本文讲的是 90%使用 SSL 的 VPN “无可救药地不安全”,一项最新的研究表明,十分之九的 SSL VPN 使用不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。
High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。
这次扫描揭示了如下几个问题:
四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是 SSLv2 。业界认为,这两种协议均不安全,它们长期以来存在多种可被利用的漏洞;
四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书,为中间人攻击大开方便之门。黑客可能设置虚假的服务器,假扮合法的通信参与方,窃取本应“安全”的 VPN 连接数据。HTB 认为,企业使用厂商默认预装的证书,是该问题的主要成因;
74%的证书使用不安全的 SHA-1 签名,还有5%甚至使用了更老的 MD5 技术。大多数 Web 浏览计划在2017年1月前停止支持 SHA-1 签名的证书,因为这一旧技术已经无法抵御攻击;
大约41%的 SSL VPN 在 RSA 证书中使用不安全的1024位密钥。RSA 证书被用于认证和密钥交换环节。基于密码破译学和密文分析领域的最新成果,业界认为,长度低于2048位的 RSA 密钥并不安全,可能成为攻击的切入口;
使用 OpenSSL 的 SSL VPN 服务器中的十分之一仍有可能遭受心脏出血攻击。臭名昭著的心脏出血攻击首次出现于2014年4月,影响所有使用 OpenSSL 的产品,它为黑客提供了窃取加密密钥、内存数据等敏感信息的直接路径;
仅有3%的 SSL VPN 合乎 PCI DSS 要求,没有一台服务器符合 NIST 准则。信用卡行业的 PCI DSS 要求和美国发布的 NIST 准则为操作信用卡转账和政府数据的企业划定了安全基线。
VPN 技术让用户可以安全访问私有网络并通过公网远程分享数据。如果你只是在浏览网页,SSL VPN 比早期版本的 IPSec VPN 更好,因为它们不需要安装客户端软件。如果拥有合法的登录凭据,且能够连接到公网,不在办公室工作的员工就可以连接到企业的 SSL VPN 实例。这项技术普遍支持电子邮件等应用的双因子认证。
很多网络管理员显然仍认为 SSL 和 TLS 加密比只使用 HTTPS 协议要好,但他们忘记了电子邮件等关键互联网服务也依赖于它们。
HTB 公司首席执行官伊利亚·克罗申科(Ilia Kolochenko)评论称:“如今许多人仍旧将 SSL/TLS 加密与 HTTPS 协议和 Web 浏览器联系在一起,他们严重低估了两者与其它协议及互联网技术整合的能力。”
HTB 公司开放了免费检查 SSL/TLS 连接的服务。该服务支持全部基于 SSL 加密的协议,有兴趣的读者可以使用它测试自己的 Web、电子邮件或 VPN。