【作業系統呈現的連線安全資訊相當有限】在作業系統上列出的網路連線安全資訊,僅有Wi-Fi無線基地臺提供的連線安全等級,而且,不論是Windows還是Android作業系統,都要切換到進階內容才會顯示。

行動辦公可說是極為普遍,很多人帶著筆電,再連接到飯店或是咖啡廳提供的Wi-Fi網路,就能進行作業。但這些隨手可得的無線網路,同時也潛藏了許多危機,駭客從無線網路環境中側錄流量,甚至是竄改內容,引導受害者到惡意網站上。

過往探討上網安全的角度,大部分還是從控管端點電腦的角度做起,包含避免使用者瀏覽含有攻擊程式碼的網域,或是檢查下載到電腦的檔案是否帶有病毒等。但是,若是駭客發動中間人攻擊(MITM),從使用者上網的過程中,截錄其中網路層的流量加以濫用,不只是受害者難以發現異常,防毒軟體也無法因應這種針對網路層下手的攻擊。因此,採用加密網路流量的虛擬私人網路(VPN),便成為防範這種型態威脅的另類自保方法。

我們一般常提及的VPN,本來多半指的是由企業自行建置,並向電信公司租用專線,讓員工在內部環境之外,能夠透過這種機制建立的加密連線通道,安全存取公司的機敏資料。

由於企業自行建置的VPN服務,相當仰賴企業網路所提供的頻寬,若網路頻寬不足,往往會影響透過VPN的網路流量,而一旦VPN網路壅塞,也會導致員工面臨難以使用的情況;在用戶端的VPN設定上,在大部分的情況下,也必須經由作業系統的網路設定進行配置,因此,論及VPN加密連線,很多人的第一印象是上網速度可能會變慢,而且設定過程相當複雜。

另一方面,個人端VPN服務的運用,過往大多是當作跳板,取得專屬於日本、中國等存在地區限制的網路資源。

然而時至今日,這種個人端的VPN服務,許多防毒廠商都相繼投入這塊市場,並且強調它們能夠防範網路流量遭到駭客竊取。從較知名的防毒品牌賽門鐵克、McAfee,以及卡巴斯基等,還有因推出免費版防毒軟體而在臺灣有所名氣的Avast、AVG、Avira,以及Comodo等業者,或者是有代理商引進的F-Secure與BitDefender,他們都提供了這種型態的服務。顯然藉由VPN服務,保護防毒軟體難以涵蓋的網路傳輸,已經成為大勢所趨。

手動設置VPN連線步驟繁瑣

若是想要從作業系統內建的功能,設定VPN連線,可說是相當麻煩,特別是Windows 7的使用者,往往要在建立完新的VPN連線之後,再到左圖指定VPN的協定類型(如IKEv2);而Android手機也需要透過右圖的畫面,輸入有關設定。

無線網路的資安威脅越演越烈,使用者必須自保

基本上,無論有線還是無線網路,都有可能遭受側錄的風險。然而,無線網路所隱含的危險,又更加嚴重。最主要的原因,就是運用這種網路的裝置相當普及,包含了手機、平板電腦,以及筆記型電腦等。

如今再加上無論是飯店、機場、餐廳,以及便利商店等場所,幾乎都提供了免費的Wi-Fi網路,而臺灣的公部門和交通運輸工具,也有iTaiwan、Taipei Free等熱點。這種現象,也成為駭客鎖定的目標,例如,在熱點附近架設另一個Wi-Fi網路,並採用相似或完全一樣的SSID名稱,誤導不明就理的受害者,連上攻擊者建置的網路後,駭客再從中截取上網流量。

駭客想要發動相關攻擊的門檻,其實不高。今年4月,美國有2名年僅14歲的高中生,竟因為同學不想上課與考試,便癱瘓整個學校的無線網路一周,突顯想要針對這種網路發動攻擊,駭客不需要高深的技術就能辦到。

去年9月,有名騰訊工程師因好奇駭入新加坡飯店的無線網路,而遭到當地警方逮捕。但探究該名工程師被捕的原因,是他高調在部落格公開無線網路的管理員密碼,而非飯店發現無線網路受到入侵。

過往我們想要防範駭客的攻擊,都是從防堵的角度著手,以個人電腦來說,主要的把關措施就是利用防毒軟體和防火牆,阻絕來自外部的攻擊,這樣的做法,就好像我們會為住家安裝大門和門鎖,不允許任意人士隨便闖入。

然而,隨著使用者越來越依賴各式的網路服務,攻擊者也未必要直接滲透到電腦上,而是窺探使用者的上網足跡,進一步取得個人資料及隱私,就像從遠處察看我們住家屋內的一舉一動,非但不易發現,還相當難以防範,因此,保護上網流量不受偷窺,就成為一種必須正視的問題。

從上網的保護措施來看,以往防毒軟體和瀏覽器業者都做了不少努力,像是不少防毒軟體中,納入了防止使用者在瀏覽器輸入的內容遭到側錄的功能,或者是提供所謂的沙箱檢測機制;而兩大瀏覽器陣營Google和Mozilla,也大力鼓吹使用HTTPS加密連線,同時,也在瀏覽器納入所謂的無痕模式,訴求使用者在上網的過程裡,不會在電腦上留下任何足跡。

但上述這些做法,幾乎都算是基於從端點進行防護的措施,甚至有些是只能運用在特定的上網環境中,因此效果可說是相當有限,例如,HTTPS加密連線只局限於透過瀏覽器上網的流量,其他型態的網路連線,就難以藉著瀏覽器前述內建的機制,而一併獲得加密保護。

