計(jì)算機(jī)說(shuō)：“嗷”。

一項(xiàng)最新的研究表明，十分之九的 SSL VPN 使用不安全或過(guò)時(shí)的加密措施，這讓企業(yè)數(shù)據(jù)在傳輸過(guò)程中暴露于風(fēng)險(xiǎn)之下。

High-Tech Bridge 公司（下文簡(jiǎn)稱(chēng) HTB）針對(duì)可公開(kāi)訪問(wèn)的 SSL VPN 服務(wù)器展開(kāi)了一項(xiàng)大規(guī)模研究。該公司隨機(jī)選取了400萬(wàn)個(gè) IPv4 地址，并被動(dòng)式掃描了來(lái)自思科、飛塔和戴爾等最大供應(yīng)商的10436個(gè)可公開(kāi)可訪問(wèn) SSL VPN 服務(wù)器。

這次掃描揭示了如下幾個(gè)問(wèn)題：

四分之三（77%）的被測(cè)試 SSL VPN 仍舊使用老舊的 SSLv3 協(xié)議，該協(xié)議自1996年起就已經(jīng)存在了。此外，大約100臺(tái)服務(wù)器使用的是 SSLv2 。業(yè)界認(rèn)為，這兩種協(xié)議均不安全，它們長(zhǎng)期以來(lái)存在多種可被利用的漏洞

四分之三（76%）的被測(cè)試 SSL VPN 使用非可信的 SSL 證書(shū)，為中間人攻擊大開(kāi)方便之門(mén)。黑客可能設(shè)置虛假的服務(wù)器，假扮合法的通信參與方，竊取本應(yīng)“安全”的 VPN 連接數(shù)據(jù)。HTB 認(rèn)為，企業(yè)使用廠商默認(rèn)預(yù)裝的證書(shū)，是該問(wèn)題的主要成因

74%的證書(shū)使用不安全的 SHA-1 簽名，還有5%甚至使用了更老的 MD5 技術(shù)。大多數(shù) Web 瀏覽計(jì)劃在2017年1月前停止支持 SHA-1 簽名的證書(shū)，因?yàn)檫@一舊技術(shù)已經(jīng)無(wú)法抵御攻擊

大約41%的 SSL VPN 在 RSA 證書(shū)中使用不安全的1024位密鑰。RSA 證書(shū)被用于認(rèn)證和密鑰交換環(huán)節(jié)?；诿艽a破譯學(xué)和密文分析領(lǐng)域的最新成果，業(yè)界認(rèn)為，長(zhǎng)度低于2048位的 RSA 密鑰并不安全，可能成為攻擊的切入口

使用 OpenSSL 的 SSL VPN 服務(wù)器中的十分之一仍有可能遭受心臟出血攻擊。臭名昭著的心臟出血攻擊首次出現(xiàn)于2014年4月，影響所有使用 OpenSSL 的產(chǎn)品，它為黑客提供了竊取加密密鑰、內(nèi)存數(shù)據(jù)等敏感信息的直接路徑

僅有3%的 SSL VPN 合乎 PCI DSS 要求，沒(méi)有一臺(tái)服務(wù)器符合 NIST 準(zhǔn)則。信用卡行業(yè)的 PCI DSS 要求和美國(guó)發(fā)布的 NIST 準(zhǔn)則為操作信用卡轉(zhuǎn)賬和政府?dāng)?shù)據(jù)的企業(yè)劃定了安全基線

VPN 技術(shù)讓用戶(hù)可以安全訪問(wèn)私有網(wǎng)絡(luò)并通過(guò)公網(wǎng)遠(yuǎn)程分享數(shù)據(jù)。如果你只是在瀏覽網(wǎng)頁(yè)，SSL VPN 比早期版本的 IPSec VPN 更好，因?yàn)樗鼈儾恍枰惭b客戶(hù)端軟件。如果擁有合法的登錄憑據(jù)，且能夠連接到公網(wǎng)，不在辦公室工作的員工就可以連接到企業(yè)的 SSL VPN 實(shí)例。這項(xiàng)技術(shù)普遍支持電子郵件等應(yīng)用的雙因素認(rèn)證。

很多網(wǎng)絡(luò)管理員顯然仍認(rèn)為 SSL 和 TLS 加密比只使用 HTTPS 協(xié)議要好，但他們忘記了電子郵件等關(guān)鍵互聯(lián)網(wǎng)服務(wù)也依賴(lài)于它們。

HTB 公司首席執(zhí)行官伊利亞·克羅申科（Ilia Kolochenko）評(píng)論稱(chēng)：“如今許多人仍舊將 SSL/TLS 加密與 HTTPS 協(xié)議和 Web 瀏覽器聯(lián)系在一起，他們嚴(yán)重低估了兩者與其它協(xié)議及互聯(lián)網(wǎng)技術(shù)整合的能力。”

HTB 公司開(kāi)放了免費(fèi)檢查 SSL/TLS 連接的服務(wù)。該服務(wù)支持全部基于 SSL 加密的協(xié)議，有興趣的讀者可以使用它測(cè)試自己的 Web、電子郵件或 VPN。