地点:重庆龙湖地产发展有限公司
主人公: SafeNet iGate SSL VPN
场景:
重庆龙湖地产发展有限公司是由重庆中建科置业有限公司更名而来。公司成立于1995年,由重庆佳辰经济发展有限公司控股。目前,龙湖地产发展有限公司为重庆地区最具知名度的房地产开发商之一。
症状:
龙湖地产内部网络中使用一套OA办公系统及一套成本管理系统。两套系统均为客户端基于浏览器的B/S结构,系统在龙湖集团内部网络中使用。客户端通过浏览器使用。
系统在企业内部的局域网络上运行,现在经常遇到工作人员在出差时需要从外网访问内部服务器,现在的解决办法是通过防火墙集成的一个简单口令认证来访问。随着新的成本系统的上线及使用量的增加,其中的一些问题也暴露出来。最主要的就是整个信息系统的安全使用问题,其中包括:口令很容易被破解,而且服务器本身是暴露在外网的,即使不破解口令,也可以直接攻击。通过这个口令认证,可以访问局域网内的任意一台服务器,这就存在极大的安全隐患。所有数据完全以明文方式传输,没有经过任何方式加密。
分析:
使用IPSec VPN――这种传统的VPN系统已经发展了很多年,它可以在客户端和总部局域网之间利用Internet建立一条IPSec隧道,使这两点间的数据就像在一个专用网络中传输而不被截获。而且,只有连通了VPN的客户端才可以访问服务器,从而对服务器的安全性有了很大提高。在用户认证方面,只有安装了VPN客户端软件的电脑才可以建立连接,并且在建立VPN连接时还需要使用“用户名+密码”进行认证,在一定程度上提高了认证的安全强度。但是,使用IPSec VPN也存在着它的局限性。首先,每一个客户端都需要安装客户端软件,设置这些软件需要一定的网络知识,因此大大增加了销售人员的工作难度。其次,由于IPSec VPN的通道建立在网络层,在Internet中传输会遇到大量NAT和穿越防火墙的问题,尤其是各个地方的环境的上网方式不同,可能会同时存在Modem拨号、ADSL、宽带等多种方式,更增加了连接VPN的困难。一旦由于这些问题造成了系统不能使用,整个业务就无法开展,因此势必需要一支维护队伍随时提供支持,无形中又增加了成本。还有,客户端的电脑直接连入数据中心内部网络,有可能会将病毒、蠕虫等威胁带入数据中心。
使用SSL VPN这种新兴的VPN技术,其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,部署成本更低。与传统的IPSec VPN不同,SSL VPN无须在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN。在网络传输中,使用标准的HTTPS协议,能够提供极其安全的网络隧道,保证数据不会被截获和破解;同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。同时,在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。
另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由iGate转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。
处方:
需要利用SSL VPN来重新调整网络架构,为企业的信息流通提供极其安全的网络隧道,保证数据不会被截获和破解。同时,在安全的前提下,为企业员远程访问企业内容信息提供了方便、快捷的方式。
治疗及康复:
不需要更改原有的网络结构,只需在防火墙和服务器之间,通过使用交换机和网线,将iGate和这些设备物理连接,通过软件配置放置于同一个网段上。通过iGate内置的协议转换、IP地址的跳转功能,将公网的域名和iGate的虚拟IP地址捆绑在一起,从物理上将后台服务器保护起来。从而起到一个第二层防火墙的功能。iGate服务器通过硬件的方式来完成数据的加密处理功能。一旦用户要访问iGate保护的应用,iGate就会在用户的客户端机器和iGate服务器之间建立SSL安全通道。从而实现了数据的加密传输,同时硬件的加密实现方式极大的提高了整个网络传输的速度性能。
百宝箱:
龙湖地产采用iGate为远程员提供了一个方便又安全的访问企业内部信息的通道,保障了企业资产的安全性。SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL VPN。用户需要同时知道iKey的PIN码,并且拥有iKey硬件才能通过认证,仅持有其中一个因素是无法通过访问验证的。这和我们使用银行卡在ATM提款机上取款时同样的道理。用户在连接VPN通道时,需要把iKey插入电脑的USB接口,然后输入只有他自己知道的PIN码才能通过认证。另一方面,iGate SSL VPN里面内置了SafeNet所独有的CryptoSwift加速卡,专门针对SSL加解密运算,即使有大量并发的SSL连接也不会造成访问延迟。这对于绍兴联通的充值卡在线销售系统这样要求实时性很强的应用显得尤为重要。
用户点评:
经过对这些方案的比较,龙湖地产认为SSL VPN更符合他们目前的需求,解决员工频繁的出差和分支机构的用户使用不同的连网方式访问应用服务器的需求。整个方案从开始布置到实施完毕,只用了一天的时间。
实施了SafeNet iGate远程访问解决方案后,员工在使用过程中需要插入iKey并输入PIN码或输入用户名、密码即可完成验证,其他步骤与使用iGate之前没有任何区别,能够和原有的系统很好的结合。而这简单的一步却达到了上面所提到的众多安全访问需求。
龙湖地产SSL VPN应用图
