遠程訪問辦公室內部網絡資源是各個公司的IT部門最頭疼的一件事情,而且這樣的頭疼由來已久了。
每天都有成千上萬的網絡管理員會收到大量要求解決他們網絡VPN 安裝設置問題的用戶電話。被搞得焦頭爛額的用戶在他們的機器上執行了一些操作,使機器突然之間不能與他們的IPSec VPN連接了。是因為他們外出所在酒店或旅館的NAT 或防火墻設置問題嗎?這些設置總是千變萬化,公司管理員們真的已經厭倦了做這些費力不討好的事。
對于改變防火墻和內部結構設置,為了與外部人員區分開,公司網絡管理員要花費大量時間和精力給公司內部員工進行VPN 客戶端配置工作。如何讓外出公干的銷售人員成功實現安全遠程內部訪問著實讓網管人員費了些心思,如何讓他們使用自己的電腦實現在家時查閱email 或訪問公司內部重要數據呢?是否管理員要發給他們一張CD 并指導他們如何進行安裝設置呢?直到現在,許多公司的網管人員還在被這個問題糾纏著,最近就有一個網絡管理員這樣說:“要在員工家里的計算機上安裝VPN 客戶端必須做的工作實在是太多了,為此我們不得不再發給員工另外一臺配置好的電腦,讓它專門在家里使用。這樣做的花費比指導員工自行安裝來得要少些。”
公司企業需要易于使用的安全遠程訪問連接,看起來IPSec VPN 實在是太麻煩了!他們不能輕而一舉地給客戶或是合作伙伴配置讓他們安全訪問內部數據。我們的最終目的就是在簡單易用的前提下提供高性能的安全遠程數據訪問能力。公司該如何應對這種情況呢?答案到底在哪里?
SSL VPN 之RAP“遙訪門”
一、 SSL VPN的技術演變
演化過程
隨著應用程序從C/S 結構向Web 的遷移,企業必須面對一個新的挑戰,就是如何在不影響最終用戶使用的前提下實現在任何地方靈活訪問這些應用程序。在最近20 年間,用戶和管理層聽到因為安全原因不能夠在公司以外訪問內部應用程序的聲音不絕于耳。在70 年代,人們對遠程訪問概念幾乎等同于從遠端的辦公地點訪問應用程序,這需要設置非常昂貴的WAN 網并租用連接線路。
到了80 年代,一小部分用戶可以使用調制解調器直接撥號到modem banks 或他們自己的PC 上,但是使用費用相當高昂只能有非常有限的小部分人使用。而且在那時候,在家使用個人電腦才剛剛成為主流,遠程訪問需求還不是很大。隨著90 年代的來臨, 在家用PC 盛行的同時,移動電腦開始顯現,在家辦公也開始興起。公司管理者和銷售員們開始在外出出差的時候攜帶他們的筆記本電腦,他們需要實時訪問公司內部信息,設立IPSec VPN 可以保護用戶遠程訪問。它可以提供足夠的安全性,但是問題是安裝和維護相當麻煩。任何在PC 上的改變對VPN 而言可能都是一場災難,最終用戶不得不硬著頭皮忍受這些變化,因為他們別無選擇。即使是現在,你也很難找到一個用戶,他的VPN 一點兒問題也沒有。從管理員的角度來講,使用IPSec VPN 不僅僅意味著要對客
戶端進行安裝和調試,而且還需要調整整個網絡的結構。在數據包進行傳輸時NAT 不能完全工作正常,有時候會出現連接斷開的現象,改變防火墻設置可以解決這一問題但是必須要做大量的管理工作。如果IT 管理部門可以完全控制從后端到客戶的網絡結構,其管理復雜性可以忍受;當IT 管理部門不能完全控制時,管理復雜性就要成倍增加。這種情況同樣發生在本地NAT 和防火墻對合作伙伴,在家里或在酒店。
