首页>安全资讯>调查显示:90%的SSL VPN存在重大安全隐患

调查显示:90%的SSL VPN存在重大安全隐患

一项最新的研究表明,90%的SSL VPN使用了不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。

SSL VPN安全

High-Tech Bridge公司(下文简称HTB)针对可公开访问的SSL VPN服务器展开了一项大规模研究。该公司随机选取了400万个IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问SSL VPN服务器。这次扫描揭示了如下几个问题:

1、77%的被测试SSL VPN仍旧使用老旧的SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是SSLv2 。业界认为这两种协议均不安全,它们长期以来存在多种可被利用的漏洞。

2、76%的被测试SSL VPN使用非可信的SSL证书,为中间人攻击大开方便之门。黑客可能设置虚假的服务器,假扮合法的通信参与方,窃取本应“安全”的VPN 连接数据。HTB 认为企业应使用厂商默认预装的SSL证书。

3、74%的证书使用不安全的SHA-1 签名,还有5%甚至使用了更老的MD5 技术。大多数Web 浏览计划在2017年1月前停止支持SHA-1签名的证书(参考:微软谷歌Mozilla 三大浏览器2016放弃对SHA-1证书支持),因为这一旧技术已经无法抵御攻击。

4、大约41%的SSL VPN在RSA证书中使用不安全的1024位密钥。RSA证书被用于认证和密钥交换环节。基于密码破译学和密文分析领域的最新成果,业界认为长度低于2048位的RSA 密钥并不安全,可能成为攻击的切入口。

5、使用OpenSSL的SSL VPN服务器中的十分之一仍有可能遭受心脏出血攻击。臭名昭著的心脏出血攻击首次出现于2014年4月,影响所有使用 OpenSSL 的产品,它为黑客提供了窃取加密密钥、内存数据等敏感信息的直接路径。(延伸:针对OpenSSL心血漏洞,沃通提供紧急免费替换支援)

6、仅有3%的SSL VPN合乎PCI DSS 要求,没有一台服务器符合NIST准则。信用卡行业的PCI DSS要求和美国发布的NIST准则为操作信用卡转账和政府数据的企业划定了安全基线。

VPN技术让用户可以安全访问私有网络并通过公网远程分享数据。如果你只是在浏览网页,SSL VPN比早期版本的IPSec VPN更好,因为它们不需要安装客户端软件。如果拥有合法的登录凭据,且能够连接到公网,不在办公室工作的员工就可以连接到企业的SSL VPN 实例。这项技术普遍支持电子邮件等应用的双因素认证。

很多网络管理员显然仍认为SSL和TLS加密比只使用HTTPS协议要好,但他们忘记了电子邮件等关键互联网服务也依赖于它们。

HTB公司首席执行官伊利亚·克罗申科(Ilia Kolochenko)评论称:“如今许多人仍旧将SSL/TLS加密与HTTPS协议和Web浏览器联系在一起,他们严重低估了两者与其它协议及互联网技术整合的能力。”

HTB公司开放了免费检查SSL/TLS连接的服务。该服务支持全部基于SSL加密的协议,有兴趣的读者可以使用它测试自己的Web、电子邮件或VPN。

文本关键词:SSL VPN

文章来源:互联网,转载请保留链接http://www.wosign.com/News/sslvpn.htm

推荐关注:SSL VPN技术专题