SSL VPN sistemler son yillarin en moda uzaktan erişim yöntemi olma yolunda hızla ilerliyor. Kullanırken ya da satın alırlarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari güvenli hale getirip sorunsuz bir sekilde uzaktan şirkete ait her işlemi güvenli şekilde yapabilecegimizden bahsederler fakat barındırdığı riskler hep gözardı edilir.
Aslında MITM (Ortadaki adam saldırısı) tüm uygulamalar için başbelası bir saldırı yöntemi fakat iş SSL olunca biraz değisiyor.
Temel problem SSL VPN cihazIarı için üretilen sertifikaların self signed olması (Dolayısı ile kullanıcı her login anında geçersiz sertifika uyarısı alıyor, ek olarak sisteme sertifikayı trusted tanıtmadıysa). Kullanıcı her zaman uyarı aldığı için araya giren şahsın ürettiği sertifikayı incelemeden kabul ediyor ve baglantı bilgileri başkalarının eline geçiyor.
Eğer sunucu tarafında istemcinin sertifikası da kontrol edilse böyle bir problem yaşanmaz fakat kullanılan ürünlerin çoğunda bu özellik yok.
Piyasadaki çoğu SSL VPN sistemi bu tip saldırıları anlamsız kılacak seçenekler sunuyor ama bu tip ozellikler ya kullanılmıyor ya da eksik yapılandığı için çalışmıyor.
Mesela bağlanan kullanıcının bilgisayarında bazı değerler kontrol edilerek şirket bilgisayarı olup olmadığı belirlenebilir, aynı anda bir kullanıcı için tek bir ip adresi atanabilir ve bağlanan ip adreslerine göre erişim hakları tanımlanabilir.
Kayıtlar
0 comments :
Yorum Gönder