如今, 公司開始把眼光放在他們是否選擇了合適的安全遠程訪問系統上。使用IPSec VPN 和租用WAN 線路對于不經常更改網絡結構的用戶來說是非常好的選擇。如果情況并非如此,用戶就需要另做選擇。現在,已經有公司開始考慮使用架構在因特網上的SSL 協議,在不破壞已有網絡布局的前提下進行安全遠程訪問。SSL 是通過因特網進行加密傳輸保護一種常用方法,許多公司對他們的內部網和外部網執行了SSL 設置,通過SSL VPN 進行訪問控制。
SSL VPN 的定義
SSL VPN 的發展對現有SSL 應用是一個補充,它增加了公司執行訪問控制和安全的級別和能力。
SSL VPN 還對那些因為使用遠程訪問應用系統而降低公司安全性的企業有所幫助。從屬性上講,撥號可以保證相對安全性,因為特定的電話線可以確認用戶的身份。客戶端/服務器和舊版本的VPN 自身也擁有一定級別的安全保障能力,因為客戶端軟件是需要安裝的。但是,以這樣的安全策略和屬性, 不可否認,黑客入侵、安全威脅、身份欺詐呈增長趨勢。現在,使用SSL VPN,安全特性已經發生了改變,人們可以通過瀏覽器訪問應用程序。
如果把SSL 和VPN 兩個概念分開,大多數人都清楚他們的含義,但是有多少人知道他們合在一起的意思呢?從學術和商業的角度來講,因為他們代表的含義有所不同,因而常常會被曲解。
SSL 通過加密方式保護在互聯網上傳輸的數據安全性,它可以自動應用在每一個瀏覽器上。這里,需要提供一個數字證書給Web 服務器,這個數字證書需要付費購買,相對而言,給應用程序設立SSL 服務是比較容易的。如果應用程序本身不支持SSL, 那么就需要改變一些鏈接,這只與應用程序有關。對于出現較大信息量的情況,建議給SSL 進行加速以避免流量瓶頸。通常SSL 加速裝置為熱插拔裝置。
VPN 則主要應用于虛擬連接網絡,它可以確保數據的機密性并且具有一定的訪問控制功能。過去,VPN 總是和IPSec 聯系在一起,因為它是VPN 加密信息實際用到的協議。IPSec 運行于網絡層,IPSec VPN 則多用于連接兩個網絡或點到點之間的連接。
以上我們簡要介紹了SSL和VPN,現在我們要了解一下SSL和VPN是怎樣結合在一起的?大量理論可以證明SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力。到目前為止,SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與復雜的IPSec VPN相比,SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN, 這是因為SSL 內嵌在瀏覽器中,它不需要象傳統IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器(包括家用機,工作機和客戶機等等)需要與公司機密信息相連接的用戶至關重要。人們普遍認為它將成為安全遠程訪問的新生代。
什么是SSL VPN?
