強化SSL VPN網絡安全 網絡訪問控制NAC

【賽迪網-IT技術報道】很多公司已經改進了其IPsec VPN，有的甚至用基於SSL的遠程訪問解決方案替換掉了IPsec VPN。SSL VPN能夠在任何未經管理的家用或公用電腦上使用，當要決定是否允許訪問公司網絡資源時，評價遠程端點的安全性是至關重要的。本文將探討用網絡訪問控制（NAC）功能來加強SSL VPN網絡的安全性的原因和措施，並討論其與NAC 優先權的關係。

機會與風險

將瀏覽器用作客戶端平台，SSL VPN使用戶遠程訪問IT難以控制的設備成為可能，無論從家用PC還是商業夥伴的便攜式電腦或者PDA設備都是如此。這種「任何時間、任何地方」的方法可以將訪問擴展到更多的工作人員而其成本卻會大大減少。據Gartner估計，到2008年，SSL VPN對三分之二的遠程工作人員來說將會成為主要的遠程訪問方法，而且約有90%的僱員需要使用臨時性的遠程訪問。

然而，將未被管理的端點設備連接到公司網絡會增加風險。如果一個遠程工作人員的家用PC感染了蠕蟲或木馬，其VPN通道可將這些威脅轉播到公司網絡資源。如果Internet信息站點有一個鍵盤記錄器，那麼用戶的全部的VPN會話，包括登錄名和口令都將被竊取。在這兩種情況下，用戶趨向於將敏感資料─無論是緩存中的口令還是臨時文件，置於其他人可發現的地方。很明顯，要確保安全地訪問未被管理的端點就需要減輕這些風險。

過濾空白點

可喜的是，SSL VPN廠商一直努力著手解決這些問題。當今的SSL VPN設備提供了一套相當成熟的NAC（網絡訪問控制）功能來抗擊這些威脅。

身份識別：SSL VPN支持用戶身份驗證和目錄，創建一個基於用戶標識的訪問控制基礎。但是一個特定的用戶可能會從任何未經管理的和被管理的端點設備來進行連接。因為，既要根據用戶的身份標識來判斷，又要根據設備的標識和類型來決定。以產品為基礎，SSL VPN可以使用HostID（主機ID）識別被信任的端點、計算機/域名、設備證書、駐留文件、註冊表項或硬體標識。SSL VPN還可以識別端點的操作系統和瀏覽器，並相應地做出響應。

端點完整性：多年來，VPN僅僅假定被管理的設備是可信賴的。未被管理的設備有極大的風險，但是假定端點將會免於受惡意軟體的侵害卻並非真正安全。如今，大多數VPN產品都檢查端點的完整性，並且使用管理員定義的配置文件來檢測遺漏的補丁、老病毒特徵、非活動的或被破壞的反病毒程序、反間諜軟體和防火牆程序、不正常的進程或監聽端口以及惡意軟體的跡象等。 為了簡化配置，許多產品提供可供選擇的模板、檢查列表或者圖形化的規則生成器。有一些甚至可以與被管理端點的端點安全程序進行交互。而且，大多數SSL VPN產品還可以執行進入前檢查，有一些產品還支持後進入完整性審計，確保端點保持清潔。

授權認可：通過操作在一個更高的層次上，SSL VPN提供比IPsec更加精細的授權策略。與對整個子網授權相反，許多SSL VPN將訪問縮小到單個伺服器、應用程序、命令、URL、文件夾和其它資料對象。將這些精細過濾器與用戶身份驗證、設備標識相結合，端點安全檢查就會有更大的威力。例如，使用公司桌面PC的工作人員可以被授權使用寬帶應用訪問，而對於從公用PC訪問公司資源則被限制為只能使用遠程終端會話。如果端點的完整性檢查失敗，工作人員就會轉到一個自助頁面來尋求補救。一些SSL VPN產品將用戶和設備與小組結合起來，簡化了管理並可促進連續性。.

增強: SSL VPN通道的建立並不意味著安全的終止。VPN必須實施過濾器來決定用戶可以發送的應用程序消息，發往何處，在傳輸中如何進行保護。大多數SSL VPN產品都得到了強化，以減輕那些未被管理的端點的風險。在會話期間，用戶可以在一個安全工作區中（一個將活動和資料與其它端點過程隔離開的虛擬化的環境）操作。 會話結束後（由於顯式退出或非活動超時），SSL VPN可以刪除所有的會話資料，包括Web的cache(高速緩存)、歷史資料、cookies、表單記錄及口令等。在這裡，措施是基於策略的。例如，在允許文件被存到一個策略一致的公司膝上型電腦上時，在一個高風險的平台上要求安全的工作空間。

這些網絡訪問控制功能也有可能沒有存在於你喜歡的SSL VPN產品中。特定端點的限制也可以執行安全檢查，這些檢查並不能通過管理員權限來執行，也不能通過只能建立在Win32 PC上的虛擬環境來執行。SSL VPN特性在過去的幾年裡已經有了極大的擴充，這都反映了這個領域經驗和技術的成熟。好好看一下你可以使用的NAC功能吧，你也許會大吃一驚的。

與NAC的關係

熟悉思科 Network Admission Control（NAC），微軟Network Access Protection或者TCG的Trusted Network Connect的讀者可能會想「等一下，這些功能怎麼這麼像NAC、NAP、TNC？」事實上，許多概念和技術都是起源於SSL VPN市場，從端點的安全檢查到基於瀏覽器的客戶端軟體。

SSL VPN有望在NAC的使用中大展風采。Infonetics 預計到2008年超過2/3的SSL VPN網關可以用作一個NAC部署的部分。在有些情況下，這些SSP VPN 會成為一個更寬泛的NAC策略的一部分。許多SSL VPN供應商已經宣佈NAC體系結構或參與到一個或多個NAC項目中。例如，Cicso,Microsoft,Juniper都銷售分別適合NAC、NAP和TNC的設備。Caymas Systems甚至還有一種產品既支持NAC又支持NAP。

在部署為一個更寬泛的NAC策略的局部時，一個明顯的方法就是使SSL VPN設備集中於控制離站的遠程用戶的網絡訪問,遠程用戶包括：旅途中的工作人員，遠程工作人員等等。然而，一些分析人士相信，SSL VPN可以在NAC中扮演明星的角色。特別是，隨著網絡外圍的消失，越來越多的設備可被認為是「遠程的」（外部的）。一些企業可能會選擇運行所有的網絡訪問，無論是在站的還是離站的，這些訪問都通過一個SSL VPN設備實施，這樣就能提供更安全的訪問控制。

(