上周5,美國國土安全局發佈了一則網絡安全警告,透露數間企業出品VPN 軟件,均含安全漏洞,若黑客入侵用戶電腦,盜用認證的會話鎖鑰(session cookies),黑客可直接進入企業網絡的內部,進行更多的破壞。
至今証實發現VPN 軟件漏洞的公司包括Cisco、Palo Alto Networks、Pulse Secure 及F5 等,不過,仍有多間提供企業VPN軟件的產品,仍未進行測試,詳情可在Carnegie Mellon大學安全認證中心,編號VU#192371中找到,受影響原廠商,已陸續推出軟件補丁,可直接到各廠商的網站查詢,建議用戶立即更新軟件。
一般企業使用的VPN 原因,是為了在資訊傳送過程中進行加密,令第三方未能下載和閱讀。此外加上電子證書,更可以核實對方身份,才正式開始傳送。VPN使用亦大致可分兩類;首先可以是公司和公司的之間連接,一般的企業可能會使用電訊公司的服務,譬如以MPLS之類的網絡,把不同地區公司內部的電腦打通。不過,企業亦可使用互聯網作為後備網絡的備份。在企業路由器或防火牆,直接以IPsec 這種VPN 的協議,便可以把分公司之間的傳訊加密,不用擔心資訊會在公共網絡上被盜竊。
第二類VPN用途,便是讓外勤或遠端的員工,通過電腦甚至流動設備遠程登錄。用戶通過了認證後,可連接到企業的內部網絡,使用內部伺服器,存取文件或應用程式等等。這類認證和加密,均使用SSL或TLS 等的網絡協議進行,由於TLS 屬於是應用層的協議,可讓企業更加仔細控制不同應用的使用權。現代企業VPN軟件,更加入了用戶端(endpoint) 管理功能,例如先檢查用戶電腦有否裝置防毒軟件,或是否更新了操作系統,才讓用戶登進入內部網絡。更可指定特定群組的用戶,才可以在遠端使用某些企業內部文件檔案,或數據庫等應用,減低資料外洩的機會。
SSL或TLS 這類的加密協議,其中很重要一環,便是管理軟件加密鎖鑰。客戶端要有個人的加密鑰,才能証明用戶身份,和對面企業伺服器進行加密和解密。為對應不同伺服器,客戶電腦上便會產生多個不同加密鑰,怎樣去有效地管理不同鎖鑰,亦成為網絡保安重要課提。假如,某名用戶離開之後,他的電腦之中,仍然留下昔日鎖鑰,其他人便可藉他身份,登錄其他伺服器或下載文件等。又或黑客取得這些鎖鑰備份,便可以成功入侵企業內聯網,予取予攜。
市場上有不少的方案,可解決上述的難題。金融界或政府部門,選用一些硬件安全設備(HSM),集中儲存企業內使用加密鎖鑰或證書;主要可為數碼鎖鑰再次加密,及對取存權限作出控制。這類硬件可直接安裝在電腦內,或是採用網絡設備,更有容錯功能。
另一個方案,便是雙重認證的方法,電子鎖鑰之外,更加設多一層密碼保護。雙重認證要求用戶提供額外資料或密碼,用戶可能覺得較為麻煩,不過保安重要,實在不容忽視。
回頭再說這次VPN軟件漏洞。據Carnegie Mellon大學的研究,類似電子密碼session cookies如果不正當儲存在log file 檔案,或者緩存在內存。黑客一旦能登錄用戶端的電腦,或以其他手段取得session cookies,就可繞過正常的認證渠道,接駁企業應用內,可造成嚴重後果。
建議IT的同業,第一時間檢查現有遠程的登錄方案,以防遭黑客入侵。
作者:梁定康(Andy Leung),資深IT保安專家,現職設計IT保安及企業網絡