「很多人說過,經過網絡的所有東西,都會變得不安全,那怕安全措施是否足夠」 – 不論你是否同意上述論點,但「世事無絕對」這至理名言卻說得準;就好像大家認為十分安全的 VPN (Virtual Private Network),原來亦絕非 100% 安全。
VPN 從字面而言,就是虛擬私人網絡。用户可通過於網絡世界之中建立一條私密的,點到點的通道,從而確保傳輸的數據能通過私密通道快捷及安全地於點與點之間進行傳輸,因此一直以來 VPN 幾乎是所有跨地域辦事處的必備產物;不過 VPN 其實絕非 100% 安全,以下便與大家分享一下可能的 VPN 危機。
錯誤的協定
「假如沒有啟用適當的加密協定的話,VPN 其實並不可視之為安全通道。」儘管 VPN 本身就已支援標準的 IPSEC 保安方式,此方式結合了加密、認證、密鑰、數碼憑證等標準,然而 VPN 本身卻沒有「強制」用户啟用這功能;舉個例子,假如用户建立一條建基於 GRE (Generic Routing Encapsulation) 協議的 VPN 時,其通道便已肯定不能稱得上「安全」;而更不幸的是礙於種種因素,更多人會直接採用 L2TP(不含 IPsec)、PPTP(不含MPPE) 來建立 VPN,試問這種情況下建立的 VPN,其安全性又是如何?這種錯誤的抉擇,往往成為計時炸彈,隨時釀成嚴重的資安事故,例如常見的機密資料在傳輸過程被竊取等。
中間人 (man-in-the-middle) 攻擊
「加密了的封包,取出一個、逐一擊破」當你採用了加密協定,的確能進一步提高 VPN 的安全性。不過假如我是黑客的話,首先便會嘗試做一位「中間人」。的確在現實情況下,針對加密 VPN 的最常見攻擊方法便是中間人攻擊。站在點對點的連線過程中,並從中做一些工作準備,如要求 aggressive mode、確認 VPN Server 品牌…再來就是抓取封包、拆件、破解、偽造 DH key….. (略過攻擊流程了),從而收集一些有用的資訊以協助完成破解;而某些工具更同時帶有 DoS 攻擊效果,簡直是同時集破壞與入侵於一身。
設備遺失令 VPN 存危機
「海外工幹,員工設備早設定好 VPN,更甚者是儲存了 VPN 登入資訊,那萬一遺失了設備..」第三種危機雖然是大意所致,不過相信卻是最常出現的,就是員工遺失了其設備;很多時公司為了方便員工存取 VPN,大多數均會於入職時替員工的流動設備設定好 VPN 連線,而 IT 部門為了減少用户查詢,少不免會直接把登入資訊儲存,讓員工一 Click 即可連接到 VPN。
雖然這種方法可減少用户及 IT 部門的麻煩,但萬一員工的電腦遺失了,那相關的 VPN 登入資訊便會落入他人手上,這樣要入侵企業內部網絡便已沒有太大難度了。所以企業應該替員工的流動裝置部署合適的 BYOD 監管方案,這樣萬一設備遺失了,當中的資料亦至少得到一定程度的保護。
總結:別低估黑客攻擊力、高估 VPN 安全性
從上文幾點之中,大家應得知 VPN 的安全與否,某程度上與 VPN 設定的過程有直接關係。而且亦應了解到 VPN 本身亦有其弱點的;同時亦請留意,VPN 通道之中的加密資料,總會需要在終端位置完成解密過程;簡單點來說就是 VPN 連線只限於從建立通道的端點一方經 VPN 到達終端位置,僅此而已。其他的後續傳輸及處理過程,VPN 的能力並不存在的;所以除了需注意設定是否恰當之外,解密後短短的傳輸過程亦需要特別留意,總而言之就是別低估黑客攻擊能力、高估 VPN 安全性。
