SSL VPN安全性分析
——应对SSLStrip攻击
1.1 新型SSLStrip攻击工具
1.1.1 攻击原理
SSLStrip是一种新型的中间人攻击,在BLACK HAT 2009会上,Marlinspike发布的名为SSLStrip的工具。SSLStrip能够攻击成功,是因为使用安全套接层协议层(SSL)的大多数网站通常首先为访问者提供一个未加密的页面,只有开始传输敏感信息部分时才开始提供加密保护。举例来说,当一个用户点击一个登录页面时,SSLStrip会修改网站未加密的响应,使“HTTPS”变成“HTTP”,甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。然而,客户却一直以为连接是受加密保护的,如下图()所示 。
1.1.2 攻击过程
1、中间人对明文的HTTP进行篡改,把所有的HTTPS链接替换为HTTP链接;
2、客户端和服务端的HTTPS安全连接变成客户端和中间人明文的HTTP连接;
3、中间人和服务器的连接仍然是HTTPS安全连接;
4、受攻击的客户端和合法的服务端之间的通信通过2、3被透明代理;
5、浏览器地址栏中显示HTTPS的安全锁logo,表示是安全连接;
6、中间人就在客户端毫不知情的情况下,窃取用户的密码,信用卡号码等。
1.1.3 局限性
通过攻击原理和过程我们可以发现这个新发布的工具要依赖于进入HTTPS的HTTP链接,因此用户直接输入HTTPS地址可以避免SSLStrip攻击,同时SSL双向认证也能防止SSLStrip攻击。
1.2 SSLVPN解决方案
1.2.1 关闭HTTP端口
1.2.1.1 方案说明
通过SSLVPN控制台屏蔽HTTP端口,只允许HTTPS端口,在客户端直接输入HTTPS://,这样客户端的通讯从开始到结束全程都是HTTPS的密文传输,都是在SSL安全隧道下进行通讯,SSLStrip没有机会捕获到未加密的响应,从而无法进行攻击。
1.2.1.2 方案局限性
1) 由于智能选路功能依赖于HTTP端口,因此关闭HTTP端口会导致该功能失效;
2) 关闭HTTP端口支持保证了SSLVPN自身没有漏洞,但用户通过HTTP的链接访问SSLVPN,还是存在SSLStrip攻击的安全隐患;
1.2.2 使用数字证书或DKEY认证
1.2.2.1 方案说明
可以通过关闭HTTP端口使得SSLStrip不能和用户建立HTTP明文连接,也可以通过使用数字证书或DKEY认证来保证即使SSLStrip在建立起了明文连接,也无法进行透明代理。此时SSLStrip不能获取数字证书,无法进行正常的身份认证,因此也能避免SSLStrip的攻击。 |
发表于 2010-12-11 10:05:33
发表于 2010-12-11 10:16:55