不久之前在Windows服務器上簡單地使用SSL,或者其后繼者TLS還都被認為是很安全的通信方式。但是現在時代變了,SSL和TLS已經名聲敗壞。在過去的幾年里有許多值得你注意的嚴重安全漏洞被逐個曝光,有一些影響了Windows服務器,有一些卻沒有。以下列出了你需要知道的信息:
心臟出血漏洞(Heartbleed)是一個OpenSSL漏洞(OpenSSL經常運行在一些Windows服務器上),此漏洞會利用TLS的心跳擴展存在的缺陷,遠程訪問服務器內存和連接在服務器上的用戶。
POODLE (Padding Oracle On Downgraded Legacy Encryption)是一種中間人攻擊,SSL 3.0版本和TLS 1.0 到1.2版本會受到這個漏洞的影響。
FREAK(Factoring Attack on RSA-EXPORT Keys)是一個新的漏洞,可使攻擊者強制對有漏洞的瀏覽器和服務器進行加密強度降級。
很多影響Windows服務器的SSL和TLS漏洞可以追溯到很多年前,這些漏洞有的影響SSL版本2,有的影響弱加密密碼。有趣的是,根據我的安全評估經驗,大部分Windows服務器都是存在至少一個漏洞的(很多時候是很多個)。而且這些服務器暴露在互聯網上等著被攻破。
那么如何才能知道你的Windows服務器是否存在這些所謂的漏洞呢?很簡單,只需要做以下這些事情:
用WSUS、MBSA或者第三方的補丁管理軟件去檢查沒有打上的補丁(注意:僅僅打補丁并不會修補所有SSL/TLS的漏洞,例如心臟出血漏洞)。
使用Nexpose、GFI LanGuard或者網頁版弱點掃描器(例如Netsparker或者Acunetix之類的弱點掃描軟件)進行弱點掃描。
使用類似SSL LABS SSL Server Test和freakattack.com的網頁去檢查你現有的配置和弱點。
說了這么多關于SSL和TLS的危險性,其實真正的危險并不是因為數據是在(互聯網)傳輸的,而是系統本身。如果你的Windows服務器運行的SSL和TLS版本存在已知的漏洞,那么你就是自找麻煩。想想如果這樣會發生什么,最好的情況是你會在弱點評估或者審計中發現這些問題并按要求進行修復。。最壞的情況是有人利用心臟出血漏洞或者類似的漏洞讓你的數據外泄。任何一種情形相信你都不會想遭遇。
最好處理Windows服務器的方法還是修復這些討厭的安全問題,解決它們,但是不要僅僅停留在修復而已。你還必須保持警醒,這意味著在做安全檢查和必需的維護時還得上點心以讓系統更有彈性防止攻擊,這不僅僅是對所有已知的風險,我們應該看得更遠。
京公網安備 11010502049343號