当前位置:安全VPN → 正文

90%使用 SSL 的VPN “无可救药地不安全”

责任编辑:editor005 作者:Venvoo |来源:企业网D1Net  2016-03-11 14:40:18 本文摘自:安全牛

计算机说:“嗷”。

一项最新的研究表明,十分之九的 SSL VPN 使用不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。

High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。

这次扫描揭示了如下几个问题:

四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是 SSLv2 。业界认为,这两种协议均不安全,它们长期以来存在多种可被利用的漏洞

四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书,为中间人攻击大开方便之门。黑客可能设置虚假的服务器,假扮合法的通信参与方,窃取本应“安全”的 VPN 连接数据。HTB 认为,企业使用厂商默认预装的证书,是该问题的主要成因

74%的证书使用不安全的 SHA-1 签名,还有5%甚至使用了更老的 MD5 技术。大多数 Web 浏览计划在2017年1月前停止支持 SHA-1 签名的证书,因为这一旧技术已经无法抵御攻击

大约41%的 SSL VPN 在 RSA 证书中使用不安全的1024位密钥。RSA 证书被用于认证和密钥交换环节。基于密码破译学和密文分析领域的最新成果,业界认为,长度低于2048位的 RSA 密钥并不安全,可能成为攻击的切入口

使用 OpenSSL 的 SSL VPN 服务器中的十分之一仍有可能遭受心脏出血攻击。臭名昭著的心脏出血攻击首次出现于2014年4月,影响所有使用 OpenSSL 的产品,它为黑客提供了窃取加密密钥、内存数据等敏感信息的直接路径

仅有3%的 SSL VPN 合乎 PCI DSS 要求,没有一台服务器符合 NIST 准则。信用卡行业的 PCI DSS 要求和美国发布的 NIST 准则为操作信用卡转账和政府数据的企业划定了安全基线

VPN 技术让用户可以安全访问私有网络并通过公网远程分享数据。如果你只是在浏览网页,SSL VPN 比早期版本的 IPSec VPN 更好,因为它们不需要安装客户端软件。如果拥有合法的登录凭据,且能够连接到公网,不在办公室工作的员工就可以连接到企业的 SSL VPN 实例。这项技术普遍支持电子邮件等应用的双因素认证。

很多网络管理员显然仍认为 SSL 和 TLS 加密比只使用 HTTPS 协议要好,但他们忘记了电子邮件等关键互联网服务也依赖于它们。

HTB 公司首席执行官伊利亚·克罗申科(Ilia Kolochenko)评论称:“如今许多人仍旧将 SSL/TLS 加密与 HTTPS 协议和 Web 浏览器联系在一起,他们严重低估了两者与其它协议及互联网技术整合的能力。”

HTB 公司开放了免费检查 SSL/TLS 连接的服务。该服务支持全部基于 SSL 加密的协议,有兴趣的读者可以使用它测试自己的 Web、电子邮件或 VPN。

关键字:VPN安全内存数据

本文摘自:安全牛

x 90%使用 SSL 的VPN “无可救药地不安全” 扫一扫
分享本文到朋友圈
当前位置:安全VPN → 正文

90%使用 SSL 的VPN “无可救药地不安全”

责任编辑:editor005 作者:Venvoo |来源:企业网D1Net  2016-03-11 14:40:18 本文摘自:安全牛

计算机说:“嗷”。

一项最新的研究表明,十分之九的 SSL VPN 使用不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。

High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。

这次扫描揭示了如下几个问题:

四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是 SSLv2 。业界认为,这两种协议均不安全,它们长期以来存在多种可被利用的漏洞

四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书,为中间人攻击大开方便之门。黑客可能设置虚假的服务器,假扮合法的通信参与方,窃取本应“安全”的 VPN 连接数据。HTB 认为,企业使用厂商默认预装的证书,是该问题的主要成因

74%的证书使用不安全的 SHA-1 签名,还有5%甚至使用了更老的 MD5 技术。大多数 Web 浏览计划在2017年1月前停止支持 SHA-1 签名的证书,因为这一旧技术已经无法抵御攻击

大约41%的 SSL VPN 在 RSA 证书中使用不安全的1024位密钥。RSA 证书被用于认证和密钥交换环节。基于密码破译学和密文分析领域的最新成果,业界认为,长度低于2048位的 RSA 密钥并不安全,可能成为攻击的切入口

使用 OpenSSL 的 SSL VPN 服务器中的十分之一仍有可能遭受心脏出血攻击。臭名昭著的心脏出血攻击首次出现于2014年4月,影响所有使用 OpenSSL 的产品,它为黑客提供了窃取加密密钥、内存数据等敏感信息的直接路径

仅有3%的 SSL VPN 合乎 PCI DSS 要求,没有一台服务器符合 NIST 准则。信用卡行业的 PCI DSS 要求和美国发布的 NIST 准则为操作信用卡转账和政府数据的企业划定了安全基线

VPN 技术让用户可以安全访问私有网络并通过公网远程分享数据。如果你只是在浏览网页,SSL VPN 比早期版本的 IPSec VPN 更好,因为它们不需要安装客户端软件。如果拥有合法的登录凭据,且能够连接到公网,不在办公室工作的员工就可以连接到企业的 SSL VPN 实例。这项技术普遍支持电子邮件等应用的双因素认证。

很多网络管理员显然仍认为 SSL 和 TLS 加密比只使用 HTTPS 协议要好,但他们忘记了电子邮件等关键互联网服务也依赖于它们。

HTB 公司首席执行官伊利亚·克罗申科(Ilia Kolochenko)评论称:“如今许多人仍旧将 SSL/TLS 加密与 HTTPS 协议和 Web 浏览器联系在一起,他们严重低估了两者与其它协议及互联网技术整合的能力。”

HTB 公司开放了免费检查 SSL/TLS 连接的服务。该服务支持全部基于 SSL 加密的协议,有兴趣的读者可以使用它测试自己的 Web、电子邮件或 VPN。

关键字:VPN安全内存数据

本文摘自:安全牛

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^