很多因素都可以證明SSL VPN 是解決遠程訪問問題的救星。隨著越來越多的公司掙扎于如何權衡訪問控制、安全和用戶易用, SSL VPN 已經給出了最好的答案。在最近Infonetics 的一份調查報告中,他們指出: “到2003 年, 59% 的移動用戶會使用VPN, 到2005 年,這個數字將上升到74%;增加的部分大多來自SSL VPN, 因為它可以避免客戶端安裝和管理所帶來的麻煩。" Gartner 副總裁John Girard 在最近的一份研究報告中為SSL VPN 做出了精彩評述:” 作為傳統VPN 的升級,那些希望使用更加簡單更加靈活的方式部署他們的安全遠程訪問系統的企業應該考慮使用SSL VPN 作為一項新的投資。現在,許多企業已經開始使用這項基于SSL 技術,簡單、易用而且不需要高額費用的VPN 解決方案部署他們的系統了。“
SSL VPN 的價值包括許多方面,最主要的是提高訪問控制能力,安全易用以及高額的投資回報率。
訪問控制SSL VPN 對訪問控制更加有效,因為實施了用戶集中化管理。所有的遠程訪問都是通過SSL VPN 控制臺進行控管,這樣可以更加有效的監控用戶使用權限,這些用戶可能是公司內部員工,合作伙伴或客戶。所有訪問被限制在應用層,而且可以將權限細分到一個URL 或一個文件。
而使用IPSec VPN, 安全權限只局限到網絡。
二、 SSL VPN 之RAP“遙訪門”
Remote Access Pass (遙訪門系統)
安全的遠程訪問解決方案
介紹
Remote Access Pass (遙訪門系統) 能夠實現基于瀏覽器來安全地訪問企業局域網內部的任何一臺Windows PC.鍵盤、鼠標以及顯示界面的變化被大比例的壓縮并加密后傳輸。使用寬帶的用戶能夠逼真地得到“身臨其境”式的體驗,即使通過撥號連接,用戶對于它那令人贊嘆的優異性能也會感到滿意。
Remote Access Pass (遙訪門系統) 包括以下功能:
遠程控制:基于任何一個瀏覽器都可以運行自適應程序,通過它就能夠交互訪問企業內網中的桌面應用(哪怕這個應用不是基于WEB的)。
文件傳輸:在計算機之間快速地傳輸文件、文件夾和共享目錄資源,而且非常簡便易用。上傳下載文件速度等同于FTP.
遠程開機:用戶可以遠程喚醒位于企業內網中自己的主機。
Java JSP: 動態運行在任何遠程終端上的JVM網頁。
Java Applet:能夠運行在任何遠程終端上的遙控訪問連接,遠程用戶端支持幾乎所有的操作系統,包括Windows、Mac或者Unix PC.
Remote Access Pass (遙訪門系統) 的整體結構由以下五部分組成:
企業內網主機:處于內網中的目標機控制權屬于用戶自己,由已被授權的用戶注冊目標計算機。在注冊過程中,將由遙訪門基于RSA算法產生證書給目標計算機,連同目標計算機的私鑰存于目標計算機中,以認證目標計算機和用戶的所屬關系及建立SSL安全通道。
遠程終端:在用戶端,工作人員需要打開瀏覽器,訪問企業的公共IP地址,輸入用戶名和密碼,然后點擊所要連接的目標主機名。遠程用戶端會自動向App模塊發出一個基于SSL協議的加密請求。
App模塊:偵聽外來的連接請求,并把他們映射給注冊的目標機。
通過遠程瀏覽器動態運行JSP與該模塊中的Java servlet的對應交互, 實現認證及文件的傳輸。 同時,當一個遠程遙控連接完成,App會分配一個session任務給Relay.此時,遠程終端的Java Applet程序自動裝載運行,任何一個細小或簡短的事件都會被精確地執行。
Relay中繼:負責在遠程終端和內網主機之間傳送高壓縮比的加密數據包。
Admin系統管理平臺:可以使企業管理員輕松地完成增減用戶,設定帳號臨時失效或有效,刪除目標主機等工作。
任何一個企業最關心的都是如何保持企業網絡的完整性和敏感數據的機密性。基于Internet來向移動工作者擴展企業的網絡應用時,安全是最關鍵的要素。
