تکنولوژی

نبود امنیت لازم در 90 درصد از SSL VPN‌های بازار

بر اساس جدیدترین بررسی‌های انجام شده، از مجموع هر ده SSL VPN    نه ( ۹ ) مورد یا امنیت کافی ندارند و یا از رمزگذاری‌های به‌روزرسانی نشده‌ای بهره می‌برند که اطلاعات مبادله شده را در معرض خطر قرار می‌دهد. 

های‌تک بریج (HTB) که سرپرستی بررسی و مطالعه گسترده در زمینه سرورهای SSL VPN عمومی را بر عهده داشته با بررسی تصادفی چیزی در حدود 10436 سرور SSL VPN (از میان چهارمیلیون آدرس انتخابی IPv4) که از سوی شرکت‌های بزرگی مانند سیسکو، دل و یا فورتی‌نت ارائه شده نتایج جالبی بدست آورده که خواندن آن خالی از لطف نخواهد بود. 

از هر 4 مورد SSL VPN بررسی شده، سه مورد (77درصد) از پروتکل منسوخ SSLv3 استفاده می‌کنند. این در حالی است که حتی چیزی در حدود صد مورد نیز از نسخه قدیمی‌تر یعنی SSLv2 بهره می‌برند. هر دو دسته یادشده، بروز حفره‌های امنیتی و ضعف‌های کارایی را به دنبال خواهند داشت و هیچ‌یک را نمی‌توان به عنوان راهکاری ایمن مدنظر قرارداد. 

از هر چهار مورد SSL VPN آزمایش شده، سه مورد از گواهی‌هایی استفاده می‌کنند که مورد تایید نبوده و خطر حملاتی که در آن نفوذگر می‌تواند در میانه راه انتقالِ داده‌ها، نقش خود را ایفا کند را افزایش می‌دهند. نفوذگران ممکن است از این ضعف استفاده کرده و سروری جعلی که خود را همانند نمونه اصلی معرفی می‌کند ایجاد کرده تا از این فرصت بهترین بهره را ببرند. استفاده از گواهی‌های از پیش‌نصب شده علت اصلی بروز مشکلات امنیتی در این زمینه است. 

چیزی در حدود 74 درصد از گواهی‌ها، امضاهای نامعتبر SHA-1 دارند و پنج درصد نیز از تکنولوژی قدیمی‌تر MD5 بهره می‌برند. تا یکم ژانویه 2017 اکثر مرورگرهای وب راهکارهای جدیدی برای عدم پذیرش گواهی‌های SHA-1 را اجرایی خواهند کرد زیرا این تکنولوژی‌های قدیمی، توان لازم برای مقابله با حملات احتمالی نفوذگران را ندارند. 

چیزی در حدود 41 درصد از SSL VPN ها از رمزهای 1024 بیتی برای گواهی‌های RSA خود استفاده می‌کنند. گواهی RSA در تشخیص و رمزگذاری تبادل کلیدها مورد استفاده قرار می‌گیرد. کلیدهای RSA کم‌تر از 2048 بیت به عنوان راهکارهایی نا امن مدنظر قرار می‌گیرند زیرا حفره‌هایی را برای ورود نفوذگران باز می‌کنند که برخی از آن‌ها برپایه پیشرفت‌های انجام شده در شکستن رمز کدها و تحلیل‌های رمزگذاری صورت می‌پذیرند. 

از هر 10 سرور SSL VPN، یک مورد همچنان به قابلیت‌های OpenSSL (به عنوان مثال، فورتی‌نت) وابسته است که در مقابل Heartbleed نفوذپذیر است. حفره امنیتی Heartbleed در آوریل 2014 کشف شد و تمامی محصولات و سرویس‌هایی که برپایه OpenSSL راه‌اندازی شده‌اند را تحت تاثیر قرارداده است. این حفره امنیتی، راهکاری سرراست و ساده را برای نفوذگرانی که قصد دارند اطلاعات حساس مانند کلیدهای رمزگذاری شده و دیگر موارد را از سیستم‌ها بدست آورند ایجاد کرده است. 

تنها سه درصد از SSL VPN های مورد بررسی، با PCI DSS سازگاری دارند و هیچ یک با NIST سازگار نیستند. مشخصه PCI DSS ویژه بازار کارت‌های اعتباری بوده و NIST نیز از سوی آمریکا به عنوان سطح اولیه استانداردهای امنیتی وضع شده تا راهکارهایی ایمن برای انجام تراکنش‌های مربوط به کارت‌های اعتباری و یا تبادل داده‌های دولتی ایجاد شوند. 

لازم به ذکر است که High-Tech Bridge ابزار آنلاین و رایگانی را پیش روی کاربران قرارداده تا بتوانند ارتباط SSL/TSL خود را مورد آزمایش قراردهند. این سرویس از هر پروتکلی که برپایه رمزگذاری SSL ایجاد شده پشتیبانی می‌کند تا افراد علاقمند بتوانند شبکه وب، ایمیل و سرورهای VPN خود را با استفاده از آن مورد بررسی و آزمایش قراردهند.

منبع : آی تی ایران

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا