除了传统的VPN方式,职员还有其他一些远程登陆公司网络并使用其资源的选择。Informit.com的一篇文章称,如果你将访问和安全的需求与开销和复杂性相权衡,也许你会寻求除了传统的VPN之外其他的选择。
远程访问网络的最好方式是什么?
固定的虚拟专用网络(VPN)是最能使网络管理员安然入梦的答案。VPN采用端到端的加密方式在公网上建立一条独立传输信道。
最安全的VPN的传统做法是,职员远程从固定地点,最理想的是采用可控的,公司提供的设备,连接到安全的私有网络。建立这样的连接设置需要花费相当的精力,不管用户采用软件,固件还是硬件,你都需要在两端建立并维护硬件、软件以及各种设置,同时还包括认证。但是所获得的安全性将使你感到付出的劳动是值得的。
现在,我们看看相关的协议。在这方面,一共有三到四个协议。其中只有一个值得我们特别重视——IPSec,它足够安全,特别是在和L2TP一同使用时。
IPSec是合格的选择。它在数据包级进行加密。PPTP具有较弱的密钥,较弱的密码散列算法和不可靠的通信控制。L2TP数据可以被网络嗅探器读取。但是,当与IPSec结合进行加密时,L2TP变为不可读,并为IPSec提供多种协议的认证访问。需要注意的是,购买的设备需要支持IPSec与L2TP结合的标准。
SSL
也许你的员工工作地点不固定,他需要从不同的地点进行访问。销售人员是最典型的例子,他们也许会从旅馆房间或客户那里连接到你的网络。
对于这些用户来说,事情可以变得更简单,这取决于他们需要从你的网络取得什么样的权限。近年来,SSLVPN设备已经浮出水面,如Aventail和Juniper公司的一些产品。它们对访问者无任何其他要求——不需要安装软件,不需要匹配的硬件,只需要其使用支持SSL的浏览器。远程用户可以从任何具有SSL浏览器或公共信息亭的地方登陆VPN。
网络管理员事先设置访问权限和认证形式,根据不同的用户以及他登陆位置的安全程度等因素制定不同的规则。如果用户从公共信息亭电话拨入,那么他将看不到那些他从家中经过许可的设备上登录所能看到的信息,如病例档案——如果网络管理员设置正确的话。你不会希望你的医生在机场查看你的病历——因为他有可能忘记退出系统,那样的话,其他机场的旅客也将会有机会对你的病历进行一下分析。
以上是SSLVPN的一个安全问题。另一个SSLVPN的安全问题是,最近发现,尽管VPN具有清除自己缓存的工具,但是本地的桌面搜索引擎会保留SSLVPN会话,并对其建立索引。目前已经出现了一些SSLVPN制造商提供的工具来对付这一新的安全威胁。
终端服务(TerminalServices)
微软终端服务使用户从远程以精简客户机形式使用应用程序。终端服务,作为WindowsNTServer4.0TerminalServices版、Windows2000以及.NETServer的一部分,对许多具有身份胸牌的企业和远程访问时须出示认证标识的职员来说是一个历史悠久的制度。从用户登录起,每30秒用户得到一个新的密码号,用户需要将此信息连同他的登录信息一起输入。这当然只是认证的方法之一。
“终端服务器“从最初发布的时候,就象它的前辈CitrixSystems公司的CitrixWinFrame一样,成为对诸多企业颇具吸引力的一种提供员工远程登录的方式,至今仍然如此。融合了Citrix的’SecureICAServices,128位端到端加密,TermServer的数据流变得更加安全。但你不得不去考虑那些在安全登录以后发生的情况。
远程控制
也许最易于设置,成本最低的远程职员接入方法就是远程控制,例如Symantec的PCAnywhere。这些产品使远程用户可以控制远端办公室中的设备。开放源码的VNC是一种选择,它可以在Windows、Mac、Linux和其他平台上运行,它使用起来比较复杂,而且需要掌握相当的额外技能。但你只需在你觉得它胜任的情况下才为它埋单。
一些远程控制软件,如Netopia的TimbuktuVersion7,在将你屏幕的备份通过internet发送的时候,采用非标准化的加密。目前,Timbuktu采用私有的方法将位打乱,并将屏幕的部分随机处理。专家建议不要采用私有的加密方法,因为,即使是很出名的方法也常常经不起严格的检测,此外,对于一种私有的加密方法来说,你很有可能会碰上挂羊头卖狗肉的情况。(Netopia称,在下一版本的Timbuktu中,它们将采用一种目前尚未公布的标准加密方法。)
目前,Altiri公司的CarbonCopy软件只在认证时采用128位的MD5加密方法,在2004年曝光的MD5所具有的冲突性弱点对CarbonCopy来说将不会是个问题。CarbonCopy的数据流通过对每个发送的数据包采用64位的私有加密密钥进行防护。用户可以任意定义对数据流进行认证的密钥——如果他们能提供密钥的话。
Symantec刚刚发布了具备同时为认证和数据流进行AES加密(达到256位加密长度)的PCAnywhere11.5。此一新版本的PCAnywhere同样提供了主机地址屏蔽,13种认证方法(包括RSASecurID认证),可以识别TCP/IP地址和子网以决定是否允许接入,以及将PCAnywhere主机从TCP/IP浏览器列表中隐藏的选项。
在购买产品前,需要仔细阅读安全规范说明,因为情况在不停地变化,到BugTraq根据产品名录查找(按时间顺序)相关的安全报告。
同时,确定你可以清空办公室电脑的屏幕显示,这样远程职员就不会担心他们在家中所做的事情被其他人看到。