「很多人說過,經過網絡的所有東西,都會變得不安全,那怕安全措施是否足夠」 – 不論你是否同意上述論點,但「世事無絕對」這至理名言卻說得準;就好像大家認為十分安全的 VPN (Virtual Private Network),原來亦絕非 100% 安全。 VPN 從字面而言,就是虛擬私人網絡。用户可通過於網絡世界之中建立一條私密的,點到點的通道,從而確保傳輸的數據能通過私密通道快捷及安全地於點與點之間進行傳輸,因此一直以來 VPN 幾乎是所有跨地域辦事處的必備產物;不過 VPN 其實絕非 100% 安全,以下便與大家分享一下可能的 VPN 危機。 錯誤的協定 「假如沒有啟用適當的加密協定的話,VPN 其實並不可視之為安全通道。」儘管 VPN 本身就已支援標準的 IPSEC 保安方式,此方式結合了加密、認證、密鑰、數碼憑證等標準,然而 VPN 本身卻沒有「強制」用户啟用這功能;舉個例子,假如用户建立一條建基於 GRE (Generic Routing Encapsulation) 協議的 VPN 時,其通道便已肯定不能稱得上「安全」;而更不幸的是礙於種種因素,更多人會直接採用 L2TP(不含 IPsec)、PPTP(不含MPPE) 來建立 VPN,試問這種情況下建立的 VPN,其安全性又是如何?這種錯誤的抉擇,往往成為計時炸彈,隨時釀成嚴重的資安事故,例如常見的機密資料在傳輸過程被竊取等。 中間人 (man-in-the-middle) 攻擊 「加密了的封包,取出一個、逐一擊破」當你採用了加密協定,的確能進一步提高 VPN 的安全性。不過假如我是黑客的話,首先便會嘗試做一位「中間人」。的確在現實情況下,針對加密 VPN 的最常見攻擊方法便是中間人攻擊。站在點對點的連線過程中,並從中做一些工作準備,如要求 aggressive mode、確認 VPN Server 品牌…再來就是抓取封包、拆件、破解、偽造 DH key….. […]