网络加速的秘密——VPN概念与安全

三. VPN带来的安全问题

安全话题始终是无法忽略的一部分，VPN自身还算是很安全的，因为它传输的是密钥处理过的数据报文，但是VPN的应用目标却导致它仍然逃不过安全问题的纠纷，那就是它的虚拟网络性质会形成一个虚拟局域网，而这个虚拟局域网里的计算机是不受任何例外的安全保护的。

当VPN仅为企业内部架设服务器应用的时候，这些间接的安全问题并未被引起太多关注，偶尔传出的也不过是某个位于外网的职员机器感染了病毒然后通过 VPN传染至企业内网或企业内网的病毒通过VPN跑出来感染了外网职员的计算机这些经常在局域网发生的事情罢了；而后，随着硬件VPN设备的出现，一部分 企业配置了市面上常见的VPN产品，如奥联APN、赛龙VPN、Sinfor M5100-S等，而这些VPN产品与广大网民经常能接触到的宽带路由、ADSL调制解调器一样，都具备WEB配置界面甚至一些产品漏洞，在设备配置者的 某些疏忽之下，设备默认帐号密码、过于简单的VPN帐户加密、产品自身缺陷等都可能导致企业内部网遭到入侵，位于外网的入侵者先使用各种工具获知VPN的 信息，然后进一步试探配置漏洞和产品缺陷，从而取得登录该VPN网关的权限，然后入侵者便能将自己的计算机虚拟为企业内部网络中的一台计算机，大部分企业 内部必须开放的网络共享资源就被轻易拿到了，入侵者可以从容的完成整个渗透过程而不被任何人警觉，这样的入侵可谓防不胜防，要杜绝此类入侵，还得从提高企 业网管的安全意识做起，同时选择一个口碑较好安全性高的产品。

如果说VPN导致企业被渗透只是一个不能引起大范围危害的问题的话，那么在VPN技术被各种网络加速厂商滥用的今天，它会导致的安全问题就不再是可 以忽视的了。由于电信和网通等运营商都睁只眼闭只眼的放任这片灰色市场在发展，越来越多的“网络加速”厂商参与了进来，同时大部分厂商都积累了一定规模的 用户群，如专注于网游加速的“迅游”、较早出现的“统一网关”、以及一些网游厂商自己开发的游戏加速器等，用户群越多，厂商获得的回报就越大，同时为了留 住用户群，厂商的服务质量也就越来越好，于是，活跃于VPN链路上的用户不计其数，而这些用户并不知道，他们之间相对封闭的网络空间已经被VPN给疏通 了，每多一个用户使用网络加速器，就相当于往这个“虚拟局域网”里又增加了一台计算机，虽然一部分厂商会针对这个现象设置一些严禁内部网互相访问的规则， 但是并非所有厂商都具备这样的安全意识，于是，不幸使用了这部分厂商产品的用户们如果自身机器的安全配置不高，就只能等着被人鱼肉了。与前面提到的渗透企 业内部网同理，入侵者连获取VPN帐号的步骤都省了——网络加速器的客户端程序自身就实现了诸如获取VPN服务器IP、发送虚拟网络拨号请求等一系列连接 过程，入侵者需要做的只是获知自己当前获得的虚拟局域网IP，再配合扫描软件找到倒霉的用户并渗入即可，过程就像在大学机房的局域网中渗透别人的计算机一 样。

首先，我们先下载任意一款网络加速器（涉及厂商利益关系，本文就不点名了，这是大部分VPN产品都可能涉及到的问题），然后随意申请一个临时帐号试用。

使用客户端成功进行加速后，立即打开“命令提示符”（CMD），运行 ipconfig /all，你会看到当前存在的网络连接里多了一个接口标识为“PPP/SLIP”的连接，而它的IP地址是属于局域网的（这样就和大部分使用本机ADSL 拨号上网的连接区分开了），记下这个IP地址，它就是你本次从远程VPN服务器里分配到的虚拟局域网IP。

现在，有两种方法开始我们的入侵行径，一种是直接在当前的“命令提示符”界面中使用ping命令将与你同一网段的IP从1到254全部ping一 遍，根据返回判断此IP地址是否存在计算机，当然，这个方法太过于古老且效率低下，通常推荐使用现成的黑客工具进行，如SuperScan等。

运行SuperScan软件，本次笔者分配到的虚拟局域网IP为192.168.3.218，因此将它粘贴到SuperScan界面中的IP段里， 变为从192.168.3.1到192.168.3.254的结构，按下“开始”按钮，现在你会发现许多在线的计算机都被挖掘出来了！

最后，使用任意一款局域网工具如LANExp、LANView、阿D网络工具包就能扫描整个网段内默认共享的网络资源甚至取得管理权限了，而这么一 场壮观的入侵行为正在如火如荼的时候，其他用户根本不知情，因为网络加速软件客户端的包装，使得整个虚拟局域网的连接状态是不可见的，对用户而言，真不知 道是不是应该可悲？

其实，这是一个十分简单就能修正的安全问题，只需要厂商在建设VPN服务器时将一些相关选项设置好就可以了，因为这是VPN自身的安全访问特性，它 能构建虚拟局域网，也能隔离局域网内同网段计算机互访。但是国内几乎没有一个“网络加速器”厂商实现了这个安全特性，最终，这个缺陷只能留给用户去承担 了，而国际上的VPN厂商如Hotspot Shield默认就设置好了严禁局域网互访，这仅仅是反映出国内厂商安全意识不够吗？

四. VPN的平民化，孰好孰坏？

毫无疑问，在当前的网络氛围下，加速器市场的诞生也实属无奈之举，而促生了这个市场发展的VPN技术也因此从企业内部走了出来，但也正因此，一窝蜂 而上的厂商们就放大了VPN默认存在但是可以避免的安全问题，在众多毫不关心安全问题而只在意自己腰包的厂商的环绕下，在这个市场需求与安全保障无法受到 同等重视的环境中，最终受害的，还是我们用户自己！

但是，在物价飞涨的今天，由于钱包空瘪而选择了廉价线路接入方案的网民们，谁又能离开网络加速器的辅助呢？VPN的平民化，究竟，是好事，还是坏事？

上一页  [1] [2] [3]