بیشتر VPNهای SSL به طور گسترده ای نا امن هستند

VPNها از دیدگاه شرکت ها جزو لوازم کهنه می باشند، به کاربران اجازه می دهند تا به طور امن به شبکه خصوصی دسترسی یابند و به صورت از راه داده ها را از طریق شبکه های عمومی به اشتراک بگذارند. متاسفانه، در این سرویس های اغالب مشکلات امنیتی بسیاری وجود دارد، مانند این حقیقت که 77% از SSL VPNs تست شده هنوز از پروتکل نا امن SSLv3 استفاده می کنند.

ssl security

امنیت در خرید VPN ]ایی بر پایه SSL

High-Tech Bridge تحقیقات اینترنت بزرگ مقیاسی هدایت کردند روی سرورهای SSL VPN در دسترس عمومی و علاوه بر این، تنها در مورد یکصد سرورهای تست شده دارابودن SSLv2 یافت شد.

در گزارش توضیح داده شد که ” پروتکل SSLv3 قبل از سال 1996 ایجاد شده بوده است. امروز این ضعف ها شناخته شده اند و این پروتکل ، با اکثریت استاندارهای امنیتی بین المللی و ملی و هنجارهای مورد قبول توصیه نمی شود، مانند PCI DSS یا  NIST SP 800-52 ، استفاده از آن با توجه به آسیب پذیری های متعدد و نقاط ضعف کشف شده در طول سال ها منع می شود.

حدود سه چهارم (76%) از SSL VPNS تست شده همچنین از گواهی SSL غیر قابل اعتماد استفاده می کنند. گواهی غیر قابل اعتماد به یک مهاجم از راه دور اجازه جعل هویت سرور VPN، اجرای حمله های man-in-the-middle و رهگیری تمام داده ها از جمله فایل ها، ایمیل ها و رمزهای عبور را در طول اتصالی VPN  که “امن” فرض می شود، می دهد. بزرگترین ریسک مشاهده شده ناشی از کاربرد گوهی های نصب شده پیش فرض از فروشندگان بود.

خبرهای بد تمام نشده است: 74% از گواهی ها امضا SHA-1 نا امن را دارند، اگرچه این حقیقت که اکثریت مرورگر های وب برنامه  برای بی ارزش کردن و قبول گواهی های امضاء شده SHA-1 را متوقف کردند، در نتیجه ضعف های الگوریتم به طور بلقوه می تواند به گواهی SSL اجازه بدهد که جعل شود، یک سرور را جعل هویت کند و به اطلاعات حیاتی آسیب بزنند .

حدود 41 درصد SSL VPNs از طول کلید نا امن1024 برای گوهی های RSA خودشان استفاده می کنند، که برای احراز هویت و تعویض کلید رمزگذاری استفاده می شود. طول کلید RSA زیر 2048 نا امن در نظر گرفته می شود و اجازه حملات مختلف را می دهد.

10% از سرورهای VPN که روی OpenSSL تکیه دارند هنوز برای Heartbleed آسیب پذیر هستند . تنها 3% با الزامات PCI DSS مطابق هستند و هیچ کدام با دستورالعمل NIST سازگار نیستند، که حداقل سطح نیاز برای امنیت است.

به طور کلی، کمتر از 3% از SSL VPNs تست شده بالاترین نمره “A ” برای امنیت را بدست آورده اند، در حالیکه تقریبا 86% پایین نمره “F ” را بدست آورده اند.

مدیر عامل شرکت های High-Tech Bridge  گفته است که : “امروزه بسیاری از مردم هنوز به رمزگذاری SSL/TLS عمدتا با پروتکل HTTPS  و مرورگرهای وب وابسته اند و به طور جدی استفاده از پروتکل های دیگر و فن آوری های اینترنت ناچیز پنداشته می شود” . کارهای زیادی به منظور بهبود قابلیت اعتماد و امنیت SSL VPN می تواند انجام شود.

infosecurity-magazine.com/news/most-ssl-vpns-are-wildly-insecure/

 

You may also like...