信息安全

當心了!90%的 SSL VPN 使用不安全或過時的加密技術

很多 SSL VPN 沒有使用最新的加密技術。

信息安全公司 ——  High-Tech Bridge 進行了一項關於 SSL VPN 的調查。研究發現 90% 提供 SSL VPN 服務的伺服器並沒有提供應有的安全服務,主要是因為這些伺服器使用了不安全以及過時的加密技術。

SSL VPN 不同於傳統的 IPSec VPN ,因為它可以直接在一個標準的 Web 瀏覽器中使用,不需要在客戶端上安裝額外的專用軟體。 SSL VPN 安裝在伺服器上,客戶端通過瀏覽器單獨連接到 VPN 。用戶瀏覽器和 VPN 服務端的連接通過 SSL 或 TLS 協議加密。

76% 的 SSL VPN 使用不受信任的證書

High-Tech Bridge 的研究人員說他們分析了隨機選擇的 10,436 台 SSL VPN 伺服器,發現了大多數都極不安全。他們聲稱 77% 的 SSL VPN 使用 SSLv3 或 SSLv2 來加密流量。而這兩個版本的 SSL 現在已經被認為是不安全的。部分國際和國家的安全標準已經禁止使用它們了,如: PCI DSS 和 NIST SP 800-52 。

我們暫且忽略使用的 SSL 版本,但是 76% 的 SSL VPN 伺服器還使用了不受信任的證書,這些沒有被證實的 SSL 證書可以被攻擊者模仿,從而對不知情用戶發起中間人攻擊。 High-Tech Bridge 的專家說導致這樣的情況是因為很多 SSL VPN 伺服器很少更新默認的預裝證書。

一些 VPN 仍然使用 MD5 來簽名證書。

此外,研究人員還指出,74% 的證書使用 SHA-1 簽名,5% 的證書使用 MD5 哈希,這些技術都是被認為已經過時了。41% 的SSL VPN 也在他們的 RSA 證書上使用長度為 1024 的不安全密鑰。在過去的幾年裡,任何長度小於 2048 的 RSA 密鑰被認為是極不安全的。

更糟的是,十分之一的 SSL VPN 伺服器仍然存在兩年前發現的心臟出血漏洞,儘管有可用的補丁。研究人員說在所有被測試的 SSL VPN 中,只有 3% 的伺服器是符合 PCI DSS 要求的,沒有伺服器符合 NIST (美國國家標準與技術研究所) 的標準。

High-Tech Bridge 也提供了一個供用戶檢測他們的 SSL VPN 和 HTTPS 網站是否安全的免費工具。

該安全工具使用地址https://www.htbridge.com/ssl/

SSL VPN 的評級分布( F 到 A 安全等級依次增加):

90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption-501038-3

 

Linux Story 溫馨提示,如需了解詳情請訪問原文鏈接

 

原文鏈接:http://news.softpedia.com/news/90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption-501038.shtml

本文鏈接:http://www.linuxstory.org/90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption

轉載請註明,否則將追究相關責任。

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
TO LIVE IS TO CHANGE THE WORLD

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:信息安全

    信息安全

    安全能力交換協同應對DDoS

    安全形勢的急劇惡化也催生出了海量的安全需求,大量安全廠商及網路運營商都投身到這場全球性的安全對抗戰役中,但是隨著網路攻擊在規模、複雜性及量級方面的不斷擴大,越來越多的網路安全廠商及運營商感覺到「力不從心」,大家都意識到應對現今的網路攻擊已不是一家公司或單一組織可以解決的。協作,必將成為未來網路安全領域最重要的發展方向。
    信息安全

    跳過開機密碼!修改 Windows 10 登錄密碼 :-)

    設置密碼來保護自己的電腦數據安全是非常必要的,開機密碼能有效防止未經允許的人窺探自己的電腦。本文將介紹一種簡單的在CMD模式(無需密碼可進入)下簡單的重置開機密碼,並且保證數據原封不動,且安全有效,並提供防被破解方案。
    信息安全

    修復正向保密

    對於 TLS(保障網路通信提供安全及數據完整性的一種安全協議),可能最大的抱怨是, TLS 握手動作緩慢,傳輸加密會造成很多 CPU 開銷。當然,如果配置正確這些都不是問題。最重要的通過 TLS 提高訪客訪問你網站的用戶體驗的一個特徵是會話恢復。會話恢復是指當再一次連接到那些主機時,通過存儲和重用以前的秘密信息。這大大減少了網路延遲和 CPU 的使用量。我們可以在網路伺服器和代理中啟用會話恢復,但是很容易違背正向保密。為了找出為什麼有實際標準的 TLS 庫(即 OpenSSL )會是一件壞事和如何避免搞砸 PFS ...
    信息安全

    福利發放!Google 提供免費 DDoS 攻擊防護服務

    Google 的 Project Shield 旨在保護互聯網上的新聞報道和言論自由,並且已經提供 DDoS 攻擊的免費防護。DDoS(分散式拒絕服務)攻擊,你可能知道它是通過分散式的海量流量來使目標網站宕機或響應延遲,許多網站深受其害。它經常被別有用心的用於針對某個網站的具體觀點,這就是為什麼 Google 推出能夠保護新聞網站和人權網站(包括選舉監督網站)的 Project Shield。目前,以上是可以申請保護的網站。該項目的目的是為小網站提供免受大規模流量攻擊的可行選擇,Google 通過自身的基礎設施來過濾吸收這些惡意流量。