许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证,过于简单的认证容易帐号遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统。结合多因素组合认证、登录后的主从帐号绑定,实现指定的用户登录SSL VPN后通过指定的帐号访问指定的应用,达到增强重要系统认证安全性的目地。
1.1.2 终端访问安全
1.1.2.1 沙盒技术
某些核心系统中包含有较为重要、敏感的数据,通常仅可在内网中访问这些应用系统。但为了方便办公的需要,需要让用户能在酒店、机场、家中等外网环境通过SSL VPN访问到这些系统。但应用的访问往往会将部分数据留在本地,如Lotus Notes平台、交易系统、OutLook等。如此一来,就形成了远程办公与数据安全的矛盾。
为了解决此类问题,SANGFOR SSL VPN采用了沙盒技术,可指定部分或全部对数据安全性要求较高的应用必须置于安全桌面中访问。当客户端登录SSL VPN后,将在客户端自动使用虚拟技术生成与原有默认桌面完全一样一个封闭式的安全桌面(沙盒),用户在通过SSL VPN访问启用了安全桌面的应用时,终端与服务器端所有交互的应用数据将仅会保存在该沙盒之中,并进行高强度的加密。
在该沙盒中的数据,无法通过拷贝到本机默认桌面、拷贝到外设、与局域网通信、与外网通信等任何方式将数据传送到沙盒之外。
当用户退出SSL VPN之后,沙盒中的所有数据都进行清除,所有的操作将会被重定向。即使是断电导致的安全桌面崩溃,沙盒中的数据也是通过高强度加密保证安全性。下一次SSL VPN登录启动时,安装桌面会自动检测之前的遗留痕迹并进行清除。
在安全桌面内可做到:
禁止与本计算机通讯:禁止安全桌面与默认桌面通信
禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。 禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏 禁止使用外设拷贝(USB,打印机,COM,CD-RW等)
1.1.2.2 客户端安全检查
组织的网络往往采用了防火墙、防毒墙、IPS等完善的安全设备对内网进行保护。但用户因出差等原因,往往需要走出内网,使用家中、酒店、网吧的电脑通过SSL VPN连接到总部的网络进行远程办公。一旦成功建立了SSL VPN连接,就相当于总部的网络边界扩展到了这些终端上。而公共电脑普遍安全防御水平都不高,病毒木马众多,若是不采用很好的防范机制,这些安全威胁将通过SSL VPN隧道直逼总部网络,造成重大安全隐患。
对于终端接入的安全需要从终端本身方面保证,控制终端的必须达到一定的安全标准才允许接入,避免危险终端的接入。SANGFOR SSL VPN支持根据客户端安全检查结果进行相应应用访问权限的准入和授权。准入即是否允许该用户登录SSL VPN,授权即达到了某一安全级别可授予该用户什么样的应用权限。
客户端安全检查的准入
SANGFOR SSL VPN设备支持对操作系统、注册表、文件、进程、登录IP(用户端)、接入线路IP(设备端)、使用终端、登录时间进行“与”、“或”组合的登录前登录后全程检测。通过客户端的安全检测,可限定用户在指定的IP范围、使用指定安全级别的终端(计算机系统是否打了补丁、是否有安装相应的杀毒程序)、在指定的时间、通过指定的线路进行SSL VPN登录,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。
SANGFOR SSL VPN内置客户端安全检查策略库,并支持自动升级,为用户提供更加灵活的端点安全控制策略,提高系统整体的安全性。
客户端安全检查的授权
SANGFOR SSL VPN支持根据客户端安全检测结果基于角色进行相应的准入和授权控制。管理员可依据组织自身的安全需求,设定客户端安全检测的组合规则,并根据不同的检测结果判断是否允许该客户端进行接入、允许接入后能访问什么应用。
通过准入和授权的配置组合,可达到以下效果:
(1)对于登录时间、地点、终端不符合要求的主机,可通过策略规则的组合不允许该主机接入SSL VPN或只允许其访问一些基本的如内部BBS等应用;
(2)对于符合登录时间、地点、终端要求的主机,并达到一较低安全水平的主机,允许其使用安全级别要求较低的应用,对于安全级别要求较高的如财务系统、订单系统等应用则不允许其访问;
(3)对于符合登录时间、地点、终端要求的主机,并符合较高安全水平的主机,允许其享有该用户可拥有的所有应用的访问权限。
1.1.2.3 防中间人攻击检测
中间人攻击SSL攻击危害较大的一种方式,可在用户完全不知情的情况下进行SSL会话劫持及伪造,从而进行传输数据的截取,譬如用户登录某个应用系统的用户名密码、交易数据等。目前主要的中间人攻击可分为两种方式,最为常见的为会话劫持及证书伪造的攻击方式,另一种为采用SSLStrip攻击的方式。
为了保证在终端上登录SSL VPN的安全,SANGFOR SSL VPN采用了防中间人攻击检测技术,通过真实服务器证书校验、HTTPS页面修改检测、页面跳转检测等技术对客户端中间人攻击进行全面的检测,并进行安全告警,保护客户端安全。
深信服VPN产品介绍(白皮书)