Remote Access Pass (遙訪門系統) 正是基于密鑰安全措施來得以建立和發展的,正如本文所描述的那樣。
徹底的安全性
Helm Systems提供的Remote Access Pass遙訪門系統是一個非常強大、堅固和安全的系統。
安全的設備
Remote Access Pass (遙訪門系統) 作為硬件工作設備,對于未授權的普通人員是無法對其進行控制和管理的,甚至它連顯示屏幕都沒有提供。只有企業的系統管理員才能夠通過登錄來對其進行管理設置,而且所有的操作都是非常簡單和容易的。
安全的應用平臺
Remote Access Pass遙訪門系統運行在堅固的、高品質的、可靠的Linux應用平臺之上。所有的遙訪門系統都通過了突破測試,它們時刻監察著任何可疑的行為并做出詳細的系統記錄。
可靠的、伸縮性的系統結構
整個系統結構設計是可靠而又安全的,支持集群及冗余功能保證了系統的高實用性和伸縮性。
大量的圖像壓縮和加/解密工作分布在遠程終端和內網主機上,而遙訪門系統的核心模塊則主要負責在連接之初對用戶和微機雙方的身份進行驗證、在遠程終端和內網主機建立連接后的交互會話過程中,不斷對雙方身份的真實性進行再次驗證以及抵御外界的非法侵入。這樣就非常有效地解決了常見的網絡瓶頸問題,而使系統能夠得到最佳性能。
保護用戶的機密
Helm Systems知道,任何一個企業對于網絡建設最關心的是安全性。Remote Access Pass (遙訪門系統)
提供強大的安全保密策略來保證個人用戶或企業的信息不被泄露。
訪問用戶信息企業的系統管理員是唯一能夠管理控制Remote Access Pass (遙訪門系統) 的人,當然,這是在被允許的受限范圍內。為了進行更好地技術服務,他們要進行一些大家都知道的必需的基本工作。
Remote Access Pass (遙訪門系統) 的session記錄將被企業用來進一步提高網絡服務的質量和進行性能分析。遙訪門系統記錄了交互通訊中的域名、瀏覽器和MIME類型。當然,這些數據是集中體現和記錄的,它不會同任何的個人或企業帳號發生關聯。
確保傳輸的保密性
使用Remote Access Pass (遙訪門系統),系統管理員能夠訪問到企業內帳號的使用摘要,而不會訪問到某個用戶的遠程聯接中去。事實上,盡管Remote Access Pass (遙訪門系統) 的Relay中繼承擔著遠程終端與內網主機之間的交互傳輸工作,但這些信息包都是加密傳輸的,任何人都無法破解傳輸信息。除了使用者之外誰也無法擁有產生密鑰的計算機遙控密碼,因此每個人建立的session活動都不會受到任何的安全威脅。
安全的管理策略
Remote Access Pass (遙訪門系統) 為企業的系統管理員提供一個安全的系統管理平臺,通過它可以控制管理那些合法職員的訪問和阻止未授權人員的連接。
安全的操作界面
在線的系統管理平臺無須安裝任何客戶端軟件,只需通過一臺內網計算機采用瀏覽器就能實現管理。一旦企業安裝部署了Remote Access Pass (遙訪門系統) ,該企業的系統管理員會收到詳細的使用說明。
Remote Access Pass (遙訪門系統) 基于X.509數字簽名體系進行驗證,管理員身份還需通過用戶名/密碼的再次認證。建立連接后,所有的傳輸管理都是基于加密的SSL協議來進行,以此保護企業和個人機密不被泄露和修改。
添加新用戶
只有系統管理員是唯一被授權可添加新用戶的人,管理員通過系統管理平臺可以輕松地進行增加用戶的操作。系統會向每個新用戶發送郵件,郵件信息中包含了暫時的隨意密碼。之后,用戶自行更改密碼。
該密碼通過MD5等一系列不可逆算法變換成新的大數密碼存入數據庫,以便認證。這種方式非常適合企業進行大范圍的網絡部署,而又保持了嚴謹的企業認證管理。
