分级控制的VPN安全接入研究
2010-03-21洪新华
洪新华
浙江师范大学信息化办公室 浙江 321004
0 引言
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿越安全威胁无时不在的公用网络的安全、稳定的隧道。校园网 VPN 是对校园内网的扩展,通过它可以实现用户在任何时候、任何地点,与校园网建立建立可信的安全连接,访问校园数字资源,并保证数据的安全传输。但是在公用网络上安全威胁无时不在,且呈现快速增长态势,攻击、扫描、入侵、攻击、蠕虫病毒攻击等等,而VPN作为公用网络进入校园网的一扇门,其安全尤为重要。在向师生提供 VPN访问校园网资源服务的同时,也要防范各类攻击通过VPN通道向校园内网渗透,保护好内网安全。
1 VPN技术与安全威胁
随着信息技术的发展,IPSec VPN、SSL VPN、MPLS VPN等VPN技术已经投入实际进行应用,接入方式有内部接入、访问接入、外部接入等。这三种 VPN技术各有所长、各有特色,比如IPSec VPN一般需要客户端,而SSL VPN可不用客户端。三种接入方式也各有所异。校本部与分校区之间通过公网构筑的虚拟网是内部接入方式。师生或学校驻派机构通过公网远程拨号的方式构筑的虚拟网是访问接入方式。高校之间基于资源共享通过公网来构筑的虚拟网则是外部接入方式。其中 IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。它能为我们提供共同操作与使用的、高品质的、基于加密的安全机制,提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。而SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。SSL是一种高层安全协议,建立在应用层上,使用公钥加密并通过SSL连接传输数据来工作。SSL VPN使用SSL协议和代理为终端用户提供Http、client/server和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证,确保只有通过安全策略认证的用户可以访问指定的资源。
基于访问接入方式的 VPN应用服务在校园的推广,学校师生享受到了在校外访问校园网内部资源的便利,可以通过VPN访问校内图书馆数字资源,可以访问校内基于ftp共享的视频、软件、课件等资源,可以访问校内财务的、教学的、人事、科研的等管理信息系统。但与此同时也给校园网引入新的安全风险。公网上各种安全风险,如病毒蔓延、黑客攻击等有了一个新的切入点。黑客有可能通过弱口令攻击首先获得一个VPN账号,然后VPN登入校园网,攻击校园网内个人电脑、服务器、网络设备,进行篡改数据、获取机密等攻击活动。而合法用户电脑上的病毒则可能在合法用户正常 VPN登录连接到校园网之后,乘机向校园内网蔓延,危害内网。合法用户也有可能因滥用 VPN,影响其他 VPN的正常使用。若没有合理控制机制,公网上的安全威胁极有可能危害校园内网,给我们带来损失,由此引发的安全事件也变得很难追踪和定位。通过实际应用,本文提出一种分级控制的VPN接入解决方案。
2 分级控制的VPN接入解决方案
(1)资源分级
连接在校园内网上有师生的个人电脑、服务器、网络连接设备等,受到的安全威胁各不一样。VPN接入背景下,个人电脑主要防范病毒感染,服务器则要防范病毒感染、黑客攻击,网络连接设备则主要防范黑客攻击。服务器和网络连接设备一般 7*24小时运行,则更容易成为受害对象。运行在校园网上服务器因应用不同而呈现多样性,主要有邮件系统、基于ftp的文件共享系、视频点播系统、管理信息系统(财务的、人事的、科研的、教学的等)、图书馆数字资源、bbs系统、科研项目系统等。各个系统对安全的要求不一样,防范的重点也不一样。比如邮件系统与管理信息系统要求正常运行,并保证数据的完整性、机密性等、正确性;而基于ftp的文件共享系于视频点播系统要求正常运行,主要保证数据的完整性和正确性,以及防滥用、防添加非法视频数据;图书馆数字资源要求正常为师生提供查询服务,主要保证数据的完整性、正确性;科研项目系统则防范数据的机密性;bbs系统要重点防范不良信息的蔓延等等。通过 VPN访问校内各应用系统,获取各种校内资源,对网络带宽的资源也个不一样,一般而言视频点播及下载大文件会占用较大带宽,易造成带宽拥挤,影响其他用户使用,需要进行QoS(Quality of Service)服务质量管理。
