精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

90%使用 SSL 的VPN “無可救藥地不安全”

責(zé)任編輯:editor005

作者:Venvoo

2016-03-11 14:40:18

摘自:安全牛

一項最新的研究表明,十分之九的 SSL VPN 使用不安全或過時的加密措施,這讓企業(yè)數(shù)據(jù)在傳輸過程中暴露于風(fēng)險之下。很多網(wǎng)絡(luò)管理員顯然仍認(rèn)為 SSL 和 TLS 加密比只使用 HTTPS 協(xié)議要好,但他們忘記了電子郵件等關(guān)鍵互聯(lián)網(wǎng)服務(wù)也依賴于它們。

計算機說:“嗷”。

一項最新的研究表明,十分之九的 SSL VPN 使用不安全或過時的加密措施,這讓企業(yè)數(shù)據(jù)在傳輸過程中暴露于風(fēng)險之下。

High-Tech Bridge 公司(下文簡稱 HTB)針對可公開訪問的 SSL VPN 服務(wù)器展開了一項大規(guī)模研究。該公司隨機選取了400萬個 IPv4 地址,并被動式掃描了來自思科、飛塔和戴爾等最大供應(yīng)商的10436個可公開可訪問 SSL VPN 服務(wù)器。

這次掃描揭示了如下幾個問題:

四分之三(77%)的被測試 SSL VPN 仍舊使用老舊的 SSLv3 協(xié)議,該協(xié)議自1996年起就已經(jīng)存在了。此外,大約100臺服務(wù)器使用的是 SSLv2 。業(yè)界認(rèn)為,這兩種協(xié)議均不安全,它們長期以來存在多種可被利用的漏洞

四分之三(76%)的被測試 SSL VPN 使用非可信的 SSL 證書,為中間人攻擊大開方便之門。黑客可能設(shè)置虛假的服務(wù)器,假扮合法的通信參與方,竊取本應(yīng)“安全”的 VPN 連接數(shù)據(jù)。HTB 認(rèn)為,企業(yè)使用廠商默認(rèn)預(yù)裝的證書,是該問題的主要成因

74%的證書使用不安全的 SHA-1 簽名,還有5%甚至使用了更老的 MD5 技術(shù)。大多數(shù) Web 瀏覽計劃在2017年1月前停止支持 SHA-1 簽名的證書,因為這一舊技術(shù)已經(jīng)無法抵御攻擊

大約41%的 SSL VPN 在 RSA 證書中使用不安全的1024位密鑰。RSA 證書被用于認(rèn)證和密鑰交換環(huán)節(jié)。基于密碼破譯學(xué)和密文分析領(lǐng)域的最新成果,業(yè)界認(rèn)為,長度低于2048位的 RSA 密鑰并不安全,可能成為攻擊的切入口

使用 OpenSSL 的 SSL VPN 服務(wù)器中的十分之一仍有可能遭受心臟出血攻擊。臭名昭著的心臟出血攻擊首次出現(xiàn)于2014年4月,影響所有使用 OpenSSL 的產(chǎn)品,它為黑客提供了竊取加密密鑰、內(nèi)存數(shù)據(jù)等敏感信息的直接路徑

僅有3%的 SSL VPN 合乎 PCI DSS 要求,沒有一臺服務(wù)器符合 NIST 準(zhǔn)則。信用卡行業(yè)的 PCI DSS 要求和美國發(fā)布的 NIST 準(zhǔn)則為操作信用卡轉(zhuǎn)賬和政府?dāng)?shù)據(jù)的企業(yè)劃定了安全基線

VPN 技術(shù)讓用戶可以安全訪問私有網(wǎng)絡(luò)并通過公網(wǎng)遠程分享數(shù)據(jù)。如果你只是在瀏覽網(wǎng)頁,SSL VPN 比早期版本的 IPSec VPN 更好,因為它們不需要安裝客戶端軟件。如果擁有合法的登錄憑據(jù),且能夠連接到公網(wǎng),不在辦公室工作的員工就可以連接到企業(yè)的 SSL VPN 實例。這項技術(shù)普遍支持電子郵件等應(yīng)用的雙因素認(rèn)證。

很多網(wǎng)絡(luò)管理員顯然仍認(rèn)為 SSL 和 TLS 加密比只使用 HTTPS 協(xié)議要好,但他們忘記了電子郵件等關(guān)鍵互聯(lián)網(wǎng)服務(wù)也依賴于它們。

HTB 公司首席執(zhí)行官伊利亞·克羅申科(Ilia Kolochenko)評論稱:“如今許多人仍舊將 SSL/TLS 加密與 HTTPS 協(xié)議和 Web 瀏覽器聯(lián)系在一起,他們嚴(yán)重低估了兩者與其它協(xié)議及互聯(lián)網(wǎng)技術(shù)整合的能力。”

HTB 公司開放了免費檢查 SSL/TLS 連接的服務(wù)。該服務(wù)支持全部基于 SSL 加密的協(xié)議,有興趣的讀者可以使用它測試自己的 Web、電子郵件或 VPN。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 禹州市| 井冈山市| 新泰市| 瑞安市| 新巴尔虎左旗| 北票市| 黎平县| 刚察县| 绥芬河市| 常州市| 多伦县| 皋兰县| 荥阳市| 潜山县| 临泽县| 东山县| 大名县| 吴忠市| 漳浦县| 仪陇县| 徐水县| 蕉岭县| 佛坪县| 保定市| 新民市| 寻乌县| 伊金霍洛旗| 武穴市| 微山县| 铁岭市| 亳州市| 大厂| 理塘县| 三门峡市| 鸡东县| 阿克陶县| 铅山县| 项城市| 永登县| 左权县| 阿鲁科尔沁旗|