停用和刪除用戶帳號系統管理平臺還可被用來檢查個人或群組的活動狀態,可以臨時地停用或永久地刪除用戶帳號。對于受到影響的用戶,系統會自動向他們發送郵件來說明帳號被停用或刪除的信息。在其后,這些帳號的用戶,他們的訪問要求都會遭到拒絕。
安全的安裝服務
Remote Access Pass (遙訪門系統) 的軟件安裝和升級程序都是從企業安全的角度來考慮和設計的。
數字簽名的應用軟件
在內網中的用戶通過“注冊計算機”操作來進行主機服務程序的自動下載。在注冊過程中,將由遙訪門基于RSA算法產生證書給目標計算機,連同目標計算機的私鑰存于目標計算機中,以認證目標計算機和用戶的所屬關系及建立SSL安全通道。內網主機的注冊程序是必須的,而客戶端則不需要安裝任何軟件。
所有Remote Access Pass (遙訪門系統) 的應用程序都是經數字簽名的,而且它們會保持自動更新和升級。所有的安裝和升級過程都要經過簽名驗證,這是為了防止那些偽裝成合法Remote Access Pass (遙訪門系統) 軟件的“特洛伊木馬”程序。
在客戶端沒有任何安全參數的設定,系統只驗證用戶的登錄名、帳號密碼和計算機遙控密碼。此舉是為了防止用戶發生錯誤的參數設置,因此,每個用戶都要安全地保護自己的密碼。
防火墻的兼容性
Remote Access Pass (遙訪門系統) 具備防火墻友好性。它僅利用HTTP/TCP的80、443端口實現訪問。因為大多數的防火墻都是開放了這些端口與互聯網進行通訊。使用遙訪門系統進行遠程訪問,您就不需要設置旁路訪問或對總公司、分公司、遠程辦公場所的防火墻設置進行任何改變。
許多其他的解決方案都要求目標主機具有公用的IP地址。而Remote Access Pass遙訪門系統則不同,內網主機會以固定的時間間隔,向App模塊不斷發送“Upcall”命令以檢查連接請求。這就使得遙訪門系統同各種應用代理的防火墻、動態IP、NAT/PAT設置完全兼容。因此,企業能夠非常容易和簡單得對Remote Access Pass(遙訪門系統)進行控制管理。
保護計算機訪問
企業內網中的目標主機必須進行遙訪門系統注冊才能夠建立遠程連接。注冊程序必須在目標主機前物理地進行,它不支持遠程部署,這樣也防止了“安置”特洛伊程序的可能。
只有已被授權的用戶才能對自己的微機進行注冊。作為計算機的擁有者,他必須以授權的用戶名、臨時密碼登錄,然后開始進行自身微機的管理工作,包括注冊目標主機、修改臨時密碼和建立計算機遙控密碼。
保護機密數據
Remote Access Pass (遙訪門系統) 將數據形成高壓縮比的加密包來傳輸,它能保證數據的安全性而并不以犧牲性能為代價。所有在客戶端和目標機之間的傳輸應用,例如屏幕圖象、文件傳輸、鍵盤/鼠標輸入等,都是基于安全的SSL協議的加密保護。
當每一次合法聯接最初建立之時,遙訪門系統會為其分配一個一次性的隨機32位數。通過這個隨機數系統可以確定當前連接的唯一性,這樣就防止了黑客采用重放技術進行攻擊或加入合法連接的可能。
對于第三方攻擊者來說,加密的二進制數據使得通過傳輸分析來修改信息包或猜測加密密鑰的工作變得極度困難。
受嚴格驗證保護的訪問
Remote Access Pass (遙訪門系統) 的機密性是建立在嚴格的、強大的驗證基礎之上的。Remote Access Pass (遙訪門系統) 的每部分,包括App模塊、Admin管理平臺、Relay中繼、遠程終端和內網主機都會得到同樣嚴格地驗證,只有驗證通過才能夠加入到安全的企業資源中來。
長串組合的復雜密碼Remote Access Pass遙訪門系統要求每個被設定的密碼可以包含字母和數字,并支持大小寫敏感。密碼設置的越長、越復雜,就會得到越強壯地保護。
多級的嵌套密碼
用戶在輸入登錄密碼時,遙訪門系統采用了密寫技術來保護敏感數據,輸入的密碼都采用了密文顯示。
