某公司SSL VPN爆出漏洞,NTLS可全面保障数据传输安全

2019-06-21


6月14日,据媒体称,某公司旗下的SSL VPN产品存在安全隐患。经分析,是SSL VPN某接口存在注入漏洞,攻击者可以构造特殊参数来利用此漏洞,以达到非法登录控制台的目的。目前该公司已经启动紧急响应机制,并制定应对措施。

什么是SSL

SSL(Secure Sockets Layer安全套接层)是用以保障数据在Internet上的安全传输,利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听。

传统安全接入方式

在传统接入技术中,大多采用SSL VPN和IPSec VPN方式。

SSL VPN可在应用层实现安全通讯,且无需更改用户网络地址,其不足之处体现在只支持WEB应用,如果要实现三层、四层应用需要安装控件,只能在windows系统上运行,如客户端设备是Linux则难以部署。

IPSec VPN可实现LAN到LAN的透明通讯,但由于透明通讯,所以无法防止病毒木马传播,难以实现对应用和主机分离保护,比如Windows的BadTunnel漏洞,充分暴露了IPSec VPN技术的安全性弱点。另外,IPSec VPN部署时候需要规划内网IP和外网IP地址,整体部署时候所有的网络地址不能冲突,这在节点众多时候很难实。

新一代安全传输协议(NTLS)

基于对传统安全接入方式的不足,奥联自主研发了新一代安全传输协议NTLS(Next Transport Layer Security),可实现安全接入完整性保护。

NTLS采用多框架密钥交换协议,支持各种国密算法,同时结合网络封包截获和代理技术,实现远程访问用户的身份认证和远程数据的加密传输,让访问者更安全地远程访问内部资源。NTLS通过简单易用的方法实现信息远程连通,并且采用密码技术对远程节点身份做强制认证,有效保证了远程访问和远程数据传输的可鉴别性和安全性。

NTLS安全通道方案可同时支持三、四层安全机制,三层安全机制可以实现站-站、站-网、网-网的数据安全保护,并对三层数据按照四层的安全策略进行控制。细粒度的安全策略可以保证系统免于传统IPSec VPN面临的安全风险。四层安全机制采用数据重定向技术,节点无需分配IP,中心端无需开放某个IP或者网段给远端,支持基于端口、协议等多种访问控制和完善的访问日志记录,具有更高的安全性和可管理性。

NTLS安全通道实现过程

安全通道的建立主要通过客户端和服务器端来构成专用隧道。构成和形式如下:

NTLS客户端:软件形式。可支持Windows、Linux、Unix、iOS、Android平台,基于标识进行身份认证,连接服务器端进行安全通讯;

NTLS服务器端:有软件形式和硬件形式两种。其中,软件方式可支持Windows、Linux、Unix、iOS、Android平台,仅提供接入功能;硬件形式为专用硬件设备: 云安全接入平台,具备完整的用户管理、策略管理、日志管理、网络设置、资源查看等功能。

通讯时,需要NTLS客户端向NTLS服务器端发起请求并建立安全通道,访问服务器端的资源。

NTLS客户端到服务器端通讯的工作原理如下:

1. 拦截特定的协议和端口、目的IP:NTLS客户端软件在不同的操作系统采用了不同的数据拦截和重定向技术,以确保不影响原来的应用。基于Linux采用了IPTables,基于Windows采用了LSP拦截或WFP,均为系统内置,所以均无需对系统做任何调整;对于UNIX/FBD系统,只需预加载我们提供的一个库文件即可。

2. 将其发出的相关数据进行加密,重新定向送到指定的NTLS服务器端;

3. NTLS服务器端解密后还原其数据请求,并通过服务器指定的路由发出。返回的数据也是如此。

此设计不同于市场上普通的任何IPSec或SSL产品,基于应用层,无需改变用户的网络环境,而且对各种应用透明,具有安全和易于部署的优势。在已部署的项目中,实现零事故、零漏洞发生。

应用案例

1.海外中资机构安全通讯应用

该项目是某中资机构用于海外安全通讯建设,在中东、欧洲、美国、中国等地部署专用网络安全接入平台系统, 可实现 LAN 到 LAN(端到端)安全通讯。通过 NTLS 协议组建了虚拟专用网络,各系统均支持专用物理机部署或者软件部署,可采用路由或旁路等部署模式。旁路部署可避免直接挂载网上带来的风险,但需要对外提供安全接入服务端口; 支持负载均衡群集或双机部署提高系统可靠性。在中东地区设计部署了密码机,主要是考虑海外密钥的安全管理,以及可以作为整个密钥基础设施的密码机备份节点。

部署后,各地可构建安全通道,实现穿透各国的 VPN 协议封锁。对于移动终端除安装专用 APP 接入外,还支持配置便携式客户端硬件,智能终端无需安装任何软件即可实现安全通讯。

2.某省计生云安全接入应用

该项目是于中国电信某省公司合作,通过部署安全接入平台使某省省计生人口系统成功覆盖到全省所有地、市的计生部门和医院,实现了全省60,000多个乡村的人口、健康信息安全、快速汇总到省计生系统中。这样大量的用户部署如使用传统技术手段将十分繁琐,而使用NTLS技术并结合IBC身份认证、云安全接入平台,用户只需输入自己的手机号码并将收到的验证码填入,平台即可生成该用户专享绿色客户端,下载后立即使用,无需其他设置,非常适合海量用户的快速部署。

3.某单位视频安全应用

该项目用于某单位工作人员在全国各地以及世界各地的分支机构进行网络视频会议时对数据进行安全保障。各地人员使用标准的视频会议设备,通过卫星网络进行联线。因网络组成的特殊性,网络延时平均在500ms。奥联通过采用国密算法及安全接入机制,不仅保障了其通道支持特殊安全性需求包括算法定制等,还能够在高延时的网络环境下支持720p、1080p等高清视频会议。该案例充分体现了系统的高安全性,满足了特殊的极高安全性需求,同时也体现了在特殊网络环境下NTLS的良好适用性和高效率。