計算機說:“嗷”。
一項最新的研究表明,十分之九的 SSL VPN 使用不安全或過時的加密措施,這讓企業(yè)數(shù)據(jù)在傳輸過程中暴露于風(fēng)險之下。
High-Tech Bridge 公司(下文簡稱 HTB)針對可公開訪問的 SSL VPN 服務(wù)器展開了一項大規(guī)模研究。該公司隨機選取了400萬個 IPv4 地址,并被動式掃描了來自思科、飛塔和戴爾等最大供應(yīng)商的10436個可公開可訪問 SSL VPN 服務(wù)器。
這次掃描揭示了如下幾個問題:
四分之三(77%)的被測試 SSL VPN 仍舊使用老舊的 SSLv3 協(xié)議,該協(xié)議自1996年起就已經(jīng)存在了。此外,大約100臺服務(wù)器使用的是 SSLv2 。業(yè)界認(rèn)為,這兩種協(xié)議均不安全,它們長期以來存在多種可被利用的漏洞
四分之三(76%)的被測試 SSL VPN 使用非可信的 SSL 證書,為中間人攻擊大開方便之門。黑客可能設(shè)置虛假的服務(wù)器,假扮合法的通信參與方,竊取本應(yīng)“安全”的 VPN 連接數(shù)據(jù)。HTB 認(rèn)為,企業(yè)使用廠商默認(rèn)預(yù)裝的證書,是該問題的主要成因
74%的證書使用不安全的 SHA-1 簽名,還有5%甚至使用了更老的 MD5 技術(shù)。大多數(shù) Web 瀏覽計劃在2017年1月前停止支持 SHA-1 簽名的證書,因為這一舊技術(shù)已經(jīng)無法抵御攻擊
大約41%的 SSL VPN 在 RSA 證書中使用不安全的1024位密鑰。RSA 證書被用于認(rèn)證和密鑰交換環(huán)節(jié)。基于密碼破譯學(xué)和密文分析領(lǐng)域的最新成果,業(yè)界認(rèn)為,長度低于2048位的 RSA 密鑰并不安全,可能成為攻擊的切入口
使用 OpenSSL 的 SSL VPN 服務(wù)器中的十分之一仍有可能遭受心臟出血攻擊。臭名昭著的心臟出血攻擊首次出現(xiàn)于2014年4月,影響所有使用 OpenSSL 的產(chǎn)品,它為黑客提供了竊取加密密鑰、內(nèi)存數(shù)據(jù)等敏感信息的直接路徑
僅有3%的 SSL VPN 合乎 PCI DSS 要求,沒有一臺服務(wù)器符合 NIST 準(zhǔn)則。信用卡行業(yè)的 PCI DSS 要求和美國發(fā)布的 NIST 準(zhǔn)則為操作信用卡轉(zhuǎn)賬和政府?dāng)?shù)據(jù)的企業(yè)劃定了安全基線
VPN 技術(shù)讓用戶可以安全訪問私有網(wǎng)絡(luò)并通過公網(wǎng)遠程分享數(shù)據(jù)。如果你只是在瀏覽網(wǎng)頁,SSL VPN 比早期版本的 IPSec VPN 更好,因為它們不需要安裝客戶端軟件。如果擁有合法的登錄憑據(jù),且能夠連接到公網(wǎng),不在辦公室工作的員工就可以連接到企業(yè)的 SSL VPN 實例。這項技術(shù)普遍支持電子郵件等應(yīng)用的雙因素認(rèn)證。
很多網(wǎng)絡(luò)管理員顯然仍認(rèn)為 SSL 和 TLS 加密比只使用 HTTPS 協(xié)議要好,但他們忘記了電子郵件等關(guān)鍵互聯(lián)網(wǎng)服務(wù)也依賴于它們。
HTB 公司首席執(zhí)行官伊利亞·克羅申科(Ilia Kolochenko)評論稱:“如今許多人仍舊將 SSL/TLS 加密與 HTTPS 協(xié)議和 Web 瀏覽器聯(lián)系在一起,他們嚴(yán)重低估了兩者與其它協(xié)議及互聯(lián)網(wǎng)技術(shù)整合的能力。”
HTB 公司開放了免費檢查 SSL/TLS 連接的服務(wù)。該服務(wù)支持全部基于 SSL 加密的協(xié)議,有興趣的讀者可以使用它測試自己的 Web、電子郵件或 VPN。