在這樣的狀態之下,使用者仍須保護已傳送的網路流量,而在所有的網路安全解決方案,VPN服務正好具備這樣的特性,而重新受到矚目。也由於VPN的加密連線,能讓網路層的側錄失效,便補足了上述端點電腦各式防護所難以涵括的層面。

網路環境型態難以界定安全需求

隨著網路攻擊無孔不入,使用者若是只依照圖中視窗點選所處的網路環境,選擇套用Windows 7預設的防火牆安全性設定,仍然沒有辦法防範駭客想要竊聽網路流量的情況。

個人端的零信任意識抬頭,首先必須視網路環境為不安全

透過VPN服務保護上網流量在傳輸的過程裡,不會直接受到側錄和窺視,這樣的做法,和企業近年來逐漸接受的零信任(Zero Trust)概念,可說是不謀而合。只不過,在企業裡的做法,是在不同的應用設施裡,以身分驗證的方式層層把關,保護公司的機密;而一般使用者因為將所有的網路環境視為不安全,利用VPN服務保護網路流量,避免輸送過程被截錄之後,竊取用戶的隱私。

由於這幾年來資安事件頻傳的情況,已經到達了無孔不入的境界,像是去年大肆發動多次攻擊的VPNFilter惡意軟體,鎖定的裝置裡,大部分是知名品牌的家用路由器,因此,就算是使用自己或是親友家裡架設的無線網路,也很有可能曝露在這種危險之中。而2018年10月,美國消費者協會也對於12個品牌的家用級無線路由器進行測試,指出每款受測的路由器平均存在約170個漏洞。但可惜的是,就算廠商推出了修補韌體,許多用戶未必會及時更新。

更何況,駭客若要偷窺上網用戶的流量,好比前述例子提到在住家遠處監視的情況,不像小偷闖空門容易被察覺。因此,能否具有自我保護的意識,顯得格外重要。

透過TRACERT指令追蹤,檢測使用VPN加密連線的情況

想要得知電腦流量是否透過VPN通道傳輸,我們可用TRACERT指令確認。剛開始,我們先在未使用VPN的狀態下執行TRACERT,此時,會看到電腦先連上路由器,再經由多個中華電信的節點連到目的地;而啟用F-Secure Freedome,再執行指令後,便只能追蹤到VPN服務的節點。

防毒業者推出的VPN服務乘勢而起

但在此同時,好的防護措施,通常也須具備簡單易用的執行步驟,才不致因為使用者覺得太過麻煩,而棄之不用。

相較於一般VPN服務,我們這次測試的這幾款防毒業者推出的VPN服務,建置的方式可說是相當容易,只要從防毒業者提供的管理平臺下載客戶端軟體,安裝在電腦或是手機上,就能馬上使用,比起在作業系統設定手動輸入VPN參數的作法,難度已大幅降低。

而在執行這些用戶端軟體的方法上,無論是電腦版還是手機版本,介面上都是以一鍵開關為中心,因此就只有VPN加密連線的啟用與否。再者,我們可以更進一步,設定為隨著電腦開機時,就同時啟動VPN連線,或是連接到安全性不高的網路環境時自動開啟服務,也可以採取提醒使用者的方式,讓用戶決定是否要啟用相關功能。而這些機制,能大幅減少使用者需自行啟用的困擾,避免忘記要使用這種方式保護上網隱私。

雖然就帳面上的規格來看,由防毒業者推出的VPN服務,所屬的伺服器數量未必如專門經營VPN的廠商,但我們實際試用時,並未感覺到網路變慢。而採用Ookla Speedtest網站實際測試,上傳與下載的速度,平均為未啟用前的7成,算是相當出乎我們的意料。

實測過程中,我們也發現,Android版的用戶端App,普遍功能都比電腦版要來得豐富。例如,部分App提供了個別應用程式控管的彈性。所以,這也意味著行動裝置對VPN的應用,S更為細緻。

推出VPN服務2種業者出發點不同,從App功能可見端倪

左圖是專營VPN服務的知名業者NordVPN,他們的App能連線的伺服器種類較為多元,包含支援P2P、具進階混淆用戶來源等功能可選;而防毒業者較重視與網路安全有關的機制,如右圖卡巴斯基推出的Secure Connection為例,能提醒使用者連線到不安全的無線網路,應該要啟動VPN。

實測採用VPN連線對網路連線帶來的影響

為了透過VPN服務上網對使用者操作帶來影響程度為何,我們於7月11日下午5點,找了一間星巴克咖啡店,分別透過手機和筆記型電腦,連線到店家提供的免費無線網路,比較使用VPN服務有無之間的差異,並採用了Ookla Speedtest網站,測試連線速度。

為了減少配置上的不同,我們在使用3款VPN服務時,都一律選擇連線到位於日本的伺服器。

從測試的數據來看,無論是使用手機還是筆記型電腦,所得到的結果算是接近。在上傳與下載的速度而言,啟用VPN加密連線之後,雖然普遍降低,但影響有限,不致於造成使用上的困擾,有些時候,甚至還能測得較直接連線略快的速度。

至於網路延遲(Latency)的情況就較為明顯,直接與店內的無線網路連接,測得的PING值都在20毫秒左右,但透過VPN之後,PING值常會測得100毫秒以上,甚至出現最高接近200毫秒的情況,因此,對於部分需要頻繁傳送封包的網路應用,啟用VPN連線之後,對於網路的使用上,可能會感受到較為顯著的差異。

測試連線環境說明:星巴克免費無線網路(南京林森門市),測試端點設備:筆電為LG Gram 15Z980,智慧型手機為三星Galaxy S9+。


Advertisement

更多 iThome相關內容