,这样远程职员就不会担心他们在家中所做的事情被其他人看到。[/font]
