虛擬專用網絡(VPN)允許不同的私有網絡被連接到一個公有網絡中。由于VPN端點之間的通信會經過一個公有網絡,因此需要被妥善保護,防止竊聽發生。使用一個VPN服務有很多益處。其中一個好處就是能夠在不在辦公室的時候訪問公司的內網,或者將兩個物理上分散的內網連接到一個統一的內網上。
虛擬專用網絡(VPN)允許不同的私有網絡被連接到一個公有網絡中。由于VPN端點之間的通信會經過一個公有網絡,因此需要被妥善保護,防止竊聽發生。使用一個VPN服務有很多益處。其中一個好處就是能夠在不在辦公室的時候訪問公司的內網,或者將兩個物理上分散的內網連接到一個統一的內網上。
盡管VPN具有以上這些優點,也有一些嚴重的風險,企業必須做到心中有數。本文將重點討論如何減輕SSL VPN的安全性問題。
如何檢查VPN安全
取決于滲透測試期間所檢查的VPN的類型,有不同的流程可以遵循。不管使用哪種VPN類型,基本的測試步驟包括:
偵查:決定使用的VPN類型和VPN進程監聽的端口。這可以通過端口掃描工具如Nmap做到。根據不同的VPN類型,服務有時候監聽在UDP端口500上(IPSec),TCP端口1723,TCP端口443(SSL VPN),UDP端口1194(OpenVPN)或者其他非默認的端口上。
溢出:在成功的識別出VPN關聯哪個端口后,可以通過Ike掃描工具確定具體的廠商和守護進程的版本。然后檢查該廠商是否包含任何已有的CVE漏洞,可以被Metasploit框架中的已有exploit或者新寫的exploit利用。
認證:監聽傳入連接的守護進程必須正確檢查客戶遞交的口令。不要只是依賴于用戶名、密碼和使用安全證書來提高VPN服務的整體安全。應該有恰當的密碼政策確保強密碼和證書一起使用來限制暴力攻擊。
強化VPN安全來防止問題
要強化OpenVPN的安全,請編輯它的配置文件。配置文件通常在VPN守護進程運行參數上加上“--config”命令行選項。如果你使用“ps --ef”命令加grep查看所有的OpenVPN進程信息,就可以找到這個配置文件的位置并據此來查看文件內容。
所以當VPN服務被引入到網絡中,需要遵守某些建議以確保VPN服務的安全性。有了這些安全措施,攻擊者將不再容易的穿透內網。即使在零時差漏洞的情況下,也存在一些安全實踐可以限制攻擊者,甚至是在系統已經被成功的攻破后。
VPN守護進程的配置的重要部分是要在低權限的用戶帳號下運行守護進程,這防止攻擊者對目標系統執行破壞性的活動。在VPN進程里遵從和實施恰當的安全措施也許正是企業減少VPN安全問題和保護自己免受網絡攻擊所需要的。
免責聲明:本文內容由互聯網用戶自發貢獻自行上傳,本網站不擁有所有權,也不承認相關法律責任。如果您發現本社區中有涉嫌抄襲的內容,請發送郵件至:operations@xinnet.com進行舉報,并提供相關證據,一經查實,本站將立刻刪除涉嫌侵權內容。
增值電信業務經營許可證:B1.B2-20140435 京B1.B2-20070152 域名注冊服務批文號:京信信管發〔2019〕94號 京ICP證000012號
京公網安備11030102000056號
京ICP備09061941號-4
Copyright©1993-2021 北京新網數碼信息技術有限公司 版權所有
商品已成功加入購物車
