ChinaUnix首页 > 精华文章 > VPN > 正文

[原创] 关于真真假假 SSL VPN的困惑

http://www.chinaunix.net 作者:dmacy  发表于:2009-04-14 10:12:19
发表评论】 【查看原文】 【VPN讨论区】【关闭

[size=4]国内安全市场SSL VPN现状[/size]

   最近因为项目需要,研究了一下SSLVPN技术及市场。随着用户对网络安全的日益重视以及出于经济方面的考虑,VPN得到了广泛的使用。传统的IPSecVPN由于部署和维护成本比较大,其市场正逐渐被SSL VPN瓜分。目前的安全市场中,林林总总的SSLVPN产品有很多,包括国内和国外的一些著名和不著名的厂家,比如J**,C**,S**,F**,T**,N**,H**等等,其功能基本上大同小异,所以看似用户的选择很多。
    
[size=4]SSL网关还是SSL VPN?[/size]

    那么,如此众多的产品,真的都如其宣传的那样,能够为用户的远程访问提供安全防护?

   SSL VPN之所以能够部分占领IPSec VPN市场,易用性是其一大亮点。不管是哪种SSL VPN解决方案,都认同SSLVPN的一个特性是易于使用。问题的关键是,几乎所有的厂家都将易于使用等同于无须安装客户端(通过浏览器访问),并将其作为市场宣传的一个亮点来吸引用户的眼球。更有甚者,将需不需要安装客户端软件当作判断是否是SSL VPN的一个先决条件。那么,是不是通过浏览器访问就真的易于使用,或者,通过专用的客户端就不易于使用呢?

    媒体混淆了人们的视听,影响了人们的判断。

    翻开这些产品的用户手册,或者技术白皮书,基本上可以看到“SSL VPN”的使用过程:使用浏览器通过https连接至网关,认证通过后,会进入VPN门户页面,其上定义了远程用户可以访问的内网网络资源,通过这些资源的链接进行访问。

    这些门户页面上的远程资源需要预先定义,并且在访问过程中,门户页面不可关闭,不然就要重新认证一次,对于页面上未定义的资源,远程用户是无法访问到的,比如,你可以ping内网一台机器,看它是否会回应。

    对于c/s架构的应用程序,需要安装java applet或者activeX插件,否则也是没法使用的。这里,我们安装了不是客户端的客户端,呵呵。

    这就是SSL VPN?

   首先来看VPN的定义。顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能,所以,从逻辑的层面看,专用网络和虚拟专用网络,对于用户的体验应该是相同的。在专用网络上,我们的所有流量都通过这个通道进行传输,我们不需要关心它具体是什么流量。VPN扩展了我们的内部网络,资源在内部网络内应该是能够自由被访问的,而不需要关心它是什么资源(当然资源访问的前提是要符合访问控制规则)。

    而上述"SSL VPN"应用却是和应用层协议密切相关的,并且被应用层协议捆绑住了手脚。

   其实,从技术层面看,上述应用并不难实现,通过反向代理、应用转换和端口转发,我们很容易实现远程用户针对内网特定资源的访问,而上述应用只是将它封装在了https里面了而已。不知道这和VPN有什么关系?难道使用了SSL协议就是SSL VPN吗?我想不是的,你也应该认为不是的。

   用户可能认为使用了https就是安全的,因为它提供了加密。同样,很多人将VPN的安全性等同于数据加密,然而,一个比加密更为重要的问题却是通信双方的认证问题,如果你不能确定对方就是你需要通信的“人”,加密还有什么意义?不知道上述"SSL VPN"部署对于钓鱼攻击,中间人劫持是如何防护的?

    似乎可以说,上述应用只是一种基于ssl的远程访问,而并非SSL VPN。

    我们向用户提供了一个并非宣传的那样的"VPN"产品。

    误导有时候是源于无知,有时候是源于故意,但是不论哪一种,都会给用户的安全带来极大的隐患,不知道我们卖给用户产品的同时,是否也同时能够向用户承诺他们需要的安全?

    我们本末倒置了,一个底层通道能够解决的问题,我们为什么要做那么多的配置工作?

    我们本末倒置了,为了所谓的“易用”,我们舍弃了安全。
 
    当安全要为易用性让步的时候,我们还选择VPN做什么?

[ 本帖最后由 dmacy 于 2009-2-18 17:57 编辑 ]


 黑马王子 回复于:2009-02-19 10:59:58

楼主的见解很深刻,真是一针见血啊!

 wenzk 回复于:2009-02-19 22:04:37

恩,现在厂商都瞎吹嘘

 bolimeng 回复于:2009-02-19 22:52:29

很有同感

 dmacy 回复于:2009-02-20 09:41:38

主要是感觉这种误导对用户伤害很大啊。还是希望国内厂商能够创新,有自己的技术,即使没有,也要实事求是,不要人云亦云。

 flysand 回复于:2009-04-14 10:12:19

真不知道楼主对网络的认识有多深刻。殊不知何为VPN?

VPN的中文名是虚拟专用网络,解决的主要问题就是远程访问,跟安全与否又有何关系呢?

帧中继也是VPN,是2层vpn,安全么?MPLS VPN是VPN么?有心的朋友可以了解一下以上两种技术。

不要因为IPSEC VPN主要是为了解决网络安全问题,就认为VPN的主要功能是为了提供安全。概念不要混淆。

PS:SSL是VPN。是3层VPN。毋庸置疑!




原文链接:http://bbs.chinaunix.net/viewthread.php?tid=1373233
转载请注明作者名及原文出处