鉴于各资源的重要性和各系统对安全性的要求,将校园网上资源进行分级,有不开放级、低开放级、中开放级、高开放级。不开放级别包含了路由器交换机等网络设备、DNS服务器、dhcp服务器、email服务器、以及其他高安全、高机密要求的不宜开放的应用系统。低开放及包含了视频点播系统、需临时开放的应用系统(比如成绩录入系统)等。中开放级包含了财务查询系统、教学资源等可以在比较大的范围内开放的资源。高开放级,主要是图书馆的数字资源,可以向所有用户开放,本身没有安全漏洞,安全威胁小。
(2)用户分级
访问接入 VPN主要为在外师生、学校驻派机构、临时人员等提供通过 VPN通道穿越公网远程访问校内各资源。绝大部师生(包括在教师、一般行政人员、在职研究生、合作培养的研究生等)都需要访问校内图书馆数字资源,如学术期刊数据库、万方数据库、天宇数据库等;任课老师和教务管理人员需要访问成绩等教学管理系统进行管理,学生仅需要查询自己的成绩;在岗教工则需要进行工资等财务查询,浏览校内通知等;部分教工则希望观能访问校内视频点播系统(包括教学的和娱乐的),而学生则希望访问教学视频点播系统;一些管理人员还希望访问其管理的校内服务器等等。然而VPN接入的重点在向师生提供远程访问图书馆数字资源、教学资源,远程浏览校内通知等。VPN系统有他自己性能瓶颈以及校园出口带宽瓶颈,这些都影响对用户的分级。结合用户实际需要、安全需要和性能瓶颈,将用户分为临时级、学生级、教师级和管理级。临时级人员具有在特定时间内远程访问校内特定资源的权限。学生级用户仅限于远程访问校内学习资源,查询成绩等,教师级用户可以远程访问校内教学资源、浏览校内通知、进行工资等财务查询;管理级用户则需要远程访问校内网更多的资源,进行教学的、科研的以及社会服务的活动。
(3)基于分级的安全控制
针对资源分级和用户分级,进行有区别的控制。首先是访问权限的控制,向各用户按其分级发布其能访问的校内资源,这样用户登录后只能看到各自能访问的资源。IPSec VPN下,可以为各级用户分发不同段的内网 IP,对不同段 IP进行包转发控制以及访问控制,并结合用户分级与资源匹配以实现用户分级。而SSL VPN通过用户分级与资源匹配以实现用户分级访问控制。其次是安全的控制,针对资源分级进行区别的安全控制,在防火墙或交换机上做访问控制,比如图书馆资源只开放http服务即80端口等,由此建立相应资源规则,设定默认规则所有资源不可见,资源规则优先级高于默认规则。针对用户分级进行有区别的安全控制,用户只可见其能访问的资源,其不可见的资源就是不能访问的。结合分级对用户认证进行区别对待,用户认证可以是密码验证、短信验证、数字证书、指纹认证等。考虑到方便性和易实现性,对一般用户进行密码验证,并区别用户级别进行密码强度要求。对管理级用户要球进行短信验证,严防被冒用。另外结合附加码以及5次登录失败则限制其当天再次登录等手段严防账号被冒用。再则是服务质量的控制,按提供远程访问校内资源服务的优先级进行服务质量控制,优先保证远程访问图书馆数字资源、教学资源等网络带宽,适当限制远程访问娱乐资源的带宽,可按时段区别对待。最后是审计的控制管理,做所有用户的访问日志,考虑到资源分级、用户分级及管理成本,区别审计不同级别资源访问日志、不同用户的访问日志,对安全风险、高安全要求的资源和高权限用户加强审计,审计时间间隔要小。
3 结束语
VPN技术的在校园网上的应用,突破其物理界限,使学校师生也能在公网上通过 VPN访问到校内资源,大大方便了师生在外获取校内丰富的教学资源,更好地参与教学、科研、社会服务和管理活动中去。但 VPN接入也为校园网带来了来自公网上的安全危险,如黑客攻击、病毒等。通过分级控制可以有效降低 VPN接入的安全风险,并保证师生稳定有效率地远程访问校内资源。
[1] 李之棠,贺济美,雷杰.SSL VPN 的安全漏洞及其解决方案[J].计算机工程与科学.2006.
[2] 郝玉洁,冯银付,赖攀.基于指纹识别的VPN身份认证研究[J].计算机应用.2009.
[3] 张超.SSL VPN客户端实现技术研究[J].电脑知识与技术.2008.
[4] 赵晖.网络安全概述[J].福建电脑.2007.
[5] 寻大勇.SSL VPN网络安全技术的应用研究[J].通信技术.2009.