国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 系統(tǒng)安全 >

VPN流量泄露問題與安全漏洞有何關(guān)

時(shí)間:2013-03-11 15:01來源: 點(diǎn)擊:
自由可用的IPv4地址即將“枯竭”,多年以來,這促使大多數(shù)通用操作系統(tǒng)開始添加IPv6支持。而這將導(dǎo)致這樣的情況:雙協(xié)議棧主機(jī)部署不支持IPv6的VPN軟件,從而為安全漏洞廣開大門,并導(dǎo)致
TagsVPN(68)安全漏洞(114)流量泄露(2)系(15)  

  自由可用的即將“枯竭”,多年以來,這促使大多數(shù)通用開始添加支持。然而,很多應(yīng)用(例如客戶端和軟件)一直都沒有準(zhǔn)備好迎接IPv6。而這將導(dǎo)致這樣的情況:雙協(xié)議棧主機(jī)部署不支持IPv6的VPN軟件,從而為安全漏洞廣開大門,并導(dǎo)致VPN流量泄露。

  在本文中,我們將討論這些VPN安全問題是如何出現(xiàn)的。

  介紹:VPN泄露的風(fēng)險(xiǎn)

  從遠(yuǎn)程地點(diǎn)工作的員工通常會(huì)建立虛擬專用網(wǎng)絡(luò)(VPN)連接來訪問網(wǎng)絡(luò)內(nèi)部的服務(wù),以及保護(hù)必須經(jīng)過不安的相應(yīng)的流量。在某些情況下,由于VPN提供,例如對(duì)所有通過VPN的進(jìn)行保密,我們認(rèn)為使用VPN連接讓不安全的協(xié)議可以接受(例如以純文本傳輸敏感信息)。

  很多VPN連接只支持協(xié)議。然而,部署這些技術(shù)的主機(jī)通常是雙協(xié)議棧的,這意味著它們同時(shí)支持IPv4和IPv6(默認(rèn)啟用)。目前,很多主機(jī)只使用IPv4,因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)不提供IPv6連接。IPv6支持仍然存在于主機(jī),但需要被啟用。當(dāng)發(fā)生這種情況時(shí),主機(jī)可能會(huì)不知不覺中在雙協(xié)議棧網(wǎng)絡(luò)中使用不支持IPv6的VPN。

  IPv4和在雙協(xié)議棧網(wǎng)絡(luò)中這種交互和共存的微妙關(guān)系可能無意或有意(蓄意攻擊)導(dǎo)致VPN泄露安全問題——通過VPN連接傳輸?shù)牧髁靠赡軙?huì)泄露出VPN連接外,并在本地網(wǎng)絡(luò)上以純文本形式發(fā)送,而根本不使用VPN服務(wù)。

  IPv4和IPv6的相互作用

  IPv4和IPv6協(xié)議的共存有一些有趣且微妙的方面可能會(huì)導(dǎo)致意想不到的后果。雖然IPv6無法向后兼容IPv4,但這兩種協(xié)議被系統(tǒng)(DNS)“粘”在一起。對(duì)于依賴于名稱解析服務(wù)(例如DNS提供的服務(wù))的雙協(xié)議棧系統(tǒng),不保護(hù)這兩種協(xié)議,就不可能保護(hù)這兩個(gè)系統(tǒng)之間的通信。

  很多VPN部署不支持IPv6協(xié)議,或者更糟糕的是,它們完全忽略了IPv6。當(dāng)建立VPN連接時(shí),VPN軟件通常插入IPv4默認(rèn)路由,讓所有的IPv4流量通過該VPN連接發(fā)送(而不是用本地以純文本形式發(fā)送流量)。然而,如果不支持IPv6,發(fā)往的所有數(shù)據(jù)包都會(huì)使用本地IPv6路由器以純文本形式發(fā)送,VPN軟件將無法保護(hù)IPv6流量安全。

  例如,假設(shè)有一個(gè)網(wǎng)站同時(shí)支持IPv4和IPv6,相應(yīng)的域名中包含A和AAAA DNS資源記錄(RR),每個(gè)A包含一個(gè)IPv4地址,而每個(gè)的AAAA包含一個(gè)IPv6地址,每個(gè)這些記錄類型可以有多個(gè)實(shí)例。當(dāng)雙協(xié)議棧客戶端應(yīng)用嘗試與服務(wù)器通信時(shí),它可以請(qǐng)求A和AAAA RR,并使用任何可用的地址。優(yōu)選的地址族(IPv4或IPv6)和將被使用的具體地址(假設(shè)每個(gè)族有多個(gè)地址可用)部署各有不同,而很多主機(jī)部署更喜歡Pv6地址,而不是IPv4地址。

  意外和故意的VPN流量泄漏

  假設(shè)有一個(gè)雙協(xié)議棧主機(jī),它采用僅支持IPv4的VPN軟件來建立與服務(wù)器的VPN連接。如果該主機(jī)連接到雙協(xié)議棧網(wǎng)絡(luò)會(huì)發(fā)生什么?如果主機(jī)的應(yīng)用嘗試與雙協(xié)議棧系統(tǒng)通信,這通常要求查詢A和AAAA DNS資源記錄。如果主機(jī)同時(shí)支持IPv4和IPv6連接,但更青睞于IPv6目的地址,即使另一個(gè)系統(tǒng)有A和的AAAA DNS資源記錄,主機(jī)都將使用IPv6來與上述系統(tǒng)進(jìn)行通信。如果VPN軟件不支持IPv6,IPv6流量將不會(huì)采用VPN連接,它將會(huì)通過本地IPv6路由器以純文本形式傳輸。

  這無意中暴露了潛在的敏感流量,這些流量本該受到VPN軟件的保護(hù)。在這個(gè)情況下,VPN泄露是在雙協(xié)議棧網(wǎng)絡(luò)中采用不支持IPv6軟件(VPN)的消極作用。

------分隔線----------------------------

推薦內(nèi)容