بر اساس جدیدترین بررسیهای انجام شده، از مجموع هر ده SSL VPN نه ( ۹ ) مورد یا امنیت کافی ندارند و یا از رمزگذاریهای بهروزرسانی نشدهای بهره میبرند که اطلاعات مبادله شده را در معرض خطر قرار میدهد.
هایتک بریج (HTB) که سرپرستی بررسی و مطالعه گسترده در زمینه سرورهای SSL VPN عمومی را بر عهده داشته با بررسی تصادفی چیزی در حدود 10436 سرور SSL VPN (از میان چهارمیلیون آدرس انتخابی IPv4) که از سوی شرکتهای بزرگی مانند سیسکو، دل و یا فورتینت ارائه شده نتایج جالبی بدست آورده که خواندن آن خالی از لطف نخواهد بود.
از هر 4 مورد SSL VPN بررسی شده، سه مورد (77درصد) از پروتکل منسوخ SSLv3 استفاده میکنند. این در حالی است که حتی چیزی در حدود صد مورد نیز از نسخه قدیمیتر یعنی SSLv2 بهره میبرند. هر دو دسته یادشده، بروز حفرههای امنیتی و ضعفهای کارایی را به دنبال خواهند داشت و هیچیک را نمیتوان به عنوان راهکاری ایمن مدنظر قرارداد.
از هر چهار مورد SSL VPN آزمایش شده، سه مورد از گواهیهایی استفاده میکنند که مورد تایید نبوده و خطر حملاتی که در آن نفوذگر میتواند در میانه راه انتقالِ دادهها، نقش خود را ایفا کند را افزایش میدهند. نفوذگران ممکن است از این ضعف استفاده کرده و سروری جعلی که خود را همانند نمونه اصلی معرفی میکند ایجاد کرده تا از این فرصت بهترین بهره را ببرند. استفاده از گواهیهای از پیشنصب شده علت اصلی بروز مشکلات امنیتی در این زمینه است.
چیزی در حدود 74 درصد از گواهیها، امضاهای نامعتبر SHA-1 دارند و پنج درصد نیز از تکنولوژی قدیمیتر MD5 بهره میبرند. تا یکم ژانویه 2017 اکثر مرورگرهای وب راهکارهای جدیدی برای عدم پذیرش گواهیهای SHA-1 را اجرایی خواهند کرد زیرا این تکنولوژیهای قدیمی، توان لازم برای مقابله با حملات احتمالی نفوذگران را ندارند.
چیزی در حدود 41 درصد از SSL VPN ها از رمزهای 1024 بیتی برای گواهیهای RSA خود استفاده میکنند. گواهی RSA در تشخیص و رمزگذاری تبادل کلیدها مورد استفاده قرار میگیرد. کلیدهای RSA کمتر از 2048 بیت به عنوان راهکارهایی نا امن مدنظر قرار میگیرند زیرا حفرههایی را برای ورود نفوذگران باز میکنند که برخی از آنها برپایه پیشرفتهای انجام شده در شکستن رمز کدها و تحلیلهای رمزگذاری صورت میپذیرند.
از هر 10 سرور SSL VPN، یک مورد همچنان به قابلیتهای OpenSSL (به عنوان مثال، فورتینت) وابسته است که در مقابل Heartbleed نفوذپذیر است. حفره امنیتی Heartbleed در آوریل 2014 کشف شد و تمامی محصولات و سرویسهایی که برپایه OpenSSL راهاندازی شدهاند را تحت تاثیر قرارداده است. این حفره امنیتی، راهکاری سرراست و ساده را برای نفوذگرانی که قصد دارند اطلاعات حساس مانند کلیدهای رمزگذاری شده و دیگر موارد را از سیستمها بدست آورند ایجاد کرده است.
تنها سه درصد از SSL VPN های مورد بررسی، با PCI DSS سازگاری دارند و هیچ یک با NIST سازگار نیستند. مشخصه PCI DSS ویژه بازار کارتهای اعتباری بوده و NIST نیز از سوی آمریکا به عنوان سطح اولیه استانداردهای امنیتی وضع شده تا راهکارهایی ایمن برای انجام تراکنشهای مربوط به کارتهای اعتباری و یا تبادل دادههای دولتی ایجاد شوند.
لازم به ذکر است که High-Tech Bridge ابزار آنلاین و رایگانی را پیش روی کاربران قرارداده تا بتوانند ارتباط SSL/TSL خود را مورد آزمایش قراردهند. این سرویس از هر پروتکلی که برپایه رمزگذاری SSL ایجاد شده پشتیبانی میکند تا افراد علاقمند بتوانند شبکه وب، ایمیل و سرورهای VPN خود را با استفاده از آن مورد بررسی و آزمایش قراردهند.
منبع : آی تی ایران
