|
受影响系统:
Cisco VPN Client 4.8.00.x for Windows
Cisco VPN Client 4.7.x for Windows
Cisco VPN Client 4.6.x for Windows
Cisco VPN Client 4.0.x for Windows
Cisco VPN Client 3.x for Windows
Cisco VPN Client 2.x for Windows
不受影响系统:
Cisco VPN Client 4.8.01.0300 for Windows
Cisco VPN Client 4.7.00.0533 for Windows
描述:
BUGTRAQ ID: 18094
Cisco VPN客户端是多个操作系统的软件解决方案,允许运行这些操作系统的用户创建到支持Cisco VPN设备的IPSec VPN隧道。
Cisco VPN客户端实现上存在漏洞,本地攻击可能利用此漏洞提升自己的访问权限。
本地攻击者可以利用Cisco VPN客户端的Windows图形用户界面(也被称为“VPN客户端拨号程序”)中的漏洞提升权限,获得相当于本地系统的权限。用户必须能够认证并启动交互的Windows会话才能利用这个漏洞。成功利用这个漏洞可能导致正常用户或攻击者完全控制系统,规避任何Windows系统管理员所设置的控制。
<*来源:Andrew Christensen
Johan Ronkainen
链接:http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml
*>
建议:
厂商补丁:
Cisco
Cisco已经为此发布了一个安全公告(cisco-sa-20060524-vpnclient)以及相应补丁:
cisco-sa-20060524-vpnclient:Windows VPN Client Local Privilege Escalation Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml
补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/windows
#p#
结构篇——IPSec对比SSL
作为目前最主流的两种VPN协议,IPSec与SSL的争论久矣,各自优劣与企业的需求相关联,用户不得不注意。
IPSec VPN占据主流
从目前的发展情况来看,IPSec VPN和SSL VPN势头较好。事实上,企业在采购和使用过程中,基于上述两种隧道协议的产品也是应用较多的。
从体系结构上分析,IPSec VPN通过选择特定的安全协议,在IP层提供安全服务,同时协议会确定服务所用的算法,为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。
本质上IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此王景辉的看法是,IPSec VPN是基于设备的,而不是基于网络的,企业用户无须对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。
IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。一般传输模式只用于两台主机之间的安全通信。
相对而言,杨燕群认为隧道模式更适合企业使用。因为隧道模式用在网关到网关的会话或主机到网关的会话之中。它为会话提供唯一的加密通道,为整个IP包提供保护。IPSec整个协议在IP层上实现,上层应用可不必进行任何修改,并且由于IPSec在实现安全策略上的灵活性,使得对安全网络系统的管理变得简便灵活。然而,如果要一个大的点对点的企业网远程接入VPN,则其中的主机都必须被单独配置,这对企业应用VPN带来了巨大的压力,并且VPN的配置是相当复杂的,牵一发而动全身,小的失误也可能带来严重的后果。
企业用户需要注意的是,IPSec的安全性更多体现在原理本身。换句话说,相对于加密技术,攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外,如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。对此侠诺科技公司的技术总监张桢岩表示,IPSec接通的局域网就像是不同局域网一样,因此病毒的确有可能通过广播传送到跨网上。若要杜绝此类问题,只能有赖于防毒机制的设计了。
SSL VPN正值壮年
相对而言,SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL,无须安装客户端软件,授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源,包括PC、笔记本电脑和移动设备,从而安全可靠地获取信息。王景辉表示,由于安全与历史的原因,SSL在Internet上广泛用于处理ERP等较为敏感的信息。
在SSL中,采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥,在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。
在每个SSL会话中,会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法,每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数,以减少要做的工作。因此,一次SSL会话只要一次加密运算即可。
对企业来说,将SSL技术与标准的VPN结合起来,可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。杨燕群指出,企业将SSL VPN作为一种服务对外提供,既不需要在服务器上安装SSL安全装置,也不用买SSL软件。 因此,企业可以利用SSL VPN降低成本,特别是其大规模部署很便宜。
一般来说,SSL VPN的使用者基本上不需要IT部门过多地支持,只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定,不容易中断。
另外,张桢岩也认为,SSL VPN可依不同软件应用,帮助企业用户进行权限控管,因此只要配置适宜,企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言,一种方式是只要单一身份签入,即可访问内部不同资源,VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证,企业网管有很大的空间可以调适。这两种情况都会发生,以适应不同的用户需要。对于企业而言,SSL VPN先天具有的弹性,的确安全方便。
另类与前瞻
也许读者会问,目前主流VPN协议是否还少了一个,不错,说到VPN中的另类,MPLS VPN确实有必要分析一下。
MPLS VPN的特点是其提供了服务等级协议SLA。但要注意的是,MPLS VPN不提供加密、认证等安全服务。因为MPLS VPN主要是用于建设全网状结构的数据专线,提供局域网互联的QoS保证。
一般来说,企业采用IPSec技术建立VPN,当企业对网络带宽、QoS有更高要求时,可以进一步布署MPLS VPN。但是MPLS VPN需要企业能够配置OSPF或BGP,以便在VPN中传递路由信息,这对企业的技术力量要求较高。
另外Cisco的专家预测,下一代VPN可能会配置目录服务器,主要用于存放用户的信息和网络配置数据,在提供更好的控制能力基础上,也会进一步模糊内网与虚拟专网之间的界限。
同时,王景辉认为在IPv6的条件下,VPN需要对其信息包与信息流进行更好地服务控制。此外,利用CA认证的方式进一步确保VPN的安全性也在研究之中。
除了技术上的发展,VPN的整合也在逐渐浮出水面。特别是随着UTM的出现,将VPN更好地与UTM融合,甚至实现多功能和全功能的VPN网关都有可能。有人认为这种趋势体现了后网关时代的来临,即要求硬件网关多功能一体化。
不过张桢岩表示,利用UTM整合VPN技术难度较高,若要每个功能都做好,是有相当难度的。另外,他也觉得随着VPN越来越普及,产品要能支持的用户也在增加,这对于核心处理器的负担也越来越大,所以这类产品的核心处理器面临很大的挑战,尤其是要以UTM的方式发展产品。而对于SSL VPN,必须针对不同的平台及应用开发,对于厂商而言是很沉重的负担,除非能得到资金有效回收,否则一般的产品支持应用有限,这是开发SSL VPN厂商的困境。最后是加解密技术的效能,随着加解密技术的进度,需要更大的运算能力,这部分单靠软件是解决不了的。
|
