從深信服SSL VPN漏洞安全隱患分析對比NTLS安全接入方式

6月14日消息,深信服SSL VPN產(chǎn)品存在安全隱患。經(jīng)分析,SSL VPN某接口存在注入漏洞,攻擊者可以構造特殊參數(shù)來利用此漏洞,以達到非法登錄控制臺的目的。

筆者因此特別分析了市場常見的安全接入系統(tǒng):

方式一:IPSec VPN技術

優(yōu)點:可實現(xiàn)LAN到LAN的透明通訊

缺點:由于透明通訊,所以無法防止病毒木馬傳播,難以實現(xiàn)對應用和主機分離保護,比如Windows的BadTunnel漏洞充分暴露了IPSec VPN技術的安全性弱點;部署時候需要規(guī)劃內網(wǎng)IP和外觀IP地址,整體部署時候所有的網(wǎng)絡地址不能沖突,這在節(jié)點眾多時候很難實施;

方式二:SSL VPN技術(即深信服采用的接入技術)

優(yōu)點:在應用層實現(xiàn)安全通訊,無需更改用戶網(wǎng)絡地址;

缺點:只支持WEB應用;如果要實現(xiàn)三層、四層應用需要安裝控件,只能在windows系統(tǒng)上運行,如客戶端設備是Linux則難以部署;

其他技術

其他如PPTP、L2TP、GRE/IPIP都存在各種不足。如PPTP安全性不夠,也無法支持大容量的用戶接入;GRE/IPIP通道沒有加密功能;這些協(xié)議在現(xiàn)在的市場情況也是日漸減少。

近年來,筆者特變關注到一個新的安全接入技術:NTLS(NextTransport Layer Security)即傳輸層安全協(xié)議。也發(fā)現(xiàn)了其幾個特點,參考了一定的資料后,也想拿出來分析下:

NTLS采用多框架密鑰交換協(xié)議和支持包括標識密碼算法在內的各種國密算法,同時結合網(wǎng)絡封包截獲和代理技術,實現(xiàn)遠程訪問用戶的身份認證和遠程數(shù)據(jù)的加密傳輸,讓訪問者更安全地遠程訪問遠程內部資源。

NTLS通過簡單易用的方法實現(xiàn)信息遠程連通,并且采用密碼技術對遠程節(jié)點身份做強制認證,有效保證了遠程訪問和遠程數(shù)據(jù)傳輸?shù)目设b別性和安全性。

NTLS安全通道方案可同時支持三、四層安全機制,三層安全機制可以實現(xiàn)站-站、站-網(wǎng)、網(wǎng)-網(wǎng)的數(shù)據(jù)安全保護,并對三層數(shù)據(jù)按照四層的安全策略進行控制。細粒度的安全策略可以保證系統(tǒng)免于傳統(tǒng)IPSec VPN面臨的安全風險。四層安全機制采用數(shù)據(jù)重定向技術,節(jié)點無需分配IP,中心端無需開放某個IP或者網(wǎng)段給遠端,支持基于端口、協(xié)議等多種訪問控制和完善的訪問日志記錄,具有更高的安全性和可管理性。

C/S模式安全通道實現(xiàn)過程

安全通道的建立主要通過客戶端和服務器端來構成專用隧道。構成和形式如下:

NTLS客戶端:軟件形式??芍С諻indows、Linux、Unix、iOS、Android平臺,基于標識進行身份認證,連接服務器端進行安全通訊;

NTLS服務器端:有軟件形式和硬件形式兩種。

其中,軟件方式可支持Windows、Linux、Unix、iOS、Android平臺,僅提供接入功能;

硬件形式為專用硬件設備: 云安全接入平臺,具備完整的用戶管理、策略管理、日志管理、網(wǎng)絡設置、資源查看等等功能。

通訊時,需要NTLS客戶端向NTLS服務器端發(fā)起請求并建立安全通道,訪問服務器端的資源。

NTLS客戶端到服務器端通訊的工作原理如下:

支持海量用戶接入:

方案中使用的加密算法均可擴展:

1、對稱算法:用于保障通道中的數(shù)據(jù)加密,可擴展用戶自定義算法;

2、非對稱算法:用于身份鑒別和簽名運算,也可以擴展用戶自定義算法。

免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。

2019-06-19
從深信服SSL VPN漏洞安全隱患分析對比NTLS安全接入方式
6月14日消息,深信服SSL VPN產(chǎn)品存在安全隱患。經(jīng)分析,SSL VPN某接口存在注入漏洞,攻擊者可以構造特殊參數(shù)來利用此漏洞,以達到非法登錄控制臺的目的。

長按掃碼 閱讀全文