Remote Access Pass (遙訪門系統) 使用多重嵌套密碼以保證其安全性。APP模塊使用數字簽名進行自身驗證,對于所有的Java程序和系統軟件它都會進行數字簽名。遠程用戶的驗證通過基于MD5算法加密的用戶名/密碼登錄來實現。當內網主機向App注冊時,將由遙訪門基于RSA算法產生證書給目標計算機,連同目標計算機的私鑰存于目標計算機中,以認證目標計算機和用戶的所屬關系及建立SSL安全通道。
端到端的驗證
當遠程終端同內網主機建立連接時,他們同樣使用用戶二次輸入的密碼(計算機遙控密碼)對保護數據的密鑰來進行加密交換, 即使用遙控密碼對這個密鑰碼進行數字簽名。達到遠程終端和內網主機間數據包的加解密。該密鑰保護基于Trib-DES算法的簽名信息來進行相互的認證。
只要用戶安全地保護他的密碼,那么就只有他本人才能夠建立與內網主機的連接。
休止超時設定
遠程訪問者可能會沒有Logout就離開了公用的PC或是無人管理的家用PC.Remote Access Pass(遙訪門系統)會采用休止狀態的超時設定功能以減輕來自這方面的危險。如果用戶的Session保持15分鐘的休止狀態,遠程用戶帳號將自動從Remote Access Pass (遙訪門系統) 退出登錄。
遠程終端不留痕跡
遠程終端僅使用瀏覽器及動態運行Java JVM, 當用戶退出該應用或關閉瀏覽器后, Session將被清除, 在遠程終端不會留下任何用戶痕跡。
系統級的訪問控制
Remote Access Pass (遙訪門系統) 提供系統級的遠程訪問控制技術,能夠使用戶更有效的控制企業局域網中的資源。使用遙訪門系統的遠程用戶輸入他的Windows登錄密碼,而后他就取得了企業為其授權的文件級、擁有者和域級許可權限。換句話說,遠程用戶并沒有另辟奚徑來訪問企業內部網,他們只能進入到專有的桌面應用,而且是在現有局域網的管理控制之內的。
為公司提供監控訪問
通過Remote Access Pass (遙訪門系統) 的系統管理平臺,企業可以記錄連接情況和維護session日志,這都是出于安全、統計和審核的目的。
企業的系統管理員能夠查看活動中和歷史的session記錄。包括用戶名、主機名、客戶端的IP地址、session的開始/結束時間、session使用時間以及session的類型。
同樣也能夠通過遙訪門系統的Admin管理平臺,來統計各種所需的數據,包括用戶數量、session統計、session接入時間等。標準的統計報告可用來進行“非常規訪問”模式的分析,包括例外的長時間session、意外的客戶端IP地址、異常關閉的代碼等。這些信息對于進行故障診斷、排除問題是非常有益處和幫助的。
系統管理員對于這些信息的訪問都是在限制范圍之內的,他們只會進行一些必要的基礎工作。
遠程內網WEB服務器訪問
總結
SSL VPN之RAP的作用:提供安全的遠程訪問服務并以實際行動來保護用戶的機密;不斷完善企業級結構的安全和遠程訪問控制工具;采用多級認證和先進的加密技術來保護交互式的遠程session的安全性。其最終結果就是:Remote Access Pass (“遙訪門”系統) 是強大的、安全可靠的遠程訪問解決方案。
國外SSL VPN的技術優勢、劣勢
1、 大部分國外產品經過國外市場的考驗,基本上是成熟產品,但是不乏有一些為了趕上SSL VPN這個時髦概念的偽SSL VPN產品
2、 國外的SSL VPN除了whale communications外其他的產品都是采用的反向代理技術來處理內部的HTML網頁,所以導致很多特殊的應用不能支持
3、 很多國外產品并不是嚴格的無客戶端的產品,在很多實際應用的時候采用了動態下載插件或者ActiceX等方式,帶來不安全隱患,而且技術上也比較簡單,容易實現
4、 國外SSL VPN 通常不支持遠程桌面的訪問
5、 國外的SSL VPN產品目前來講,支持的應用比較豐富,比如郵件、lotus 、exhange、ftp、telnet、等應用目前已經支持